Аннотация
В этой статье рассматривается использование проверки подлинности (AMA) в интерактивных сценариях входа.
Введение
AMA добавляет назначенное администратором универсальное членство в группе к маркеру доступа пользователя, когда учетные данные пользователя проходят проверку подлинности во время входа с помощью метода входа на основе сертификата. Это позволяет администраторам сетевых ресурсов управлять доступом к ресурсам, таким как файлы, папки и принтеры. Этот доступ зависит от того, входит ли пользователь в систему с помощью метода входа на основе сертификата и типа сертификата, используемого для входа.
В этой статье
В этой статье рассматриваются два сценария проблем: вход в систему, выход из системы и блокировка и разблокировка. Поведение AMA в этих сценариях является "по разработке" и может быть обобщено следующим образом:
-
AMA предназначен для защиты сетевых ресурсов.
-
AMA не может ни идентифицировать, ни принудительно применять тип интерактивного входа (смарт-карта или имя пользователя или пароль) для локального компьютера пользователя. Это связано с тем, что ресурсы, доступ к которым осуществляется после интерактивного входа пользователя, не могут быть надежно защищены с помощью AMA.
Проблемы
Сценарий проблемы 1 (вход или выход из системы)
Рассмотрим следующий сценарий.
-
Администратор хочет применить проверку подлинности для входа с помощью смарт-карты (SC) при доступе пользователей к определенным ресурсам, чувствительным к безопасности. Для этого администратор развертывает AMA в соответствии с пошаговным руководством по механизму проверки подлинности для AD DS Windows Server 2008 R2 для идентификатора объекта политики выдачи, используемого во всех сертификатах смарт-карта. Примечание. В этой статье мы называем эту новую сопоставленную группу "интеллектуальной карта универсальной группой безопасности".
-
Политика "Интерактивный вход: требовать смарт-карта" не включена на рабочих станциях. Таким образом, пользователи могут войти в систему с помощью других учетных данных, таких как имя пользователя и пароль.
-
Для доступа к локальным и сетевым ресурсам требуется интеллектуальная карта универсальная группа безопасности.
В этом сценарии ожидается, что доступ к локальным и сетевым ресурсам сможет получить только пользователь, который входит с помощью смарт-карт. Однако так как рабочая станция обеспечивает оптимизированный или кэшированный вход, кэшированное средство проверки используется во время входа для создания маркера доступа NT для рабочего стола пользователя. Поэтому вместо текущего используются группы безопасности и утверждения из предыдущего входа.
Примеры сценариев
Примечание. В этой статье членство в группах извлекается для интерактивных сеансов входа с помощью команды whoami/groups. Эта команда извлекает группы и утверждения из маркера доступа рабочего стола.
-
Пример 1. Если предыдущий вход выполнялся с помощью интеллектуального карта, маркер доступа для рабочего стола имеет универсальную группу безопасности smart карта, предоставляемую AMA. Возникает один из следующих результатов:
-
Пользователь входит в систему с помощью интеллектуальной карта. Пользователь по-прежнему может получить доступ к локальным ресурсам, чувствительным к безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется интеллектуальная карта универсальной группы безопасности. Эти попытки увенчались успехом.
-
Пользователь входит в систему, используя имя пользователя и пароль. Пользователь по-прежнему может получить доступ к локальным ресурсам, конфиденциальным для безопасности. Этот результат не ожидается. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется интеллектуальная карта универсальной группы безопасности. Эти попытки завершаются ошибкой.
-
-
Пример 2. Если предыдущий вход был выполнен с помощью пароля, маркер доступа для рабочего стола не имеет универсальной группы безопасности интеллектуальной карта, предоставляемой AMA. Возникает один из следующих результатов:
-
Пользователь входит в систему с помощью имени пользователя и пароля. Пользователь не может получить доступ к локальным ресурсам, чувствительным к безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется интеллектуальная карта универсальной группы безопасности. Эти попытки завершаются ошибкой.
