概要
本文讨论了如何在交互式登录方案中使用的身份验证机制保证 (AMA)。
简介
AMA 向管理员指定、 通用组成员身份用户的访问令牌时用户的凭据进行身份验证登录期间使用基于证书的登录方法。这样,网络资源管理员能够控制的资源,如文件、 文件夹和打印机的访问。此访问权限取决于是否在用户登录使用基于证书的登录方法和用于登录的证书的类型。
在这篇文章
本文主要介绍两个问题的情形︰ 登录/注销和锁定/解除锁定。在这些情况下 AMA 的行为是"设计使然"和可以归纳为以下几点︰
-
AMA 旨在保护网络资源。
-
AMA 不能识别或强制的用户的本地计算机的交互式登录类型 (智能卡或用户名/密码)。这是因为使用 AMA 不能可靠地保护交互式用户登录后可以访问的资源。
症状
问题的方案 1 (登录/注销)
请考虑以下情形:
-
管理员想要实施智能卡 (SC) 登录身份验证,当用户访问某些安全敏感资源。为此,管理员部署 AMA 根据用于所有智能卡证书中的颁发策略对象标识符为 Windows Server 2008 R2 逐步式指南中的 AD DS 身份验证机制保证。
注意:在本文中,我们称这个新的映射组为"智能卡通用安全组。 -
"交互式登录︰ 要求智能卡"策略不在工作站上启用。因此,用户可以登录使用其他凭据,例如用户名和密码。
-
本地和网络资源访问要求的智能卡通用安全组。
在这种情况下,您希望通过使用智能卡登录该唯一的用户可以访问本地和网络资源。但是,由于工作站允许优化缓存登录,缓存验证程序用于在登录期间创建用户的桌面的 NT 访问令牌。因此,而不是当前使用的安全组和索赔从一次登录。
方案示例
注意:在本文中,组成员资格被通过交互式登录会话使用"whoami/组"。此命令会检索桌面的访问令牌中组和索赔。
-
示例 1
通过使用智能卡执行了一次登录,桌面的访问令牌由 AMA 的智能卡通用安全组。出现以下结果之一︰-
通过使用智能卡登录的用户︰ 用户仍可以访问本地安全敏感资源。用户尝试访问网络资源,它们要求智能卡通用安全组。这些尝试成功。
-
通过使用用户名和密码登录的用户︰ 用户仍可以访问本地安全敏感资源。这种情况不被预期。用户尝试访问网络资源,它们要求智能卡通用安全组。这些尝试都失败,如预期的那样。
-
-
示例 2
如果使用密码执行了一次登录,桌面的访问令牌没有由 AMA 的智能卡通用安全组。出现以下结果之一︰-
通过使用用户名和密码登录的用户︰ 用户不能访问本地安全敏感资源。用户尝试访问网络资源,它们要求智能卡通用安全组。这些尝试都失败。
-
通过使用智能卡登录的用户︰ 用户不能访问本地安全敏感资源。用户尝试访问网络资源。这些尝试成功。这种情况不应由客户。因此,它将导致访问控制问题。
-
问题第二种情况 (锁定/解除锁定)
请考虑以下情形:
-
管理员想要实施智能卡 (SC) 登录身份验证,当用户访问某些安全敏感资源。若要执行此操作,管理员使用智能卡证书颁发策略对象标识符的部署 AMA的 Windows Server 2008 R2 逐步式指南中的 AD DS 身份验证机制保证根据。
-
"交互式登录︰ 要求智能卡"策略不在工作站上启用。因此,用户可以登录使用其他凭据,例如用户名和密码。
-
本地和网络资源访问要求的智能卡通用安全组。
在这种情况下,您希望仅通过使用智能卡登录的用户可以访问本地和网络资源。但是,因为用户的桌面的访问令牌在登录期间创建的它不会更改。
方案示例
-
示例 1
如果桌面的访问令牌 AMA 所提供的智能卡通用安全组,则发生下列结果之一︰-
通过使用智能卡解锁用户︰ 用户仍可以访问本地安全敏感资源。用户尝试访问网络资源,它们要求智能卡通用安全组。这些尝试成功。
-
通过使用用户名和密码来解锁用户︰ 用户仍可以访问本地安全敏感资源。这种情况不被预期。用户尝试访问网络资源,它们要求智能卡通用安全组。这些尝试都失败。
-
-
示例 2
如果桌面的访问令牌并没有由 AMA 的智能卡通用安全组,会出现以下结果之一︰-
