Descrição da utilização de AMA em cenários de início de sessão interactivo no Windows

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3101129
Sumário
Este artigo explica como utilizar o mecanismo de autenticação seguros (AMA) em cenários de início de sessão interactivo.
Introdução
AMA adiciona um membro do grupo universal, administrador designado ao token de acesso do utilizador quando as credenciais do utilizador são autenticadas durante o início de sessão utilizando um método baseado em certificados de início de sessão. Isto torna possível recursos para administradores de rede controlar o acesso a recursos, tais como ficheiros, pastas e impressoras. Este acesso baseia-se o utilizador inicia sessão utilizando um método baseado em certificados de início de sessão e o tipo de certificado que é utilizado para iniciar sessão.
Neste artigo
Este artigo centra-se em dois cenários de problema: Iniciar/terminar sessão e de bloqueio/desbloqueio. O comportamento de AMA nestes cenários é "by design" e pode ser resumido da seguinte forma:

  • AMA destina-se a proteger os recursos de rede.
  • AMA pode não identificar nem impor o tipo de início de sessão interactivo (smart card ou nome de utilizador/palavra-passe) para o computador do utilizador local. Isto acontece porque os recursos que são acedidos após um início de sessão do utilizador interactivo não podem ser eficazmente protegidos utilizando AMA.
Sintomas

Problema cenário 1 (de início de sessão/terminar sessão)

Considere o seguinte cenário:
  • Um administrador pretende impor a autenticação de início de sessão de Smart Card (SC) quando os utilizadores acedem a determinados recursos crítica de segurança. Para tal, o administrador implementa AMA de acordo com o Garantia do mecanismo de autenticação para o AD DS no guia passo a passo do Windows Server 2008 R2 para o identificador de objecto de política de emissão que é utilizado em todos os certificados de cartão Smart Card.

    Nota Neste artigo, designamos por este novo grupo mapeado "o smart card universal grupo de segurança."
  • O "início de sessão interactivo: requerer cartão Smart Card" política não está activada em estações de trabalho. Por conseguinte, os utilizadores podem iniciar sessão utilizando outras credenciais, tais como nome de utilizador e palavra-passe.
  • Local e o grupo de segurança universal de cartão Smart Card requer o acesso ao recurso na rede.
Neste cenário, o que espera que apenas o utilizador que inicia sessão através da utilização de cartões Smart Card pode ter acesso local e recursos de rede. No entanto, uma vez que a estação de trabalho permite optimizado/em cache de início de sessão, o verificador em cache é utilizado durante o início de sessão para criar o token de acesso de NT para o ambiente de trabalho do utilizador. Por conseguinte, os grupos de segurança e reclamações do início de sessão anterior são utilizadas em vez do actual.

Exemplos de cenário

Nota Neste artigo, os membros do grupo é obtido para sessões de início de sessão interactivo utilizando "whoami/grupos". Este comando copia os grupos e as afirmações do token de acesso ao ambiente de trabalho.

  • Exemplo 1

    Se o início de sessão anterior tiver sido efectuado através da utilização de um cartão Smart Card, o token de acesso para o ambiente de trabalho tem o grupo de segurança universal de cartão smart card fornecidas pelo AMA. Ocorre uma dos seguintes resultados:

    • O utilizador inicia sessão utilizando o smart card: O utilizador ainda pode aceder a recursos confidenciais da segurança local. O utilizador tenta aceder a recursos de rede que requerem o grupo de segurança universal de cartão Smart Card. Estas tentativas bem sucedida.
    • O utilizador inicia sessão utilizando o nome de utilizador e palavra-passe: O utilizador ainda pode aceder a recursos confidenciais da segurança local. Este resultado não esperado. O utilizador tenta aceder a recursos de rede que requerem o grupo de segurança universal de cartão Smart Card. Estas tentativas falharem conforme esperado.
  • Exemplo 2

    Se o início de sessão anterior tiver sido efectuado através da utilização de uma palavra-passe, o token de acesso para o ambiente de trabalho não tem o grupo de segurança universal de cartão smart card fornecidas pelo AMA. Ocorre uma dos seguintes resultados:

    • O utilizador inicia sessão utilizando um nome de utilizador e palavra-passe: O utilizador não é possível aceder a recursos confidenciais da segurança local. O utilizador tenta aceder a recursos de rede que requerem o grupo de segurança universal de cartão Smart Card. Estas tentativas falharem.
    • O utilizador inicia sessão utilizando o smart card: O utilizador não é possível aceder a recursos confidenciais da segurança local. O utilizador tenta aceder a recursos de rede. Estas tentativas bem sucedida. Este outcomeisn't esperado por clientes. Por conseguinte, causar acesso problemas de controlo.

