Обзор
В данной статье описывается использование надежности механизма проверки подлинности (AMA) в сценариях интерактивный вход в систему.
Введение
AMA добавляет назначен администратор, универсальные группы членства маркер доступа пользователя, если подлинность учетных данных пользователя при входе в систему, используя метод входа на основе сертификата. Это позволяет сетевым администраторам ресурсов для управления доступом к ресурсам, таким как файлы, папки и принтеры. Этот доступ основан на ли пользователь входит в систему, используя метод входа на основе сертификата и тип сертификата, который используется для входа.
В этой статье
Эта статья посвящена две ситуации проблема: вход/выход из системы и блокировки. В этих случаях поведение AMA — «конструктор» и могут быть кратко изложены следующим образом:
-
AMA предназначен для защиты сетевых ресурсов.
-
AMA можно определить, ни применять тип интерактивного входа в систему (смарт-карта или имя пользователя и пароль) для локального компьютера. Это происходит потому, что ресурсы, которые доступны после входа в систему интерактивного пользователя не могут надежно защищен с помощью AMA.
Симптомы
Проблема 1 сценарии (вход/выход)
Рассмотрим следующий сценарий:
-
Администратор для обеспечения проверки подлинности при входе со смарт-картой (SC) при доступе пользователя к определенным ресурсам конфиденциальные. Для этого администратор развертывает AMA по Надежность механизма проверки подлинности для службы AD DS в Windows Server 2008 R2 Пошаговое руководство для код объекта политики выдачи, используемый в все сертификаты смарт-карт.
Примечание. В этой статье мы называть эту новую группу сопоставленные «смарт-карт универсальную группу безопасности.» -
«Интерактивный вход: требуется смарт-карта» политика не включена на рабочих станциях. Таким образом пользователи могут войти в систему с помощью других учетных данных, например имя пользователя и пароль.
-
Локальные и доступа к ресурсам сети требуется смарт-карта универсальной группы безопасности.
В этом сценарии предполагается, что только пользователя, который подписывается с помощью смарт-карт доступ локальных и сетевых ресурсов. Тем не менее поскольку рабочая станция позволяет оптимизации кэширования входа, кэшированного проверяющий используется при входе в систему для создания маркера доступа NT для рабочего стола пользователя. Таким образом группы безопасности и заявок от предыдущего входа используются вместо текущего.
Примеры сценариев
Примечание. В этой статье членство в группах извлекаются для сеансов интерактивный вход в систему с помощью «whoami/группы». Эта команда извлекает группы и утверждения из маркера доступа на рабочем столе.
-
Пример 1.
Если предыдущего входа выполняется с помощью смарт-карты, маркер доступа для настольных ПК имеет смарт-карты универсальной группы безопасности, предоставляемые AMA. Произойдет одно из следующих результатов:-
Пользователь входит в систему с помощью смарт-карты: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки успешно.
-
Пользователь входит в систему, используя имя пользователя и пароль: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Этот результат не ожидается. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей, как ожидалось.
-
-
Пример 2
Если предыдущего входа было выполнено с помощью пароля, маркер доступа для настольных ПК имеет смарт-карты универсальной группы безопасности, предоставляемые AMA. Произойдет одно из следующих результатов:-
Пользователь входит в систему, используя имя пользователя и пароль: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей.
-
Пользователь входит в систему с помощью смарт-карты: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам. Эти попытки успешно. Этот результат не ожидается клиентами. Таким образом вызывает доступ проблемы управления.
-
Проблема 2 сценарий (блокировки)
Рассмотрим следующий сценарий:
-
Администратор для обеспечения проверки подлинности при входе со смарт-картой (SC) при доступе пользователя к определенным ресурсам конфиденциальные. Для этого администратор развертывает AMA по Надежность механизма проверки подлинности для службы AD DS в Windows Server 2008 R2 Пошаговое руководство для код объекта политики выдачи, используемый в все сертификаты смарт-карт.
-
«Интерактивный вход: требуется смарт-карта» политика не включена на рабочих станциях. Таким образом пользователи могут войти в систему с помощью других учетных данных, например имя пользователя и пароль.
-
Локальные и доступа к ресурсам сети требуется смарт-карта универсальной группы безопасности.
В этом сценарии предполагается, что только пользователь подписывает с помощью смарт-карт доступа к локальной и сетевых ресурсов. Тем не менее маркер доступа для пользователя настольного компьютера создается во время входа в систему, поэтому оно не изменяется.
Примеры сценариев
-
Пример 1.
Если маркер доступа для настольных ПК имеет смарт-карт универсальную группу безопасности предоставляемые AMA, возникнет одна из следующих результатов:-
Снимает блокировку пользователя с помощью смарт-карты: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки успешно.
-
Снимает блокировку пользователя, используя имя пользователя и пароль: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Этот результат не ожидается. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей.
-
-
Пример 2
Если маркер доступа для настольных ПК не поддерживает смарт-карты универсальной группы безопасности предоставляемые AMA, возникнет одна из следующих результатов:-
Снимает блокировку пользователя, используя имя пользователя и пароль: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей.
