Etkileşimli oturum açma senaryolarda Windows AMA kullanım açıklaması

ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.

Makalenin İngilizcesi aşağıdaki gibidir: 3101129
Özet
Etkileşimli oturum açma senaryolarda kimlik doğrulama mekanizması güvencesi (AMA) nasıl anlatılmaktadır.
Giriş
Sertifika tabanlı oturum açma yöntemini kullanarak oturum açma sırasında kullanıcının kimlik bilgileri doğrulanır, AMA bir yönetici tarafından belirlenmiş, evrensel grup üyeliği bir kullanıcının erişim işaretine ekler. Bu dosyalar, klasörler ve yazıcılar gibi kaynaklara erişimi denetlemek amacıyla ağ kaynak yöneticileri için olanak sağlar. Bu erişim olup sertifika tabanlı oturum açma yöntemi ve oturum açmak için kullanılan sertifika türünü kullanarak kullanıcı oturum açtığında dayanır.
Bu makalede
Bu makalede iki sorun senaryo üzerinde odaklanır: oturum açma/kapatma ve kilitleme ve kilidini. AMA bu senaryolarda davranışını "tasarım gereği" ise ve şu şekilde özetlenebilir:

  • AMA ağ kaynaklarını korumak için tasarlanmıştır.
  • AMA tanımlamak ne kullanıcının yerel bilgisayarda etkileşimli oturum açma türü (akıllı kart veya kullanıcı adı/parola) zorla. Bir etkileşimli kullanıcı oturum açma işleminden sonra erişilebilir kaynakları güvenilir AMA kullanılarak korunamaz olmasıdır.
Belirtiler

Sorun Senaryo 1 (oturum açma/oturum kapatma)

Aşağıdaki senaryoyu düşünün:
  • Yönetici (SC) akıllı kart oturum açma kimlik doğrulaması kullanıcıların belirli güvenlik açısından duyarlı kaynaklara erişirken zorlamak istiyor. Bunu yapmak için yönetici, AMA göre dağıtır Windows Server 2008 R2 adım adım Kılavuzu'nda AD DS için kimlik doğrulama mekanizması güvencesi Akıllı kart sertifikaları kullanılan verme ilkesi nesne tanımlayıcısı.

    Not: Bu makalede, biz bu yeni eşleştirilen gruba "akıllı kart Evrensel güvenlik grubu." bakın
  • "Etkileşimli oturum açma: Akıllı kart gerektir" ilkesi istasyonlarında etkin değildir. Bu nedenle, kullanıcılar kullanıcı adı ve parola gibi diğer kimlik bilgilerini kullanarak oturum açabilir.
  • Yerel ve ağ kaynağı erişimi gerektirir Akıllı Kart evrensel bir güvenlik grubu.
Bu senaryoda, akıllı kart kullanarak oturum açtıktan bu yalnızca kullanıcının yerel erişim ve ağ kaynaklarını beklersiniz. İş istasyonu oturum açma en iyi duruma getirilmiş ve önbelleğe izin verdiğinden, ancak önbelleğe alınan Doğrulayıcı oturum açma sırasında kullanıcının masaüstü için NT erişim belirtecini oluşturmak için kullanılır. Bu nedenle, güvenlik grupları ve önceki oturum açma talepleri yerine geçerli olanı kullanılır.

Senaryo örnekleri

Not: Bu makalede, grup üyeliği için etkileşimli oturum açma seansları "whoami/gruplar." kullanılarak alınır Bu komut masaüstünün erişim belirtecinden grupları ve talepleri alır.

  • Örnek 1

    Akıllı kart kullanarak oturum açma önceki yapılmışsa, Masaüstü için erişim belirteci AMA tarafından sağlanan akıllı kart Evrensel güvenlik grubu vardır. Aşağıdaki sonuçlar ortaya çıkar:

    • Akıllı kart kullanarak oturum açan kullanıcı: kullanıcı yerel güvenlik duyarlı kaynaklara erişmeye devam edebilirsiniz. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Bu girişimler başarılı.
    • Kullanıcı adı ve parola kullanarak oturum açan kullanıcı: kullanıcı yerel güvenlik duyarlı kaynaklara erişmeye devam edebilirsiniz. Bu sonucu beklenen değil. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Beklendiği gibi bu girişimleri başarısız.
  • Örnek 2

    Önceki oturum açma bir parola kullanarak yapılmışsa, AMA tarafından sağlanan akıllı kart Evrensel güvenlik grubu için Masaüstü erişim belirteci yok. Aşağıdaki sonuçlar ortaya çıkar:

    • Bir kullanıcı adı ve parola kullanarak oturum: kullanıcı yerel güvenlik duyarlı kaynaklara erişemez. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Bu girişimler başarısız.
    • Akıllı kart kullanarak oturum açan kullanıcı: kullanıcı yerel güvenlik duyarlı kaynaklara erişemez. Kullanıcı, ağ kaynaklarına erişmeyi dener. Bu girişimler başarılı. Müşteriler tarafından beklenen bu outcomeisn't. Bu nedenle, erişim denetimi sorunları olur.

Sorun Senaryo 2 (Kilitle/Kilidini Aç)

Aşağıdaki senaryoyu düşünün:

  • Yönetici (SC) akıllı kart oturum açma kimlik doğrulaması kullanıcıların belirli güvenlik açısından duyarlı kaynaklara erişirken zorlamak istiyor. Bunu yapmak için yönetici, AMA göre dağıtır Windows Server 2008 R2 adım adım Kılavuzu'nda AD DS için kimlik doğrulama mekanizması güvencesi Akıllı kart sertifikaları kullanılan verme ilkesi nesne tanımlayıcısı.
  • "Etkileşimli oturum açma: Akıllı kart gerektir" ilkesi istasyonlarında etkin değildir. Bu nedenle, kullanıcılar kullanıcı adı ve parola gibi diğer kimlik bilgilerini kullanarak oturum açabilir.
  • Yerel ve ağ kaynağı erişimi gerektirir Akıllı Kart evrensel bir güvenlik grubu.
Bu senaryoda, akıllı kartlar kullanarak imzalar bir kullanıcı yerel erişim ve ağ kaynaklarını beklersiniz. Ancak, oturum açma sırasında kullanıcının masaüstü için erişim belirteci oluşturulur çünkü onu değiştirilmez.

Senaryo örnekleri

  • Örnek 1

    Masaüstü için erişim belirteci AMA tarafından sağlanan akıllı kart Evrensel güvenlik grubu varsa, aşağıdaki sonuçlar biri oluşur:

    • Kullanıcı akıllı kart kullanarak kilidini açar: kullanıcı yerel güvenlik duyarlı kaynaklara erişmeye devam edebilirsiniz. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Bu girişimler başarılı.
    • Kullanıcı kullanıcı adı ve parola kullanarak kilidini açar: kullanıcı yerel güvenlik duyarlı kaynaklara erişmeye devam edebilirsiniz. Bu outcomeisn't bekleniyor. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Bu girişimler başarısız.
  • Örnek 2

    Masaüstü için erişim belirteci AMA tarafından sağlanan akıllı kart Evrensel güvenlik grubu yoksa, aşağıdaki sonuçlar biri oluşur:

    • Kullanıcı, kullanıcı adı ve parola kullanarak kilidini açar: kullanıcı yerel güvenlik duyarlı kaynaklara erişemez. Kullanıcı akıllı kart Evrensel güvenlik grubunu gerektiren ağ kaynaklarına erişmeyi dener. Bu girişimler başarısız.
    • Kullanıcı akıllı kart kullanarak kilidini açar: kullanıcı yerel güvenlik duyarlı kaynaklara erişemez. Bu outcomeisn't bekleniyor. Kullanıcı, ağ kaynaklarına erişmeyi dener. Beklendiği gibi bu girişimler başarılı.
Daha fazla bilgi
"Belirtiler" bölümünde açıklanan AMA ve güvenlik alt sistemi tasarımı nedeniyle, kullanıcılar aşağıdaki senaryolarda, AMA etkileşimli oturum açma türünü güvenle tanımlayamıyor yaşarsınız.

Oturum açma/kapatma

Hızlı oturum açma en iyi duruma getirme etkin değilse, yerel güvenlik alt sistemi (lsass) grup üyeliği oturum açma belirteç üretmek için yerel önbelleği kullanır. Bunu yaptığınızda, etki alanı denetleyicisi (DC) ile iletişimin gerekli deðildir. Bu nedenle, oturum açma süresi azalır. Bu önemle tavsiye ettiği bir özelliktir.

Ancak, bu durum aşağıdaki sorun neden olur: SC sonra oturum açma ve oturum kapatma SC, yerel olarak önbelleğe alınmış AMA grubudur, yanlış, sonra kullanıcı adı/parola etkileşimli oturum açma kullanıcı simgesi hala mevcut.

Notlar

  • Bu durum, yalnızca etkileşimli oturum açmaları için geçerlidir.
  • AMA grup diğer grupları aynı mantığı kullanarak ve aynı şekilde önbelleğe alınır.

Kullanıcı sonra ağ kaynaklarına erişmeye çalışırsa, bu durumda, AMA grup üzerinde kaynak sideisn'tused önbelleğe alınmış grup üyeliğini ve kullanıcı oturum açma oturumu kaynak tarafında içermezler.

Bu sorunu hızlı oturum açma en iyileştirmeyi devre dışı bırakarak sabit ("Bilgisayar Yapılandırması > Yönetim Şablonları > sistem > oturum açma > ağ bilgisayar açılışında ve oturum açmada her zaman bekle").

Önemli: Bu davranış, yalnızca etkileşimli oturum açma senaryoda ilgilidir. Ağ kaynaklarına erişim için oturum açma en iyileştirmeyi gerek yoktur çünkü beklendiği gibi çalışır. Bu nedenle, Grup membershipisn't kullanılan önbelleğe alınmış. En yeni AMA grup üyeliği bilgileri kullanarak yeni bir anahtar oluşturmak için DC kurulur.

Kilitle/Kilidini Aç

Aşağıdaki senaryoyu düşünün:

  • Bir kullanıcı akıllı kart kullanarak etkileşimli olarak oturum açan ve AMA korumalı ağ kaynaklarına açar.

    Not: AMA korumalı ağ kaynakları olabilir AMA grup kendi erişim simgesinde yalnızca kullanıcılar erişilir.
  • Kullanıcı daha önce açılmış AMA korumalı ağ kaynağı kapatmadan bilgisayarınızı kilitler.
  • Kullanıcıyı bilgisayarın kullanıcı adı ve daha önce bir akıllı kart kullanarak oturum açan kullanıcının parolasını kullanarak kilidini açar).
Bilgisayar kilidi açıldıktan sonra bu senaryoda, kullanıcı AMA korunan kaynaklara erişmeye devam edebilirsiniz. Bu davranış normaldir. Onreadystatechange bilgisayar kilitli değil, Windows, ağ kaynaklarına sahip olduğu tüm açık oturumları yeniden oluşturmaz. Windows grup üyeliği de yeniden değil. Bu eylemleri kabul edilemez performans yaptırımlara neden olmasıdır.

Bu senaryo için out-of-box çözümü yoktur. SC oturum açma sonra kullanıcı adı/parola sağlayıcısı filtreleri bir kimlik bilgisi sağlayıcısı filtre oluşturmak için bir çözüm olabilir ve kilit adımlar gerçekleşir. Kimlik bilgisi sağlayıcısı hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın:

Not: Bu yaklaşım her zamankinden başarıyla uygulanmadı olup olmadığını onaylamak olamaz.

AMA hakkında daha fazla bilgi

AMA tanımlamak ne zorla etkileşimli oturum açma türü (akıllı kart oruser adı/parola). Bu davranış normaldir.

AMA ağ kaynaklarına akıllı kart isteğe bağlı senaryoları için amaçlanmıştır. Bunu öğreneceksiniz yerel erişim olmasını hedeflediğimiz değil.

Dinamik bir grup olarak tanıtıcı AMA gruplarına veya dinamik grup üyeliği kullanma yeteneği gibi yeni özellikler sunarak bu sorunu gidermek giriþimleri önemli sorunlara neden olabilir. Dinamik grup üyeliklerini NT belirteçlerini desteklemeyen nedeni budur. Sistem içinde gerçek kesileceği grupları izin veriliyorsa, kullanıcılar kendi Masaüstü ve uygulamalarla etkileşim kurma engellenebilir. Bu nedenle, grup üyeliklerini oturumun oluşturulduğu sırada kilitli ve oturum boyunca korunur.

Önbelleğe alınan oturum açmaları da sorunlara neden olmaktadır. En iyi duruma getirilmiş bir oturum açma etkinleştirildiğinde, ağ turda çağırır önce lsass önce yerel bir önbellek dener. Kullanıcı adı ve parola ne lsass (Bu birçok oturum açmaları için geçerlidir) önceki oturum açma kullanıcısı için gördüğünüz için aynıysa, lsass kullanıcı önceden sahip olan aynı grup üyelikleri olan bir belirteci oluşturur.

En iyi duruma getirilmiş bir oturum açma devre dışı bırakılırsa, ağ gidiş dönüş gerekli olacaktır. Thiswould grup üyeliklerini oturum açma sırasında beklendiği gibi çalıştığından emin olun.

Önbelleğe alınmış oturum açma kullanıcı her bir giriş lsass tutar. Bu girdi, kullanıcının önceki Grup üyeliğini içerir. Bu gördüğünüz lsass hem son passwordor akıllı kart kimlik bilgisi tarafından korunmaktadır. Her ikisi de aynı simge ve kimlik anahtarını sarmalanmış. Kullanıcıların eski kimlik bilgisi anahtarı'nı kullanarak oturum açmayı denediğinizde olsaydı, DPAPI veri, EFS korumalı içerik ve benzeri kaybeder. Bu nedenle, önbelleğe alınmış oturum açma en son yerel grup üyelikleri, oturum açmak için kullanılan mekanizma ne olursa olsun her zaman üretir.
Kimlik doğrulama mekanizması güvencesi AMA etkileşimli oturum açma

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 3101129 - Son İnceleme: 11/21/2015 16:52:00 - Düzeltme: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMttr
Geri bildirim