Problema cenário 2 (bloqueio/desbloqueio)

Considere o seguinte cenário:

  • Um administrador pretende impor a autenticação de início de sessão de Smart Card (SC) quando os utilizadores acedem a determinados recursos crítica de segurança. Para tal, o administrador implementa AMA segundo Garantia do mecanismo de autenticação para o AD DS no guia passo a passo do Windows Server 2008 R2 para o identificador de objecto de política de emissão que é utilizado em todos os certificados de cartão Smart Card.
  • O "início de sessão interactivo: requerer cartão Smart Card" política não está activada em estações de trabalho. Por conseguinte, os utilizadores podem iniciar sessão utilizando outras credenciais, tais como nome de utilizador e palavra-passe.
  • Local e o grupo de segurança universal de cartão Smart Card requer o acesso ao recurso na rede.
Neste cenário, o que espera que apenas um utilizador que inicia sessão através da utilização de cartões Smart Card pode aceder a local e recursos de rede. No entanto, uma vez que o token de acesso para o ambiente de trabalho do utilizador é criado durante o início de sessão, não é alterado.

Exemplos de cenário

  • Exemplo 1

    Se o token de acesso para o ambiente de trabalho tiver o grupo de segurança universal de cartão Smart Card fornecido pelo AMA, ocorre um dos seguintes resultados:

    • Desbloqueia o utilizador utilizando o smart card: O utilizador ainda pode aceder a recursos confidenciais da segurança local. O utilizador tenta aceder a recursos de rede que requerem o grupo de segurança universal de cartão Smart Card. Estas tentativas bem sucedida.
    • Desbloqueia o utilizador utilizando o nome de utilizador e palavra-passe: O utilizador ainda pode aceder a recursos confidenciais da segurança local. Este outcomeisn't esperado. O utilizador tenta aceder a recursos de rede que requerem o grupo de segurança universal de cartão Smart Card. Estas tentativas falharem.
  • Exemplo 2

    Se o token de acesso para o ambiente de trabalho não tiver o grupo de segurança universal de cartão Smart Card fornecido pelo AMA, ocorre uma dos seguintes resultados:

    • Desbloqueia o utilizador utilizando o nome de utilizador e palavra-passe: O utilizador não é possível aceder a recursos confidenciais da segurança local. O utilizador tenta aceder a recursos de rede que requerem o grupo de segurança universal de cartão Smart Card. Estas tentativas falharem.
    • Desbloqueia o utilizador utilizando o smart card: O utilizador não é possível aceder a recursos confidenciais da segurança local. Este outcomeisn't esperado. O utilizador tenta aceder a recursos de rede. Estas tentativas bem sucedida conforme esperado.
Mais Informação
Devido à concepção de AMA e o subsistema de segurança que é descrita na secção "Sintomas", os utilizadores detectam os seguintes cenários em que AMA com fiabilidade não consegue identificar o tipo de início de sessão interactivo.

Iniciar/terminar sessão

Se a optimização de rápida de início de sessão estiver activa, o subsistema de segurança Local (lsass) utiliza a local cache para gerar a associação a grupos no token de início de sessão. Deste modo, a comunicação com o controlador de domínio (DC) não é necessária. Por conseguinte, a hora de início de sessão é reduzida. Esta é altamente desejável funcionalidade.

No entanto, esta situação provoca o seguinte problema: depois de SC início e fim de sessão do SC, o grupo de AMA colocadas na cache local está, incorrectamente, ainda presente no token de utilizador depois do utilizador nome/palavra-passe início de sessão interactivo.

Notas

  • Esta situação aplica-se apenas a inícios de sessão interactivos.
  • Um grupo de AMA é colocado em cache da mesma forma e, utilizando a mesma lógica como outros grupos.

Nesta situação, se o utilizador tenta aceder a recursos de rede, membros de grupos em cache o sideisn'tused de recursos e a sessão do utilizador de início de sessão no lado do recurso não contêm um grupo de AMA.

Este problema pode ser resolvido desactivando a optimização de início de sessão rápido ("configuração do computador > Modelos administrativos > sistema > início de sessão > aguardar sempre detecção de rede no arranque do computador e início de sessão").

Importante Este comportamento é relevante apenas para o cenário de início de sessão interactivo. Acesso a recursos de rede irá funcionar como esperado porque não é necessário para a optimização de início de sessão. Por conseguinte, colocados em cache membershipisn't de grupo utilizado. O DC é contactado para criar a nova permissão, utilizando as informações de membros de grupo de AMA mais recente.

Bloqueio/desbloqueio

Considere o seguinte cenário:

  • Um utilizador inicia sessão interactivamente utilizando o smart card e, em seguida, abre os recursos de rede protegida de AMA.

    Nota Rede protegida AMA recursos podem ser acedidos apenas os utilizadores que têm um grupo de AMA no respectivo token de acesso.
  • O utilizador bloqueia o computador sem fechar primeiro o recurso de rede protegido AMA abertos anteriormente.
  • O utilizador desbloqueia o computador utilizando o nome de utilizador e palavra-passe do utilizador mesmo que anteriormente iniciou sessão utilizando um smart card).
Neste cenário, o utilizador ainda pode aceder os recursos protegidos por AMA depois do computador é desbloqueado. Este comportamento ocorre por predefinição. Whenthe computador é desbloqueado, o Windows não voltar a criar todas as sessões abertas que tinha recursos de rede. Windows também não verificar novamente se existem membros do grupo. Isto acontece porque estas acções causaria penalizações de desempenho inaceitável.

Não existe nenhuma solução out-of-box para este cenário. Uma solução seria criar um filtro de fornecedor de credenciais que filtra o fornecedor de nome/palavra-passe do utilizador após o início de sessão de SC e passos de bloqueio de ocorrer. Para obter mais informações sobre o fornecedor de credenciais, consulte os seguintes recursos:

Nota A Microsoft não pode confirmar se esta abordagem tem nunca foi implementada com êxito.

Obter mais informações sobre AMA

AMA pode não identificar nem impor o tipo de início de sessão interactivo (cartão Smart Card oruser nome/palavra-passe). Este comportamento ocorre por predefinição.

AMA destina-se cenários em que os recursos de rede procura um cartão Smart Card. Tem não se destina a ser utilizadopara acesso local.

Qualquer tentativa para corrigir este problema através da introdução de novas funcionalidades, tais como a capacidade para utilizar grupos dinâmicos ou a alça de AMA grupos como um grupo dinâmico, pode causar problemas significativos. É isso que tokens de NT não suportam membros de grupos dinâmicos. Se o sistema permitido grupos a cortar no real, os utilizadores podem ser impedidos de interagir com o seu próprio ambiente de trabalho e aplicações. Por conseguinte, os membros do grupo são bloqueados no momento em que a sessão é criada e são mantidos em toda a sessão.

Inícios de sessão em cache são também problemáticos. Se optimizada início de sessão estiver activado, o lsass tenta primeiro uma cache local antes de invocar uma rede viagem circular. Se o nome de utilizador e palavra-passe são idênticos aos que viu lsass para o início de sessão anterior (isto é verdadeiro para a maior parte dos inícios de sessão), o lsass cria um token que tenha os mesmos membros de grupos que o utilizador tinha anteriormente.

Se o início de sessão optimizado estiver desactivado, uma ida e volta de rede seria necessária. Thiswould Certifique-se de que os membros de grupos de trabalho no início de sessão conforme esperado.

Num início de sessão em cache, o lsass mantém uma entrada por utilizador. Esta entrada inclui membros do grupo anterior do utilizador. Este está protegido por ambos a última passwordor credencial do smart card que viu lsass. Ambos desmontar a mesma chave de token e credenciais. Se os utilizadores a tentar iniciar sessão utilizando uma chave de credenciais obsoletos, que seriam percam dados DPAPI, conteúdo protegido por EFS e assim sucessivamente. Por conseguinte, os inícios de sessão em cache sempre produzem os membros do grupo local mais recentes, independentemente do mecanismo que é utilizada para iniciar sessão.
Autenticação mecanismo garantia AMA início de sessão interactivo

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3101129 - Última Revisão: 11/21/2015 16:49:00 - Revisão: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtpt
Comentários