通过使用用户名和密码来解锁用户︰ 用户不能访问本地安全敏感资源。用户尝试访问网络资源要求的智能卡通用安全组。这些尝试都失败。
-
通过使用智能卡解锁用户︰ 用户不能访问本地安全敏感资源。这种情况不被预期。用户尝试访问网络资源。如预期的那样,这些尝试成功。
-
详细信息
因为"症状"一节中描述的 AMA 和安全子系统的设计,用户会遇到以下情形 AMA 不能可靠地识别的交互式登录的类型。
Logon/logoff
快速登录优化处于活动状态时,如果本地安全子系统 (lsass) 使用本地缓存登录令牌中生成组成员身份。通过执行此操作,不需要与域控制器 (DC) 的通信。因此,减少了登录时间。这是非常理想的功能。
但是,这种情况下会导致以下问题︰ 后 SC 登录和 SC 注销,本地缓存的 AMA 组是,不正确,仍存在于用户/密码交互式登录后的用户令牌。
备注:
-
这种情况只适用于交互式登录。
-
AMA 组进行缓存,以相同的方式,并通过与其他组相同的逻辑。
在此情况下,如果用户尝试访问网络资源,资源端上缓存的组成员资格不会继续使用,并且在资源端用户的登录会话中将不包含 AMA 组。
通过关闭快速登录优化可解决此问题 ("计算机配置 > 管理模板 > 系统 > 登录 > 总是等待计算机启动和登录时的网络")。
重要:这就是只有在交互式登录情况下相关。对网络资源的访问将正常工作,因为没有登录优化的必要。因此,不使用缓存的组成员身份。域控制器联系新票证通过使用来创建新的 AMA 组成员身份信息。
Lock/unlock
请考虑以下情形:
-
用户以交互方式使用智能卡登录,然后打开 AMA 保护网络资源。
注意:AMA 受保护的网络资源可以访问只有在其访问令牌中有 AMA 组的用户。 -
用户锁定计算机,而无需先关闭先前打开的 AMA 保护网络资源。
-
用户解除锁定计算机的用户名称和密码以前通过智能卡登录的同一用户使用)。
在这种情况下,用户仍可以访问 AMA 保护资源之后计算机处于解锁状态。此行为是设计使然。解除锁定计算机时,Windows 不会重新创建了网络资源的所有打开的会话。Windows 也不会不重新检查组成员身份。这是因为这些操作将导致严重的性能损失。
这种情况下没有现成的解决方案。一个解决方案是创建 SC 登录后筛选出的用户/密码提供的凭据提供程序筛选器和锁定步骤发生。若要了解有关凭据提供程序的详细信息,请参阅以下资源︰
ICredentialProviderFilter 接口
Windows Vista 凭据提供程序示例注意:我们不能肯定是否这种方法曾经都已成功实现。
AMA 的详细信息
AMA 不能识别或强制执行的交互式登录类型 (智能卡或用户名/密码)。此行为是设计使然。
AMA 适用于方案的网络资源要求智能卡。它已无意供本地访问使用。
任何尝试解决此问题,通过引入新的功能,如能够使用动态组成员资格或句柄 AMA 组为动态组,可能会导致严重的问题。这是 NT 令牌不支持动态组成员身份的原因。如果系统允许组要裁切在现实中,用户可能无法与他们自己的桌面和应用程序进行交互。因此,组成员身份创建会话时锁定并维护整个进程。
缓存的登录也是有问题的。如果启用了登录优化,lsass 将首先尝试本地缓存之前它会调用网络往返。如果用户名和密码与 lsass 看到的一次登录 (这适用于大多数登录) 相同,lsass 创建具有相同的组成员身份,该用户以前有一个令牌。
如果关闭优化的登录,则需要网络往返。这将确保登录时处理的组成员身份如预期的那样。
在缓存登录,lsass 保持每个用户的一项。此项包含用户的上一组成员身份。这被受保护的最后一个密码或智能卡凭据 lsass 看到。同时解包相同的标记和凭据密钥。如果用户尝试使用旧凭据密钥登录,他们将会丢失 DPAPI 数据、 受 EFS 保护的内容,等等。因此,缓存的登录始终生成最新的本地组成员身份,而不考虑登录时使用的机制。
