Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Sammanfattning

Den här artikeln beskrivs hur du använder autentisering mekanism Assurance (AMA) i scenarier för interaktiv inloggning.

Introduktion

AMA lägger till en utsedd administratör, universella gruppmedlemskap användarens åtkomsttoken när användarens autentiseringsuppgifter autentiseras under inloggning med hjälp av en certifikatbaserad inloggningsmetod. Detta gör det möjligt för resursen för nätverksadministratörer att kontrollera åtkomst till resurser, till exempel filer, mappar och skrivare. Denna åtkomst utifrån om användaren loggar in med hjälp av en certifikatbaserad inloggningsmetod och vilken typ av certifikat som används för att logga in.

I den här artikeln

Den här artikeln fokuserar på två problem scenarier: inloggning och utloggning och lås/Lås upp. AMA beteende i scenarierna är "avsiktligt" och kan sammanfattas på följande sätt:

  • AMA är avsedd att skydda nätverksresurser.

  • AMA kan inte identifiera eller tvinga interaktiv inloggningstyp (smartkort eller användarnamn/lösenord) för användarens lokala dator. Detta beror på att resurser som är tillgängliga efter en interaktiv inloggning inte kan skyddas på ett tillförlitligt sätt med hjälp av AMA.

Symptom

Problem Scenario 1 (in-/ utloggning)

Föreställ dig följande:

  • En administratör vill framtvinga inloggning med smartkort (SC) autentisering när användare åtkomst till vissa känsliga resurser. Om du vill göra detta måste distribuerar administratören AMA enligt Autentiseringsmekanismskontroll för AD DS i Windows Server 2008 R2 Step-by-Step Guide för utgivningsprincips som används i alla smartkortscertifikat.

    Obs! I denna artikel kallar vi den nya mappade gruppen "smartkort universella gruppen."

  • Den "interaktiv inloggning: Kräv smartkort" principen är inte aktiverad på arbetsstationer. Därför kan användare logga in med hjälp av andra identitetsuppgifter som användarnamn och lösenord.

  • Lokala och nätverksåtkomst för resursen kräver smartkort universella gruppen.

I det här scenariot förväntas den enda användaren som registrerar på med hjälp av smartkort kan komma åt lokala och nätverksresurser. Men eftersom arbetsstationen kan optimerad/cachelagrad inloggning används cachelagrade kontrollören under inloggning för att skapa NT-åtkomsttoken för användarens skrivbord. Därför används säkerhetsgrupper och fordringar från den föregående inloggningen i stället för den aktuella.



Scenarioexempel

Obs! I den här artikeln hämtas gruppmedlemskap för interaktiv inloggningssessioner med hjälp av "whoami/grupper". Detta kommando hämtar grupper och fordringar från åtkomsttoken på skrivbordet.

  • Exempel 1

    Om den föregående inloggningen har utförts med hjälp av ett smartkort har åtkomst-token för skrivbordet smartkort universella gruppen som tillhandahålls av AMA. Händer något av följande resultat:

    • Användaren loggar in med hjälp av smartkortet: användaren kan fortfarande komma åt känsliga resurser för lokala säkerhetskonton. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök lyckas.

    • Användaren loggar in med användarnamn och lösenord: användaren kan fortfarande komma åt känsliga resurser för lokala säkerhetskonton. Det här resultatet förväntades inte. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök inte fungerar som förväntat.

  • Exempel 2

    Om den föregående inloggningen utfördes med ett lösenord, har inte åtkomst-token för skrivbordet smartkort universella gruppen som tillhandahålls av AMA. Händer något av följande resultat:

    • Användaren loggar in med ett användarnamn och lösenord: användaren kan inte komma åt känsliga resurser för lokala säkerhetskonton. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök misslyckas.

    • Användaren loggar in med hjälp av smartkortet: användaren kan inte komma åt känsliga resurser för lokala säkerhetskonton. Användaren försöker komma åt nätverksresurser. Dessa försök lyckas. Det här resultatet är inte förväntat efter kunder. Därför medför access control problem.

Problem Scenario 2 (Lås/Lås upp)

Föreställ dig följande:

  • En administratör vill framtvinga inloggning med smartkort (SC) autentisering när användare åtkomst till vissa känsliga resurser. Om du vill göra detta måste distribuerar administratören AMA enligt Autentiseringsmekanismskontroll för AD DS i Windows Server 2008 R2 Step-by-Step Guide för utgivningsprincips som används i alla smartkortscertifikat.

  • Den "interaktiv inloggning: Kräv smartkort" principen är inte aktiverad på arbetsstationer. Därför kan användare logga in med hjälp av andra identitetsuppgifter som användarnamn och lösenord.

  • Lokala och nätverksåtkomst för resursen kräver smartkort universella gruppen.

I det här scenariot tror du att en användare som registrerar på med hjälp av smartkort kan komma åt lokala och nätverksresurser. Men eftersom åtkomst-token för skrivbordet skapas under inloggningen kan ändras inte.



Scenarioexempel

  • Exempel 1

    Om åtkomst-token för skrivbordet smartkort universella gruppen som tillhandahålls av AMA, händer något av följande resultat:

    • Användaren låser upp med hjälp av smartkortet: användaren kan fortfarande komma åt känsliga resurser för lokala säkerhetskonton. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök lyckas.

    • Användaren låser upp med hjälp av användarnamn och lösenord: användaren kan fortfarande komma åt känsliga resurser för lokala säkerhetskonton. Det här resultatet förväntades inte. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök misslyckas.

