Uygulandığı Öğe
Windows Server 2012 R2 Standard Windows Server 2012 R2 Datacenter Windows 8.1 Pro Windows 8.1 Enterprise Windows Server 2012 Standard Windows Server 2012 Standard Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows 8 Pro Windows 8 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows 7 Enterprise Windows 7 Professional

Özet

Bu makalede, etkileşimli oturum açma senaryolarında Kimlik Doğrulama Mekanizması Güvencesi'nin (AMA) nasıl kullanılacağı açıklanır.

Giriş

AMA, kullanıcının kimlik bilgileri oturum açma sırasında sertifika tabanlı bir oturum açma yöntemi kullanılarak doğrulandığında kullanıcının erişim belirtecine yönetici tarafından belirlenmiş, evrensel bir grup üyeliği ekler. Bu, ağ kaynağı yöneticilerinin dosyalar, klasörler ve yazıcılar gibi kaynaklara erişimi denetlemesini mümkün kılar. Bu erişim, kullanıcının sertifika tabanlı bir oturum açma yöntemi kullanarak oturum açıp açmadığına ve oturum açmak için kullanılan sertifika türüne bağlıdır.

Bu makalede

Bu makalede iki sorun senaryosuna odaklanmaktadır: oturum açma/kapatma ve kilitleme/kilit açma. Bu senaryolarda AMA'nın davranışı "tasarım gereğidir" ve aşağıdaki gibi özetlenebilir:

  • AMA, ağ kaynaklarını korumaya yöneliktir.

  • AMA, kullanıcının yerel bilgisayarı için etkileşimli oturum açma türünü (akıllı kart veya kullanıcı adı/parola) tanımlayamaz veya zorlayamaz. Bunun nedeni, etkileşimli bir kullanıcı oturum açma işlemi sonrasında erişilen kaynakların AMA kullanılarak güvenilir bir şekilde korunamamalarıdır.

Belirtiler

Sorun Senaryosu 1 (oturum açma/kapatma)

Aşağıdaki senaryoyu inceleyin:

  • Bir yönetici, kullanıcılar belirli güvenlik duyarlı kaynaklara eriştiğinde Akıllı Kart (SC) Oturum Açma kimlik doğrulamasını zorunlu kılmak istiyor. Bunu yapmak için yönetici, tüm akıllı kart sertifikalarında kullanılan verme ilkesi nesne tanımlayıcısı için Windows Server 2008 R2 Adım Adım Kılavuzunda AD DS için Kimlik Doğrulama Mekanizması Güvencesi'ne göre AMA dağıtır. Not Bu makalede, bu yeni eşlenmiş grubu "akıllı kart evrensel güvenlik grubu" olarak adlandırıyoruz.

  • "Etkileşimli oturum açma: Akıllı kart gerektir" ilkesi iş istasyonlarında etkin değildir. Bu nedenle, kullanıcılar kullanıcı adı ve parola gibi diğer kimlik bilgilerini kullanarak oturum açabilir.

  • Yerel ve ağ kaynağı erişimi için akıllı kart evrensel güvenlik grubu gerekir.

Bu senaryoda, yalnızca akıllı kartları kullanarak oturum açan kullanıcının yerel kaynaklara ve ağ kaynaklarına erişmesini beklersiniz. Ancak, iş istasyonu iyileştirilmiş/önbelleğe alınmış oturum açmaya izin verdiğinden, kullanıcının masaüstü için NT erişim belirtecini oluşturmak için oturum açma sırasında önbelleğe alınmış doğrulayıcı kullanılır. Bu nedenle, geçerli oturum açma yerine önceki oturum açmadan gelen güvenlik grupları ve talepler kullanılır.

Senaryo örnekleri

Not Bu makalede, "whoami/groups" kullanılarak etkileşimli oturum açma oturumları için grup üyeliği alınır. Bu komut, masaüstünün erişim belirtecinden grupları ve talepleri alır.

  • Örnek 1Önceki oturum açma işlemi akıllı kart kullanılarak gerçekleştirildiyse, masaüstü için erişim belirteci, AMA tarafından sağlanan akıllı kart evrensel güvenlik grubuna sahiptir. Aşağıdaki sonuçlardan biri gerçekleşir:

    • Kullanıcı akıllı kartı kullanarak oturum açar: Kullanıcı yerel güvenlikle ilgili hassas kaynaklara erişmeye devam edebilir. Kullanıcı, akıllı kart evrensel güvenlik grubu gerektiren ağ kaynaklarına erişmeye çalışır. Bu girişimler başarılı olur.

    • Kullanıcı, kullanıcı adı ve parola kullanarak oturum açar: Kullanıcı yerel güvenlikle ilgili hassas kaynaklara erişmeye devam edebilir. Bu sonuç beklenmez. Kullanıcı, akıllı kart evrensel güvenlik grubu gerektiren ağ kaynaklarına erişmeye çalışır. Bu girişimler beklendiği gibi başarısız olur.

  • Örnek 2Önceki oturum açma işlemi parola kullanılarak gerçekleştirildiyse, masaüstü erişim belirtecinde AMA tarafından sağlanan akıllı kart evrensel güvenlik grubu yoktur. Aşağıdaki sonuçlardan biri gerçekleşir:

    • Kullanıcı bir kullanıcı adı ve parola kullanarak oturum açar: Kullanıcı yerel güvenlikle ilgili hassas kaynaklara erişemez. Kullanıcı, akıllı kart evrensel güvenlik grubu gerektiren ağ kaynaklarına erişmeye çalışır. Bu girişimler başarısız olur.

    • Kullanıcı akıllı kartı kullanarak oturum açar: Kullanıcı yerel güvenlikle ilgili hassas kaynaklara erişemez. Kullanıcı ağ kaynaklarına erişmeye çalışır. Bu girişimler başarılı olur. Bu sonuç müşteriler tarafından beklenmez. Bu nedenle erişim denetimi sorunlarına neden olur.

Sorun Senaryosu 2 (kilit/kilit açma)

Aşağıdaki senaryoyu göz önünde bulundurun:

  • Bir yönetici, kullanıcılar belirli güvenlik duyarlı kaynaklara eriştiğinde Akıllı Kart (SC) Oturum Açma kimlik doğrulamasını zorunlu kılmak istiyor. Bunu yapmak için yönetici, tüm akıllı kart sertifikalarında kullanılan verme ilkesi nesne tanımlayıcısı için Windows Server 2008 R2 Adım Adım Kılavuzunda AD DS için Kimlik Doğrulama Mekanizması Güvencesi'ne göre AMA dağıtır.

  • "Etkileşimli oturum açma: Akıllı kart gerektir" ilkesi iş istasyonlarında etkin değildir. Bu nedenle, kullanıcılar kullanıcı adı ve parola gibi diğer kimlik bilgilerini kullanarak oturum açabilir.

  • Yerel ve ağ kaynağı erişimi için akıllı kart evrensel güvenlik grubu gerekir.

Bu senaryoda, yalnızca akıllı kartları kullanarak oturum açan bir kullanıcının yerel kaynaklara ve ağ kaynaklarına erişmesini beklersiniz. Ancak, kullanıcının masaüstü için erişim belirteci oturum açma sırasında oluşturulduğundan değiştirilmez.

Senaryo örnekleri

  • Örnek 1Masaüstü için erişim belirtecinde AMA tarafından sağlanan akıllı kart evrensel güvenlik grubu varsa, aşağıdaki sonuçlardan biri gerçekleşir:

    • Kullanıcı, akıllı kartı kullanarak kilidi açar: Kullanıcı yerel güvenlikle ilgili hassas kaynaklara erişmeye devam edebilir. Kullanıcı, akıllı kart evrensel güvenlik grubu gerektiren ağ kaynaklarına erişmeye çalışır. Bu girişimler başarılı olur.

    • Kullanıcı, kullanıcı adını ve parolasını kullanarak kilidi açar: Kullanıcı yerel güvenlikle ilgili hassas kaynaklara erişmeye devam edebilir. Bu sonuç beklenmez. Kullanıcı, akıllı kart evrensel güvenlik grubu gerektiren ağ kaynaklarına erişmeye çalışır. Bu girişimler başarısız olur.

  • Örnek 2Masaüstü erişim belirtecinde AMA tarafından sağlanan akıllı kart evrensel güvenlik grubu yoksa, aşağıdaki sonuçlardan biri gerçekleşir:

    • Kullanıcı, kullanıcı adını ve parolasını kullanarak kilidi açar: Kullanıcı yerel güvenlikle ilgili hassas kaynaklara erişemez. Kullanıcı, akıllı kart evrensel güvenlik grubu gerektiren ağ kaynaklarına erişmeye çalışır. Bu girişimler başarısız olur.

    • Kullanıcı, akıllı kartı kullanarak kilidi açar: Kullanıcı yerel güvenlikle ilgili hassas kaynaklara erişemez. Bu sonuç beklenmez. Kullanıcı ağ kaynaklarına erişmeye çalışır. Bu girişimler beklendiği gibi başarılı olur.

Ek Bilgi

"Belirtiler" bölümünde açıklanan AMA ve Güvenlik Alt Sistemi tasarımı nedeniyle kullanıcılar, AMA'nın etkileşimli oturum açma türünü güvenilir bir şekilde tanımlayamadığı aşağıdaki senaryoları yaşar.

Oturum açma/kapatma

Hızlı Oturum Açma iyileştirmesi etkinse, Yerel Güvenlik Alt Sistemi (lsass) oturum açma belirtecinde grup üyeliği oluşturmak için yerel önbelleği kullanır. Bunu yaptığınızda, etki alanı denetleyicisi (DC) ile iletişim gerekli değildir. Bu nedenle, oturum açma süresi azalır. Bu son derece istenen bir özelliktir.Ancak, bu durum şu soruna neden olur: SC Oturum Açma ve SC Oturumu Kapatma işleminden sonra, yerel olarak önbelleğe alınan AMA grubu, kullanıcı adı/parola etkileşimli oturum açma işleminden sonra kullanıcı belirtecinde yanlış bir şekilde hala bulunur.Notlar

  • Bu durum yalnızca etkileşimli oturum açma işlemleri için geçerlidir.

  • AMA grubu, diğer gruplarda olduğu gibi ve aynı mantık kullanılarak önbelleğe alınır.

Bu durumda, kullanıcı ağ kaynaklarına erişmeye çalışırsa, kaynak tarafında önbelleğe alınmış grup üyeliği kullanılmaz ve kullanıcının kaynak tarafındaki oturum açma oturumu bir AMA grubu içermez.Bu sorun, Hızlı Oturum Açma İyileştirmesi ("Bilgisayar Yapılandırması > Yönetim Şablonları > Sistem > Oturum Açma > Bilgisayar başlatma ve oturum açma sırasında her zaman ağı bekle") kapatılarak düzeltilebilir. Önemli Bu davranış yalnızca etkileşimli oturum açma senaryosunda geçerlidir. Oturum açma iyileştirmesine gerek olmadığından ağ kaynaklarına erişim beklendiği gibi çalışır. Bu nedenle önbelleğe alınmış grup üyeliği kullanılmaz. DC ile bağlantı kurularak en yeni AMA grubu üyelik bilgileri kullanılarak yeni bilet oluşturulur.

Kilitleme/kilidini açma

Aşağıdaki senaryoyu göz önünde bulundurun:

  • Kullanıcı, akıllı kartı kullanarak etkileşimli olarak oturum açar ve ama korumalı ağ kaynaklarını açar.Not AMA korumalı ağ kaynaklarına yalnızca erişim belirtecinde AMA grubu olan kullanıcılar erişebilir.

  • Kullanıcı, önce daha önce açılmış ama korumalı ağ kaynağını kapatmadan bilgisayarı kilitler.

  • Kullanıcı, daha önce akıllı kart kullanarak oturum açan kullanıcının kullanıcı adını ve parolasını kullanarak bilgisayarın kilidini açar.

Bu senaryoda, bilgisayar kilidi açıldıktan sonra kullanıcı AMA korumalı kaynaklara erişmeye devam edebilir. Bu davranış tasarım gereğidir. Bilgisayarın kilidi açıldığında, Windows ağ kaynakları olan tüm açık oturumları yeniden oluşturmaz. Windows ayrıca grup üyeliğini yeniden denetlemez. Bunun nedeni, bu eylemlerin kabul edilemez performans cezalarına neden olmasıdır.Bu senaryo için kullanıma hazır bir çözüm yoktur. Çözümlerden biri, SC oturum açma ve kilitleme adımları gerçekleştikten sonra kullanıcı adı/parola sağlayıcısını filtreleyen bir Kimlik Bilgisi Sağlayıcısı filtresi oluşturmaktır. Kimlik Bilgisi Sağlayıcısı hakkında daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

ICredentialProviderFilter arabirimi Windows Vista Kimlik Bilgisi Sağlayıcısı ÖrnekleriNot Bu yaklaşımın başarıyla uygulanıp uygulanmadığını doğrulayamıyoruz.

AMA hakkında daha fazla bilgi

AMA etkileşimli oturum açma türünü (akıllı kart veya kullanıcı adı/parola) tanımlayamaz veya zorlayamaz. Bu davranış tasarım gereğidir.AMA, ağ kaynaklarının akıllı kart talep ettiği senaryolara yöneliktir. Yerel erişim için kullanılmak üzere tasarlanmamıştır.Dinamik grup üyeliğini kullanma veya AMA gruplarını dinamik grup olarak işleme gibi yeni özellikler getirerek bu sorunu düzeltme girişimi önemli sorunlara neden olabilir. BU nedenle NT belirteçleri dinamik grup üyeliklerini desteklemez. Sistem grupların gerçek olarak kesilmesine izin verdiyse, kullanıcıların kendi masaüstü ve uygulamalarıyla etkileşim kurması engellenebilir. Bu nedenle, grup üyelikleri oturum oluşturulduğu sırada kilitlenir ve oturum boyunca korunur.Önbelleğe alınan oturum açma işlemleri de sorunludur. İyileştirilmiş oturum açma etkinse, lsass bir ağ gidiş dönüş çağırmadan önce yerel önbelleği dener. Kullanıcı adı ve parola, lsass'ın önceki oturum açma işleminde gördükleriyle aynıysa (bu çoğu oturum açma için geçerlidir), lsass kullanıcının daha önce sahip olduğu grup üyelikleriyle aynı grup üyeliklerine sahip bir belirteç oluşturur. İyileştirilmiş oturum açma kapalıysa, bir ağ gidiş dönüş işlemi gerekir. Bu, grup üyeliklerinin oturum açma sırasında beklendiği gibi çalışmasını sağlar.Önbelleğe alınmış oturum açmada, lsass kullanıcı başına bir giriş tutar. Bu girdi, kullanıcının önceki grup üyeliğini içerir. Bu, lsass'ın gördüğü son parola veya akıllı kart kimlik bilgileriyle korunur. Hem aynı belirteci hem de kimlik bilgisi anahtarını çıkarın. Kullanıcılar eski bir kimlik bilgisi anahtarı kullanarak oturum açmaya çalışırlarsa DPAPI verilerini, EFS korumalı içeriği vb. kaybederler. Bu nedenle, önbelleğe alınan oturum açma işlemleri, oturum açmak için kullanılan mekanizmadan bağımsız olarak her zaman en son yerel grup üyeliklerini oluşturur.

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.