Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

Обзор

В данной статье описывается использование надежности механизма проверки подлинности (AMA) в сценариях интерактивный вход в систему.

Введение

AMA добавляет назначен администратор, универсальные группы членства маркер доступа пользователя, если подлинность учетных данных пользователя при входе в систему, используя метод входа на основе сертификата. Это позволяет сетевым администраторам ресурсов для управления доступом к ресурсам, таким как файлы, папки и принтеры. Этот доступ основан на ли пользователь входит в систему, используя метод входа на основе сертификата и тип сертификата, который используется для входа.

В этой статье

Эта статья посвящена две ситуации проблема: вход/выход из системы и блокировки. В этих случаях поведение AMA — «конструктор» и могут быть кратко изложены следующим образом:

  • AMA предназначен для защиты сетевых ресурсов.

  • AMA можно определить, ни применять тип интерактивного входа в систему (смарт-карта или имя пользователя и пароль) для локального компьютера. Это происходит потому, что ресурсы, которые доступны после входа в систему интерактивного пользователя не могут надежно защищен с помощью AMA.

Симптомы

Проблема 1 сценарии (вход/выход)

Рассмотрим следующий сценарий:

  • Администратор для обеспечения проверки подлинности при входе со смарт-картой (SC) при доступе пользователя к определенным ресурсам конфиденциальные. Для этого администратор развертывает AMA по Надежность механизма проверки подлинности для службы AD DS в Windows Server 2008 R2 Пошаговое руководство для код объекта политики выдачи, используемый в все сертификаты смарт-карт.

    Примечание. В этой статье мы называть эту новую группу сопоставленные «смарт-карт универсальную группу безопасности.»

  • «Интерактивный вход: требуется смарт-карта» политика не включена на рабочих станциях. Таким образом пользователи могут войти в систему с помощью других учетных данных, например имя пользователя и пароль.

  • Локальные и доступа к ресурсам сети требуется смарт-карта универсальной группы безопасности.

В этом сценарии предполагается, что только пользователя, который подписывается с помощью смарт-карт доступ локальных и сетевых ресурсов. Тем не менее поскольку рабочая станция позволяет оптимизации кэширования входа, кэшированного проверяющий используется при входе в систему для создания маркера доступа NT для рабочего стола пользователя. Таким образом группы безопасности и заявок от предыдущего входа используются вместо текущего.



Примеры сценариев

Примечание. В этой статье членство в группах извлекаются для сеансов интерактивный вход в систему с помощью «whoami/группы». Эта команда извлекает группы и утверждения из маркера доступа на рабочем столе.

  • Пример 1.

    Если предыдущего входа выполняется с помощью смарт-карты, маркер доступа для настольных ПК имеет смарт-карты универсальной группы безопасности, предоставляемые AMA. Произойдет одно из следующих результатов:

    • Пользователь входит в систему с помощью смарт-карты: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки успешно.

    • Пользователь входит в систему, используя имя пользователя и пароль: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Этот результат не ожидается. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей, как ожидалось.

  • Пример 2

    Если предыдущего входа было выполнено с помощью пароля, маркер доступа для настольных ПК имеет смарт-карты универсальной группы безопасности, предоставляемые AMA. Произойдет одно из следующих результатов:

    • Пользователь входит в систему, используя имя пользователя и пароль: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей.

    • Пользователь входит в систему с помощью смарт-карты: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам. Эти попытки успешно. Этот результат не ожидается клиентами. Таким образом вызывает доступ проблемы управления.

Проблема 2 сценарий (блокировки)

Рассмотрим следующий сценарий:

  • Администратор для обеспечения проверки подлинности при входе со смарт-картой (SC) при доступе пользователя к определенным ресурсам конфиденциальные. Для этого администратор развертывает AMA по Надежность механизма проверки подлинности для службы AD DS в Windows Server 2008 R2 Пошаговое руководство для код объекта политики выдачи, используемый в все сертификаты смарт-карт.

  • «Интерактивный вход: требуется смарт-карта» политика не включена на рабочих станциях. Таким образом пользователи могут войти в систему с помощью других учетных данных, например имя пользователя и пароль.

  • Локальные и доступа к ресурсам сети требуется смарт-карта универсальной группы безопасности.

В этом сценарии предполагается, что только пользователь подписывает с помощью смарт-карт доступа к локальной и сетевых ресурсов. Тем не менее маркер доступа для пользователя настольного компьютера создается во время входа в систему, поэтому оно не изменяется.



Примеры сценариев

  • Пример 1.

    Если маркер доступа для настольных ПК имеет смарт-карт универсальную группу безопасности предоставляемые AMA, возникнет одна из следующих результатов:

    • Снимает блокировку пользователя с помощью смарт-карты: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки успешно.

    • Снимает блокировку пользователя, используя имя пользователя и пароль: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Этот результат не ожидается. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей.

  • Пример 2

    Если маркер доступа для настольных ПК не поддерживает смарт-карты универсальной группы безопасности предоставляемые AMA, возникнет одна из следующих результатов:

    • Снимает блокировку пользователя, используя имя пользователя и пароль: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей.