-
Снимает блокировку пользователя с помощью смарт-карты: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Этот результат не ожидается. Пользователь пытается получить доступ к сетевым ресурсам. Эти попытки успешно выполняться должным образом.
-
Дополнительные сведения
Из-за конструкции AMA и подсистему безопасности, описанное в разделе «Проблема» пользователей следующие сценарии, в которых AMA не может идентифицировать надежно тип интерактивный вход в систему.
Logon/logoff
Если активно оптимизации быстрого входа в систему, подсистема локальной безопасности (lsass) использует локальный кэш для создания членства в группе в маркеры входа в систему. При этом связь с контроллером домена (DC) не требуется. Следовательно уменьшается время входа в систему. Эта функция крайне желательной.
Однако в результате следующая проблема: после SC входа и выхода SC, локально кэшированных группы AMA — неправильно, все еще присутствует в маркере пользователя после интерактивного входа пользователя имя и пароль.
Примечания
-
Эта ситуация применяется только для интерактивного входа в систему.
-
Группу AMA кэшируются так же и, используя ту же логику в качестве других групп.
В этом случае, если пользователь пытается получить доступ к сетевым ресурсам, членство в группах кэширования на стороне ресурсов не используется и сеанса пользователя на стороне ресурсов не будет содержать группу AMA.
Проблемы могут быть исправлены путем отключения оптимизации быстрого входа в систему ("Конфигурация компьютера > Административные шаблоны > Система > Вход > всегда ожидать инициализации сети при загрузке и входе в систему»).
Важно! Это имеет смысл только в случае интерактивный вход в систему. Доступ к сетевым ресурсам будет работать, как ожидается, поскольку нет необходимости для оптимизации входа в систему. Таким образом принадлежность к кэшированным не используется. Установить связь с контроллером домена создать новый билет с помощью новыми версиями данные об участниках группы AMA.
Lock/unlock
Рассмотрим следующий сценарий:
-
Пользователь интерактивного входа с помощью смарт-карты, а затем открывает AMA защищенные сетевые ресурсы.
Примечание. AMA защищенные сетевые ресурсы могут быть доступны только пользователи, имеющие группу AMA в их маркер доступа. -
Пользователь блокирует компьютер, закрывая ранее открытые сети, защищенной AMA ресурсов.
-
Пользователь разблокирует компьютер, используя имя пользователя и пароль для одного пользователя, ранее войти в систему с помощью смарт-карты).
В этом сценарии пользователь обращаться к AMA-защищенные ресурсы после разблокирования компьютера. Данное поведение является особенностью. Если компьютер разблокируется, Windows не создается повторно открытых сеансов с сетевым ресурсам. Windows также не повторная проверка членства в группах. Это происходит потому, что эти действия вызовет снижение производительности санкции.
Нет никакого решения out-of-box для этого сценария. Одним из решений является создание поставщика учетных данных фильтр, который фильтрует поставщика имя и пароль пользователя после входа SC и выполняются действия блокировки. Для получения дополнительных сведений о поставщике учетных данных, обратитесь к следующим ресурсам:
ICredentialProviderFilter интерфейс
Примеры поставщика учетных данных Windows VistaПримечание. Мы не подтвердил ли этот подход всегда был успешно реализован.
Дополнительные сведения о AMA
AMA можно определить, ни применять тип интерактивного входа в систему (смарт-карта или имя пользователя и пароль). Данное поведение является особенностью.
AMA предназначен для сценариев, в которых сетевым ресурсам требовать смарт-карту. Он не был предназначен для использования для локального доступа.
Любая попытка решить эту проблему путем введения новых возможностей, например, возможность использовать членство в группах динамическое или дескриптор группы AMA как динамическую группу, может вызвать значительные проблемы. Вот почему маркеры NT не поддерживают динамическое членство в группах. Если система разрешенные группы для усечения в реальном, пользователи могут могут взаимодействовать с их рабочего стола и приложений. Таким образом членство в группах заблокирован во время создания сеанса и сохраняются на протяжении всего сеанса.
Кэшированные входов в систему, также проблематичным. При включении входа оптимизированного lsass сначала будет предпринята попытка локального кэша перед вызовом сети обращение. Если имя пользователя и пароль, идентичные видели lsass для предыдущего входа (это касается большинства входов) lsass создает маркер, который имеет же принадлежность к группам, которые пользователь должен был ранее.
При отключенном оптимизированного входа двунаправленное сети не требуются. Это бы убедитесь в группах работает при входе в систему должным образом.
В кэшированного входа lsass сохраняет одну запись для каждого пользователя. Эта запись включает предыдущие членство в группе пользователей. Они защищены последний пароль или учетные данные смарт-карты, видели lsass. Как развернуть тот же ключ маркера и учетных данных. Если попытаться войти в систему с помощью ключа устаревшие учетные данные пользователей, они будут потеряны DPAPI данных EFS защищенного содержимого и т. д. Таким образом кэшированного входа всегда производят последних членов локальных групп, независимо от того, механизм, который используется для входа.