-
Пользователь входит в систему с помощью интеллектуальной карта: пользователь не может получить доступ к локальным ресурсам, чувствительным к безопасности. Пользователь пытается получить доступ к сетевым ресурсам. Эти попытки увенчались успехом. Этот результат не ожидается клиентами. Таким образом, это приводит к проблемам управления доступом.
-
Сценарий проблемы 2 (блокировка и разблокировка)
Рассмотрим следующий сценарий:
-
Администратор хочет применить проверку подлинности для входа с помощью смарт-карты (SC) при доступе пользователей к определенным ресурсам, чувствительным к безопасности. Для этого администратор развертывает AMA в соответствии с параметром Authentication Mechanism Assurance для AD DS в Windows Server 2008 R2 Пошаговое руководство для идентификатора объекта политики выдачи, используемого во всех сертификатах смарт-карта.
-
Политика "Интерактивный вход: требовать смарт-карта" не включена на рабочих станциях. Таким образом, пользователи могут войти в систему с помощью других учетных данных, таких как имя пользователя и пароль.
-
Для доступа к локальным и сетевым ресурсам требуется интеллектуальная карта универсальная группа безопасности.
В этом сценарии ожидается, что доступ к локальным и сетевым ресурсам может получить только пользователь, который входит с помощью смарт-карт. Однако, так как маркер доступа для рабочего стола пользователя создается во время входа, он не изменяется.
Примеры сценариев
-
Пример 1. Если маркер доступа для рабочего стола имеет интеллектуальную карта универсальную группу безопасности, предоставляемую AMA, возникает один из следующих результатов:
-
Пользователь разблокирует с помощью интеллектуальной карта. Пользователь по-прежнему может получать доступ к локальным ресурсам, чувствительным к безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется интеллектуальная карта универсальной группы безопасности. Эти попытки увенчались успехом.
-
Пользователь разблокирует, используя имя пользователя и пароль. Пользователь по-прежнему может получить доступ к локальным ресурсам, чувствительным к безопасности. Этот результат не ожидается. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется интеллектуальная карта универсальной группы безопасности. Эти попытки завершаются ошибкой.
-
-
Пример 2. Если маркер доступа для рабочего стола не имеет интеллектуальной карта универсальной группы безопасности, предоставляемой AMA, возникает один из следующих результатов:
-
Пользователь разблокирует, используя имя пользователя и пароль. Пользователь не может получить доступ к локальным ресурсам, чувствительным к безопасности. Пользователь пытается получить доступ к сетевым ресурсам, для которых требуется интеллектуальная карта универсальная группа безопасности. Эти попытки завершаются ошибкой.
-
Пользователь разблокирует с помощью интеллектуальной карта: пользователь не может получить доступ к локальным ресурсам, чувствительным к безопасности. Этот результат не ожидается. Пользователь пытается получить доступ к сетевым ресурсам. Эти попытки выполняются успешно, как ожидалось.
-
Дополнительная информация
Из-за структуры подсистемы AMA и безопасности, описанной в разделе "Симптомы", пользователи сталкиваются со следующими сценариями, в которых AMA не может надежно определить тип интерактивного входа.
Вход и выход из системы
Если активна оптимизация быстрого входа, локальная подсистема безопасности (lsass) использует локальный кэш для создания членства в группе в маркере входа. При этом связь с контроллером домена (DC) не требуется. Таким образом, время входа сокращается. Это очень желательная функция.Однако в этой ситуации возникает следующая проблема: после входа в систему SC и выхода SC локально кэшированная группа AMA по-прежнему по-прежнему отображается в маркере пользователя после интерактивного входа с именем пользователя или паролем.Заметки
-
Эта ситуация относится только к интерактивным входам.
-
Группа AMA кэшируется таким же образом и с использованием той же логики, что и другие группы.
