Aplica-se A
Windows Server 2012 R2 Standard Windows Server 2012 R2 Datacenter Windows 8.1 Pro Windows 8.1 Enterprise Windows Server 2012 Standard Windows Server 2012 Standard Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows 8 Pro Windows 8 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows 7 Enterprise Windows 7 Professional

Resumo

Este artigo aborda como utilizar a Garantia do Mecanismo de Autenticação (AMA) em cenários de início de sessão interativos.

Introdução

O AMA adiciona uma associação de grupo universal designada pelo administrador ao token de acesso de um utilizador quando as credenciais do utilizador são autenticadas durante o início de sessão através de um método de início de sessão baseado em certificado. Isto permite que os administradores de recursos de rede controlem o acesso aos recursos, como ficheiros, pastas e impressoras. Este acesso baseia-se no facto de o utilizador iniciar sessão através de um método de início de sessão baseado em certificado e do tipo de certificado utilizado para iniciar sessão.

Neste artigo

Este artigo centra-se em dois cenários problemáticos: início de sessão/fim de sessão e bloqueio/desbloqueio. O comportamento do AMA nestes cenários é "por predefinição" e pode ser resumido da seguinte forma:

  • O AMA destina-se a proteger recursos de rede.

  • O AMA não consegue identificar nem impor o tipo de início de sessão interativo (smart card ou nome de utilizador/palavra-passe) para o computador local do utilizador. Isto deve-se ao facto de os recursos que são acedidos após um início de sessão de utilizador interativo não poderem ser protegidos de forma fiável com o AMA.

Sintomas

Cenário do Problema 1 (início de sessão/fim de sessão)

Considere o seguinte cenário:

  • Um administrador quer impor a autenticação de Início de Sessão do Smart Card (SC) quando os utilizadores acedem a determinados recursos confidenciais de segurança. Para tal, o administrador implementa o AMA de acordo com a Garantia do Mecanismo de Autenticação para o AD DS no guia passo a passo do Windows Server 2008 R2 para o identificador de objeto de política de emissão utilizado em todos os certificados de smart card. Nota Neste artigo, referimo-nos a este novo grupo mapeado como "o grupo de segurança universal de smart card".

  • A política "Início de sessão interativo: Exigir smart card" não está ativada nas estações de trabalho. Por conseguinte, os utilizadores podem iniciar sessão com outras credenciais, como o nome de utilizador e a palavra-passe.

  • O acesso a recursos locais e de rede requer o grupo de segurança universal de smart card.

Neste cenário, espera que apenas o utilizador que inicia sessão através de smart cards possa aceder aos recursos locais e de rede. No entanto, como a estação de trabalho permite o início de sessão otimizado/em cache, o verificador em cache é utilizado durante o início de sessão para criar o token de acesso NT para o ambiente de trabalho do utilizador. Por conseguinte, os grupos de segurança e as afirmações do início de sessão anterior são utilizados em vez do atual.

Exemplos de cenários

Nota Neste artigo, a associação a grupos é obtida para sessões de início de sessão interativas com "whoami/groups". Este comando obtém os grupos e afirmações do token de acesso do ambiente de trabalho.

  • Exemplo 1Se o início de sessão anterior tiver sido efetuado através de um smart card, o token de acesso para ambiente de trabalho tem o grupo de segurança universal de smart card fornecido pelo AMA. Ocorre um dos seguintes resultados:

    • O utilizador inicia sessão com o smart card: o utilizador ainda pode aceder a recursos confidenciais de segurança locais. O utilizador tenta aceder aos recursos de rede que requerem o grupo de segurança universal de smart card. Estas tentativas são bem-sucedidas.

    • O utilizador inicia sessão com o nome de utilizador e a palavra-passe: o utilizador ainda pode aceder a recursos confidenciais de segurança local. Este resultado não é esperado. O utilizador tenta aceder aos recursos de rede que requerem o grupo de segurança universal de smart card. Estas tentativas falham conforme esperado.

  • Exemplo 2Se o início de sessão anterior tiver sido efetuado com uma palavra-passe, o token de acesso para ambiente de trabalho não tem o grupo de segurança universal de smart card fornecido pelo AMA. Ocorre um dos seguintes resultados:

    • O utilizador inicia sessão com um nome de utilizador e palavra-passe: o utilizador não consegue aceder a recursos confidenciais de segurança local. O utilizador tenta aceder aos recursos de rede que requerem o grupo de segurança universal de smart card. Estas tentativas falham.

