Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Sumário

Este artigo descreve como utilizar a garantia de mecanismo de autenticação (AMA) em cenários de logon interativo.

Introdução

AMA adiciona uma associação de grupo universal, administrador designado ao token de acesso do usuário quando as credenciais do usuário são autenticadas durante o logon usando um método de logon com base em certificado. Isso possibilita que os administradores de recursos de rede controlar o acesso a recursos, como arquivos, pastas e impressoras. Esse acesso é baseado em se o usuário fizer logon usando um método de logon com base em certificado e o tipo de certificado que é usado para fazer logon.

Neste artigo

Este artigo concentra-se em dois cenários de problema: logon/logoff e bloqueio e desbloqueio. O comportamento do AMA nessas situações é "por projeto" e pode ser resumido da seguinte maneira:

  • AMA destina-se a proteger os recursos de rede.

  • AMA não pode identificar nem aplicar o tipo de logon interativo (cartão inteligente ou nome de usuário/senha) para o computador local do usuário. Isso ocorre porque os recursos são acessados depois de um logon de usuário interativo não podem ser protegidos usando AMA confiável.

Sintomas

Problemas do cenário 1 (logon/logoff)

Considere o seguinte cenário:

  • Um administrador deseja impor a autenticação de Logon de cartão inteligente (SC) quando os usuários acessam determinados recursos sensíveis à segurança. Para fazer isso, o administrador implanta AMA de acordo com a Garantia do mecanismo de autenticação para o AD DS no guia passo a passo do Windows Server 2008 R2 para o identificador de objeto de diretiva de emissão é usado em todos os certificados de cartão inteligente.

    Observação: Neste artigo, nós nos referimos a esse novo grupo mapeado como "o grupo de segurança universal de cartão inteligente".

  • O "logon interativo: requer um cartão inteligente" política não estiver habilitada em estações de trabalho. Portanto, os usuários podem fazer logon usando outras credenciais, como nome de usuário e senha.

  • Local e o grupo de segurança universal de cartão inteligente requer o acesso aos recursos de rede.

Nesse cenário, você pode esperar que somente o usuário que assina usando cartões inteligentes pode acessar local e recursos de rede. No entanto, porque a estação de trabalho permite logon/em cache otimizado, é usado o verificador em cache durante o logon para criar o token de acesso do NT para o desktop do usuário. Portanto, os grupos de segurança e declarações de logon anterior são usadas em vez do atual.



Exemplos de cenário

Observação: Neste artigo, participação no grupo é recuperada para sessões de logon interativo usando "whoami grupos." Este comando recupera os grupos e as declarações do token de acesso da área de trabalho.

  • Exemplo 1

    Se o logon anterior foi realizado usando um cartão inteligente, o token de acesso para a área de trabalho tem o grupo de segurança universal de cartão inteligente é fornecido pela AMA. Ocorrer um dos seguintes resultados:

    • O usuário faz logon usando o cartão inteligente: O usuário ainda pode acessar os recursos confidenciais de segurança local. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas bem sucedidas.

    • O usuário faz logon usando o nome de usuário e senha: O usuário ainda pode acessar os recursos confidenciais de segurança local. Esse resultado não é esperado. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas falharem conforme o esperado.

  • Exemplo 2

    Se o logon anterior foi realizado por meio de uma senha, o token de acesso para a área de trabalho não tem o grupo de segurança universal de cartão inteligente é fornecido pela AMA. Ocorrer um dos seguintes resultados:

    • O usuário faz logon usando um nome de usuário e senha: O usuário não pode acessar recursos confidenciais de segurança local. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas falharem.

    • O usuário faz logon usando o cartão inteligente: O usuário não pode acessar recursos confidenciais de segurança local. O usuário tenta acessar recursos de rede. Essas tentativas bem sucedidas. Esse resultado não é esperado pelos clientes. Portanto, ele causa acesso problemas de controle.

Cenário 2 problemas (bloqueio e desbloqueio)

Considere o seguinte cenário:

  • Um administrador deseja impor a autenticação de Logon de cartão inteligente (SC) quando os usuários acessam determinados recursos sensíveis à segurança. Para fazer isso, o administrador implanta AMA de acordo com a Garantia do mecanismo de autenticação para o AD DS no guia passo a passo do Windows Server 2008 R2 para o identificador de objeto de diretiva de emissão é usado em todos os certificados de cartão inteligente.

  • O "logon interativo: requer um cartão inteligente" política não estiver habilitada em estações de trabalho. Portanto, os usuários podem fazer logon usando outras credenciais, como nome de usuário e senha.

  • Local e o grupo de segurança universal de cartão inteligente requer o acesso aos recursos de rede.

Nesse cenário, você pode esperar que apenas um usuário que assina usando cartões inteligentes pode acessar local e recursos de rede. No entanto, como o token de acesso de área de trabalho do usuário é criado durante o logon, ele não será alterado.



Exemplos de cenário

  • Exemplo 1

    Se o token de acesso para a área de trabalho tem o grupo de segurança universal de cartão inteligente fornecido pelo AMA, um dos resultados a seguir ocorrerá:

    • O usuário desbloqueia usando o cartão inteligente: O usuário ainda pode acessar os recursos confidenciais de segurança local. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas bem sucedidas.

    • O usuário desbloqueia usando o nome de usuário e senha: O usuário ainda pode acessar os recursos confidenciais de segurança local. Esse resultado não é esperado. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas falharem.