В этой ситуации, если пользователь пытается получить доступ к сетевым ресурсам, кэшированное членство в группе на стороне ресурса не используется, а сеанс входа пользователя на стороне ресурса не будет содержать группу AMA.Эту проблему можно устранить, отключив оптимизацию быстрого входа ("Конфигурация компьютера > административные шаблоны > системный > вход > Всегда подождите, пока сеть запускается и войдет в систему". Важно! Это поведение актуально только в интерактивном сценарии входа. Доступ к сетевым ресурсам будет работать должным образом, так как оптимизация входа не требуется. Таким образом, кэшированное членство в группах не используется. Контроллер домена связывается, чтобы создать новый билет, используя свежую информацию о членстве в группе AMA.
Блокировка и разблокировка
Рассмотрим следующий сценарий:
-
Пользователь входит в систему в интерактивном режиме с помощью интеллектуальной карта, а затем открывает сетевые ресурсы, защищенные AMA.Примечание. Доступ к защищенным сетевым ресурсам AMA можно получить только пользователям, у которых в маркере доступа есть группа AMA.
-
Пользователь блокирует компьютер, не закрывая ранее открытый сетевой ресурс, защищенный AMA.
-
Пользователь разблокирует компьютер, используя имя пользователя и пароль того же пользователя, который ранее вошел в систему с помощью смарт-карта).
В этом сценарии пользователь по-прежнему может получить доступ к защищенным AMA ресурсам после разблокировки компьютера. Такое поведение является особенностью данного продукта. Когда компьютер разблокирован, Windows не создает повторно все открытые сеансы с сетевыми ресурсами. Windows также не проверяет членство в группах повторно. Это связано с тем, что эти действия могут привести к неприемлемым штрафам за производительность.Для этого сценария нет встроенного решения. Одним из решений является создание фильтра поставщика учетных данных, который отфильтровывает поставщик имени пользователя или пароля после выполнения шагов входа и блокировки SC. Дополнительные сведения о поставщике учетных данных см. в следующих ресурсах:
Интерфейс ICredentialProviderFilterПримеры поставщиков учетных данных Windows VistaПримечание. Мы не можем подтвердить, был ли этот подход успешно реализован.
Дополнительные сведения о AMA
AMA не может ни идентифицировать, ни принудительно применять тип интерактивного входа (смарт-карта или имя пользователя или пароль). Такое поведение является особенностью данного продукта.AMA предназначена для сценариев, в которых сетевым ресурсам требуется интеллектуальный карта. Он не предназначен для локального доступа.Любая попытка устранить эту проблему путем введения новых функций, таких как возможность использования динамического членства в группах или обработки групп AMA в качестве динамической группы, может привести к значительным проблемам. Именно поэтому токены NT не поддерживают динамическое членство в группах. Если система разрешает обрезать группы в реальном режиме, пользователям может быть запрещено взаимодействовать с собственным рабочим столом и приложениями. Таким образом, членство в группах блокируется во время создания сеанса и сохраняется на протяжении всего сеанса.Кэшированные входы также проблематичны. Если включен оптимизированный вход, lsass сначала пытается создать локальный кэш, прежде чем вызвать круговой обход по сети. Если имя пользователя и пароль идентичны тому, что lsass видел для предыдущего входа (это верно для большинства входов), lsass создает маркер с тем же членством в группах, что и пользователь ранее. Если оптимизированный вход отключен, потребуется циклический обход по сети. Это обеспечит правильное выполнение членства в группах при входе в систему.В кэшированном входе lsass сохраняет одну запись на пользователя. Эта запись включает предыдущее членство пользователя в группе. Это защищено как последним паролем, так и смарт-карта учетными данными, которые видели lsass. Оба распаковывают один и тот же маркер и ключ учетных данных. Если бы пользователи попытались войти в систему с помощью устаревшего ключа учетных данных, они потеряют данные DPAPI, содержимое, защищенное EFS, и т. д. Таким образом, кэшированные входы всегда создают последние локальные членства в группах, независимо от механизма, используемого для входа.