    • Снимает блокировку пользователя с помощью смарт-карты: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Этот результат не ожидается. Пользователь пытается получить доступ к сетевым ресурсам. Эти попытки успешно выполняться должным образом.

Дополнительные сведения

Из-за конструкции AMA и подсистему безопасности, описанное в разделе «Проблема» пользователей следующие сценарии, в которых AMA не может идентифицировать надежно тип интерактивный вход в систему.

Logon/logoff

Если активно оптимизации быстрого входа в систему, подсистема локальной безопасности (lsass) использует локальный кэш для создания членства в группе в маркеры входа в систему. При этом связь с контроллером домена (DC) не требуется. Следовательно уменьшается время входа в систему. Эта функция крайне желательной.

Однако в результате следующая проблема: после SC входа и выхода SC, локально кэшированных группы AMA — неправильно, все еще присутствует в маркере пользователя после интерактивного входа пользователя имя и пароль.

Примечания

  • Эта ситуация применяется только для интерактивного входа в систему.

  • Группу AMA кэшируются так же и, используя ту же логику в качестве других групп.


В этом случае, если пользователь пытается получить доступ к сетевым ресурсам, членство в группах кэширования на стороне ресурсов не используется и сеанса пользователя на стороне ресурсов не будет содержать группу AMA.

Проблемы могут быть исправлены путем отключения оптимизации быстрого входа в систему ("Конфигурация компьютера > Административные шаблоны > Система > Вход > всегда ожидать инициализации сети при загрузке и входе в систему»).

Важно! Это имеет смысл только в случае интерактивный вход в систему. Доступ к сетевым ресурсам будет работать, как ожидается, поскольку нет необходимости для оптимизации входа в систему. Таким образом принадлежность к кэшированным не используется. Установить связь с контроллером домена создать новый билет с помощью новыми версиями данные об участниках группы AMA.

Lock/unlock

Рассмотрим следующий сценарий:

  • Пользователь интерактивного входа с помощью смарт-карты, а затем открывает AMA защищенные сетевые ресурсы.

    Примечание. AMA защищенные сетевые ресурсы могут быть доступны только пользователи, имеющие группу AMA в их маркер доступа.

  • Пользователь блокирует компьютер, закрывая ранее открытые сети, защищенной AMA ресурсов.

  • Пользователь разблокирует компьютер, используя имя пользователя и пароль для одного пользователя, ранее войти в систему с помощью смарт-карты).

В этом сценарии пользователь обращаться к AMA-защищенные ресурсы после разблокирования компьютера. Данное поведение является особенностью. Если компьютер разблокируется, Windows не создается повторно открытых сеансов с сетевым ресурсам. Windows также не повторная проверка членства в группах. Это происходит потому, что эти действия вызовет снижение производительности санкции.

Нет никакого решения out-of-box для этого сценария. Одним из решений является создание поставщика учетных данных фильтр, который фильтрует поставщика имя и пароль пользователя после входа SC и выполняются действия блокировки. Для получения дополнительных сведений о поставщике учетных данных, обратитесь к следующим ресурсам:

ICredentialProviderFilter интерфейс

Примеры поставщика учетных данных Windows VistaПримечание. Мы не подтвердил ли этот подход всегда был успешно реализован.

Дополнительные сведения о AMA

AMA можно определить, ни применять тип интерактивного входа в систему (смарт-карта или имя пользователя и пароль). Данное поведение является особенностью.

AMA предназначен для сценариев, в которых сетевым ресурсам требовать смарт-карту. Он не был предназначен для использования для локального доступа.

Любая попытка решить эту проблему путем введения новых возможностей, например, возможность использовать членство в группах динамическое или дескриптор группы AMA как динамическую группу, может вызвать значительные проблемы. Вот почему маркеры NT не поддерживают динамическое членство в группах. Если система разрешенные группы для усечения в реальном, пользователи могут могут взаимодействовать с их рабочего стола и приложений. Таким образом членство в группах заблокирован во время создания сеанса и сохраняются на протяжении всего сеанса.

Кэшированные входов в систему, также проблематичным. При включении входа оптимизированного lsass сначала будет предпринята попытка локального кэша перед вызовом сети обращение. Если имя пользователя и пароль, идентичные видели lsass для предыдущего входа (это касается большинства входов) lsass создает маркер, который имеет же принадлежность к группам, которые пользователь должен был ранее.

При отключенном оптимизированного входа двунаправленное сети не требуются. Это бы убедитесь в группах работает при входе в систему должным образом.

В кэшированного входа lsass сохраняет одну запись для каждого пользователя. Эта запись включает предыдущие членство в группе пользователей. Они защищены последний пароль или учетные данные смарт-карты, видели lsass. Как развернуть тот же ключ маркера и учетных данных. Если попытаться войти в систему с помощью ключа устаревшие учетные данные пользователей, они будут потеряны DPAPI данных EFS защищенного содержимого и т. д. Таким образом кэшированного входа всегда производят последних членов локальных групп, независимо от того, механизм, который используется для входа.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×