    • O utilizador inicia sessão com o smart card: o utilizador não consegue aceder a recursos confidenciais de segurança local. O utilizador tenta aceder aos recursos de rede. Estas tentativas são bem-sucedidas. Este resultado não é esperado pelos clientes. Por conseguinte, causa problemas de controlo de acesso.

Cenário de Problema 2 (bloqueio/desbloqueio)

Considere o seguinte cenário:

  • Um administrador quer impor a autenticação de Início de Sessão do Smart Card (SC) quando os utilizadores acedem a determinados recursos confidenciais de segurança. Para tal, o administrador implementa o AMA de acordo com a Garantia do Mecanismo de Autenticação para o AD DS no guia passo a passo do Windows Server 2008 R2 para o identificador de objeto de política de emissão utilizado em todos os certificados de smart card.

  • A política "Início de sessão interativo: Exigir smart card" não está ativada nas estações de trabalho. Por conseguinte, os utilizadores podem iniciar sessão com outras credenciais, como o nome de utilizador e a palavra-passe.

  • O acesso a recursos locais e de rede requer o grupo de segurança universal de smart card.

Neste cenário, espera que apenas um utilizador que inicie sessão através de smart cards possa aceder aos recursos locais e de rede. No entanto, como o token de acesso para o ambiente de trabalho do utilizador é criado durante o início de sessão, não é alterado.

Exemplos de cenários

  • Exemplo 1Se o token de acesso para ambiente de trabalho tiver o grupo de segurança universal de smart card fornecido pela AMA, ocorrerá um dos seguintes resultados:

    • O utilizador desbloqueia através do smart card: o utilizador ainda pode aceder a recursos confidenciais de segurança local. O utilizador tenta aceder aos recursos de rede que requerem o grupo de segurança universal de smart card. Estas tentativas são bem-sucedidas.

    • O utilizador desbloqueia utilizando o nome de utilizador e a palavra-passe: o utilizador ainda pode aceder a recursos confidenciais de segurança local. Este resultado não é esperado. O utilizador tenta aceder aos recursos de rede que requerem o grupo de segurança universal de smart card. Estas tentativas falham.

  • Exemplo 2Se o token de acesso para ambiente de trabalho não tiver o grupo de segurança universal de smart card fornecido pela AMA, ocorrerá um dos seguintes resultados:

    • O utilizador desbloqueia utilizando o nome de utilizador e a palavra-passe: o utilizador não consegue aceder a recursos confidenciais de segurança local. O utilizador tenta aceder aos recursos de rede que requerem o grupo de segurança universal do smart card. Estas tentativas falham.

    • O utilizador desbloqueia com o smart card: o utilizador não consegue aceder a recursos confidenciais de segurança local. Este resultado não é esperado. O utilizador tenta aceder aos recursos de rede. Estas tentativas são bem-sucedidas conforme esperado.

Mais Informações

Devido ao design do Subsistema de Segurança e AMA descrito na secção "Sintomas", os utilizadores experimentam os seguintes cenários em que o AMA não consegue identificar de forma fiável o tipo de início de sessão interativo.

Início de sessão/fim de sessão

Se a otimização do Início de Sessão Rápido estiver ativa, o Subsistema de Segurança Local (lsass) utiliza a cache local para gerar associação a grupos no token de início de sessão. Ao fazê-lo, a comunicação com o controlador de domínio (DC) não é necessária. Por conseguinte, o tempo de início de sessão é reduzido. Esta funcionalidade é altamente desejável.No entanto, esta situação causa o seguinte problema: após o início de sessão sc e o início de sessão SC, o grupo AMA em cache localmente ainda está, incorretamente, presente no token de utilizador após o início de sessão interativo do nome de utilizador/palavra-passe.Notas

  • Esta situação aplica-se apenas a inícios de sessão interativos.

  • Um grupo AMA é colocado em cache da mesma forma e através da mesma lógica que outros grupos.