  • Exemplo 2

    Se o token de acesso para a área de trabalho não tem o grupo de segurança universal de cartão inteligente fornecido pelo AMA, um dos resultados a seguir ocorrerá:

    • O usuário desbloqueia usando o nome de usuário e senha: O usuário não pode acessar recursos confidenciais de segurança local. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas falharem.

    • O usuário desbloqueia usando o cartão inteligente: O usuário não pode acessar recursos confidenciais de segurança local. Esse resultado não é esperado. O usuário tenta acessar recursos de rede. Essas tentativas bem sucedidas conforme o esperado.

Mais informações

Devido ao projeto AMA e subsistema de segurança que é descrito na seção "Sintomas", os usuários experimentar as seguintes situações em que AMA confiável não pode identificar o tipo de logon interativo.

Logon/logoff

Se Fast Logon optimization está ativo, o subsistema de segurança Local (lsass) usa o cache local para gerar a participação em grupos no token de logon. Fazendo isso, a comunicação com o controlador de domínio (DC) não é necessária. Portanto, o tempo de logon é reduzido. Esse é um recurso altamente desejável.

No entanto, essa situação causa o seguinte problema: após Logon SC e SC Logoff, o grupo AMA armazenadas em cache localmente é, incorretamente, ainda está presente no token de usuário após o logon interativo de nome/senha de usuário.

Observações:

  • Essa situação se aplica somente a logons interativos.

  • Um grupo AMA é armazenada em cache da mesma maneira e usando a mesma lógica de outros grupos.


Nessa situação, se o usuário tenta acessar recursos de rede, participação em grupo em cache no lado do recurso não é usada e sessão de logon do usuário no lado do recurso não contêm um grupo AMA.

Esse problema pode ser corrigido ao se desativar o Fast Logon Optimization ("configuração do computador > modelos administrativos > sistema > Logon > sempre esperar pela rede ao iniciar o computador e fazer logon").

Importante Esse comportamento é relevante apenas no cenário de logon interativo. Acesso aos recursos de rede irá funcionar como esperado porque não é necessário para a otimização do logon. Portanto, a participação em grupo em cache não é usada. O controlador de domínio é contatado para criar o novo tíquete usando as mais recentes informações de membros de grupo AMA.

Lock/unlock

Considere o seguinte cenário:

  • Um usuário faz logon interativamente usando o cartão inteligente e abre os recursos de rede protegida AMA.

    Observação: Rede protegida AMA recursos podem ser acessados apenas usuários que possuam um grupo AMA em seu token de acesso.

  • O usuário bloqueia o computador sem primeiro fechar o recurso de rede protegida AMA abertos anteriormente.

  • O usuário desbloqueia o computador usando o nome de usuário e a senha do usuário mesmo que anteriormente logon usando um cartão inteligente).

Nesse cenário, o usuário ainda pode acessar os recursos protegidos AMA depois que o computador é desbloqueado. Esse comportamento é pré-definido. Quando o computador é desbloqueado, Windows não recriar todas as sessões abertas que tinham os recursos da rede. Windows também não verificar participação no grupo. Isso ocorre porque essas ações causaria penalidades de desempenho inaceitável.

Não há nenhuma solução out-of-box para esse cenário. Uma solução seria criar um filtro de provedor de credenciais que filtra o provedor de nome/senha de usuário após o logon SC e bloqueio de etapas ocorrerão. Para saber mais sobre o provedor de credenciais, consulte os seguintes recursos:

Interface de ICredentialProviderFilter

Exemplos de provedor de credenciais do Windows VistaObservação: Não podemos confirmar se esta abordagem já foi implementada com êxito.

Para obter mais informações sobre AMA

AMA não pode identificar nem aplicar o tipo de logon interativo (cartão inteligente ou nome de usuário/senha). Esse comportamento é pré-definido.

AMA destina-se a situações em que os recursos de rede exigem um cartão inteligente. Ele não deveria ser usado para acesso local.

Qualquer tentativa de correção do problema com a introdução de novos recursos, como a capacidade de usar os membros do grupo dinâmico ou a alça AMA grupos como um grupo dinâmico pode causar problemas significativos. É por isso símbolos NT não oferecem suporte a participações em grupos dinâmicos. Se o sistema permitidos grupos seja cortada em real, usuários poderá ser impedidos de interagir com sua própria área de trabalho e aplicativos. Portanto, participações em grupo bloqueadas no momento em que a sessão é criada e mantidas durante toda a sessão.

Logons em cache também são problemáticos. Se otimizado de logon estiver habilitada, o lsass tenta primeiro um cache local antes que ele invoca uma rede ida. Se o nome de usuário e a senha são idênticos ao que viu lsass para logon anterior (Isso é verdadeiro para a maioria dos logons), o lsass cria um token que tem os membros do grupo mesmo que o usuário tinha anteriormente.

Se o logon otimizado é desativado, uma resposta da rede seria necessária. Isso seria Certifique-se de que os membros do grupo funcionam no logon conforme o esperado.

Em um logon em cache, o lsass mantém uma entrada por usuário. Essa entrada inclui a associação de grupo do usuário anterior. Isso é protegido pela última senha ou credencial do cartão inteligente que viu lsass. Ambos decodificar a mesma chave de token e credenciais. Se os usuários tentar fazer logon usando uma chave de credencial obsoletos, eles seriam perder dados DPAPI, conteúdo protegido pelo EFS e assim por diante. Portanto, logons em cache sempre produzem os membros do grupo local mais recentes, independentemente do mecanismo usado para efetuar logon.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×