  • Exempel 2

    Om åtkomst-token för skrivbordet saknar smartkort universella gruppen som tillhandahålls av AMA händer något av följande resultat:

    • Användaren låser upp med hjälp av användarnamn och lösenord: användaren kan inte komma åt känsliga resurser för lokala säkerhetskonton. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök misslyckas.

    • Användaren låser upp med hjälp av smartkortet: användaren kan inte komma åt känsliga resurser för lokala säkerhetskonton. Det här resultatet förväntades inte. Användaren försöker komma åt nätverksresurser. Dessa försök lyckas som förväntat.

Mer Information

AMA och säkerhetsundersystemet konstruerat som beskrivs i avsnittet "Symptom", drabbas användare av följande scenarier där AMA på ett tillförlitligt sätt inte kan identifiera typ av interaktiv inloggning.

Logon/logoff

Om snabb inloggningsoptimering är aktiv använder lokala säkerhetsundersystemet (lsass) lokala cache-minnet för att generera medlemskap i inloggningstoken. Genom att göra detta inte kommunikationen med domänkontrollanten (DC) krävs. Inloggningen minskas. Detta är mycket önskvärda funktion.

Men detta orsakar följande problem: när SC-inloggning och utloggning SC gruppen lokalt cachelagrade AMA är felaktigt, fortfarande finns i användarens token efter interaktiv inloggning och lösenord.

Kommentarer

  • Detta gäller bara för interaktiva inloggningar.

  • En grupp AMA cachelagras på samma sätt och med samma logik som andra grupper.


I det här fallet om användaren försöker sedan komma åt nätverksresurser, cachade medlemskap på resurssidan används inte och användarens inloggning på resurssidan innehålla inte en AMA grupp.

Det här problemet kan åtgärdas genom att stänga av optimering av snabb inloggning ("Datorkonfiguration > Administrationsmallar > System > inloggning > Vänta alltid på nätverket när datorn startas och vid inloggning").

Viktigt Detta är endast relevant scenario för interaktiv inloggning. Åtkomst till nätverksresurser fungerar som förväntat, eftersom det behövs inga inloggningsoptimering. Därför används cachelagrade gruppmedlemskapet inte. Domänkontrollanten kontakta om du vill skapa en ny biljett med hjälp av det nyaste AMA medlemsinformation.

Lock/unlock

Föreställ dig följande:

  • En användare loggar in interaktivt genom att använda smartkortet och öppnar AMA-skyddade nätverksresurser.

    Obs! AMA skyddat nätverk resurser kan vara åt användare som har en AMA grupp i deras åtkomst-token.

  • Användaren låser datorn utan att först stänga tidigare öppnade AMA-skyddade nätverksresursen.

  • Användaren låser upp datorn med hjälp av användarnamn och lösenord för samma användare som har loggat in med hjälp av ett smartkort).

I det här fallet kan användaren ändå använda AMA-skyddade resurser när datorn är låst. Detta är avsiktligt. När datorn låses återskapas Windows inte alla öppna sessioner som hade nätverksresurser. Windows Kontrollera också inte medlemskap. Detta beror på att dessa åtgärder skulle kunna orsaka oacceptabel prestanda påverkas negativt.

Det finns ingen lösning för out-of-box för det här scenariot. En lösning är att skapa ett autentiseringsuppgifter Provider filter som filtrerar bort providern för användare och lösenord efter inloggning för SC och lås utförs. Mer information om autentiseringsuppgifter providern finns i följande resurser:

Gränssnitt för ICredentialProviderFilter

Windows Vista autentiseringsuppgifter Provider proverObs!  Vi kan bekräfta om detta tillvägagångssätt någonsin har genomförts.

Mer information om AMA

AMA kan inte identifiera eller tvinga interaktiv inloggningstyp (smartkort eller användarnamn/lösenord). Detta är avsiktligt.

AMA är avsedd för scenarier där nätverksresurser kräver ett smartkort. Det har inte avsett att användas för lokal åtkomst.

Om du försöker åtgärda problemet genom att införa nya funktioner, till exempel möjlighet att använda dynamiska gruppmedlemskap eller hantera AMA grupper som en dynamisk grupp kan orsaka betydande problem. Det är därför NT token inte stöder dynamiska gruppmedlemskap. Om systemet tillåter grupper ska trimmas i real, förhindras användare att interagera med skrivbordet och program. Därför gruppmedlemskap är låst när sessionen skapas och underhålls under hela sessionen.

Cachelagrade inloggningar är också problematiskt. Om optimerad inloggning är aktiverad försöker en lokal cache först lsass innan du startar ett nätverk åtgärd. Om användarnamnet och lösenordet är identiska med lsass såg för den föregående inloggningen (Detta gäller för de flesta inloggningar), skapas en token som har samma gruppmedlemskap som användaren tidigare haft lsass.

En rundtur i nätverket skulle krävas om optimerad inloggning är avstängd. Detta ser till att gruppmedlemskap vid inloggning fungerar som förväntat.

I en cachelagrad inloggning håller lsass en post per användare. Den här posten innehåller användarens tidigare medlemskap. Detta är skyddad av den senaste lösenord eller ett smartkort autentiseringsuppgift lsass såg. Både packa upp samma nyckel för token och autentiseringsuppgifter. Om användare försöker logga in med hjälp av inaktuella referensnyckel, skulle de förlora DPAPI data, EFS-skyddat innehåll och så vidare. Cachelagrade inloggningar ger därför alltid de senaste lokala gruppmedlemskap, oavsett den mekanism som används för att logga in.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×