Nesta situação, se o utilizador tentar aceder aos recursos de rede, a associação a grupos em cache no lado do recurso não é utilizada e a sessão de início de sessão do utilizador no lado do recurso não conterá um grupo AMA.Este problema pode ser corrigido ao desativar a Otimização rápida de Início de Sessão ("Configuração do Computador > Modelos Administrativos > Sistema > Início de Sessão > Aguarde sempre pela rede no arranque e início de sessão do computador"). Importante Este comportamento é relevante apenas no cenário de início de sessão interativo. O acesso aos recursos de rede funcionará conforme esperado porque não é necessário otimizar o início de sessão. Por conseguinte, a associação a grupos em cache não é utilizada. O DC é contactado para criar o novo pedido de suporte com as informações de associação do grupo AMA mais recentes.

Bloquear/desbloquear

Considere o seguinte cenário:

  • Um utilizador inicia sessão interativamente com o smart card e, em seguida, abre os recursos de rede protegidos pelo AMA.Tenha em atenção que os recursos de rede protegidos pelo AMA só podem ser acedidos a utilizadores que tenham um grupo AMA no respetivo token de acesso.

  • O utilizador bloqueia o computador sem primeiro fechar o recurso de rede protegido por AMA anteriormente aberto.

  • O utilizador desbloqueia o computador utilizando o nome de utilizador e a palavra-passe do mesmo utilizador que iniciou sessão anteriormente através de um smart card).

Neste cenário, o utilizador ainda pode aceder aos recursos protegidos pelo AMA depois de o computador ser desbloqueado. Este comportamento é por predefinição. Quando o computador é desbloqueado, o Windows não recria todas as sessões abertas que tinham recursos de rede. O Windows também não verifica novamente a associação a grupos. Isto deve-se ao facto de estas acções provocarem penalizações de desempenho inaceitáveis.Não existe nenhuma solução inicial para este cenário. Uma solução seria criar um filtro do Fornecedor de Credenciais que filtra o fornecedor de nome de utilizador/palavra-passe após a ocorrência dos passos de início de sessão e bloqueio do SC. Para saber mais sobre o Fornecedor de Credenciais, veja os seguintes recursos:

Interface ICredentialProviderFilter Exemplos do Fornecedor de Credenciais do Windows VistaNota Não podemos confirmar se esta abordagem foi implementada com êxito.

Mais informações sobre o AMA

O AMA não consegue identificar nem impor o tipo de início de sessão interativo (smart card ou nome de utilizador/palavra-passe). Este comportamento é por predefinição.A AMA destina-se a cenários em que os recursos de rede exigem um smart card. Não se destina a ser utilizado para acesso local.Qualquer tentativa de corrigir este problema ao introduzir novas funcionalidades, como a capacidade de utilizar a associação a grupos dinâmicos ou processar grupos AMA como um grupo dinâmico, pode causar problemas significativos. É por isso que os tokens NT não suportam associações a grupos dinâmicos. Se o sistema permitiu que os grupos fossem cortados de forma real, os utilizadores poderiam ser impedidos de interagir com o seu próprio ambiente de trabalho e aplicações. Por conseguinte, as associações a grupos são bloqueadas no momento em que a sessão é criada e são mantidas ao longo da sessão.Os inícios de sessão em cache também são problemáticos. Se o início de sessão otimizado estiver ativado, o lsass tenta primeiro uma cache local antes de invocar um percurso de ida e volta de rede. Se o nome de utilizador e a palavra-passe forem idênticos ao que o lsass viu para o início de sessão anterior (isto é verdade para a maioria dos inícios de sessão), o lsass cria um token que tem as mesmas associações de grupo que o utilizador tinha anteriormente. Se o início de sessão otimizado estiver desativado, será necessária uma ida e volta de rede. Isto garantiria que as associações a grupos funcionam no início de sessão conforme esperado.Num início de sessão em cache, o lsass mantém uma entrada por utilizador. Esta entrada inclui a associação de grupo anterior do utilizador. Esta opção está protegida pela última palavra-passe ou credencial de smart card que o LSASS viu. Desembrulham o mesmo token e a mesma chave de credencial. Se os utilizadores tentassem iniciar sessão com uma chave de credencial obsoleta, perderiam dados DPAPI, conteúdo protegido por EFS, etc. Por conseguinte, os inícios de sessão em cache produzem sempre as associações de grupos locais mais recentes, independentemente do mecanismo utilizado para iniciar sessão.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade