Beschreibung der AMA-Nutzung in interaktiven Anmeldeszenarien in Windows
Zusammenfassung
In diesem Artikel wird erläutert, wie Sie Authentication Mechanism Assurance (AMA) in interaktiven Anmeldeszenarien verwenden.
Einführung
AMA fügt dem Zugriffstoken eines Benutzers eine vom Administrator festgelegte, universelle Gruppenmitgliedschaft hinzu, wenn die Anmeldeinformationen des Benutzers während der Anmeldung mithilfe einer zertifikatbasierten Anmeldemethode authentifiziert werden. Dadurch können Netzwerkressourcenadministratoren den Zugriff auf Ressourcen wie Dateien, Ordner und Drucker steuern. Dieser Zugriff basiert darauf, ob sich der Benutzer mit einer zertifikatbasierten Anmeldemethode anmeldet und welcher Zertifikatstyp für die Anmeldung verwendet wird.
In diesem Artikel
Dieser Artikel konzentriert sich auf zwei Problemszenarien: Anmeldung/Abmeldung und Sperren/Entsperren. Das Verhalten von AMA in diesen Szenarien ist „absichtlich" und kann wie folgt zusammengefasst werden:
AMA soll Netzwerkressourcen schützen.
AMA kann den interaktiven Anmeldetyp (Smartcard oder Benutzername/Passwort) für den lokalen Computer des Benutzers weder identifizieren noch erzwingen. Dies liegt daran, dass Ressourcen, auf die nach einer interaktiven Benutzeranmeldung zugegriffen wird, nicht zuverlässig durch die Verwendung von AMA geschützt werden können.
Symptome
Problemszenario 1 (Anmeldung/Abmeldung)
Stellen Sie sich das folgende Szenario vor:
Ein Administrator möchte die Smart Card (SC)-Anmeldeauthentifizierung erzwingen, wenn Benutzer auf bestimmte sicherheitsrelevante Ressourcen zugreifen. Zu diesem Zweck stellt der Administrator AMA gemäß der Schritt-für-Schritt-Anleitung zur Authentifizierungsmechanismussicherung für AD DS in Windows Server 2008 R2 für die Objektkennung der Ausstellungsrichtlinie bereit, die in allen Smartcard-Zertifikaten verwendet wird.
Hinweis: In diesem Artikel bezeichnen wir diese neue zugeordnete Gruppe als „die universelle Smartcard-Sicherheitsgruppe".Die Richtlinie „Interaktive Anmeldung: Smartcard erforderlich" ist auf Arbeitsstationen nicht aktiviert. Daher können sich Benutzer mit anderen Anmeldeinformationen wie Benutzername und Kennwort anmelden.
Für den Zugriff auf lokale und Netzwerkressourcen ist die universelle Sicherheitsgruppe der Smartcard erforderlich.
In diesem Szenario gehen Sie davon aus, dass nur Benutzer, die sich mit Smartcards anmelden, auf lokale Ressourcen und Netzwerkressourcen zugreifen können. Da die Arbeitsstation jedoch eine optimierte/zwischengespeicherte Anmeldung zulässt, wird der zwischengespeicherte Prüfer während der Anmeldung verwendet, um das NT-Zugriffstoken für den Desktop des Benutzers zu erstellen. Daher werden die Sicherheitsgruppen und Ansprüche der vorherigen Anmeldung anstelle der aktuellen verwendet.
Szenariobeispiele
Hinweis In diesem Artikel wird die Gruppenmitgliedschaft für interaktive Anmeldesitzungen mithilfe von „whoami/groups" abgerufen. Dieser Befehl ruft die Gruppen und Ansprüche vom Zugriffstoken des Desktops ab.
Beispiel 1
Wenn die vorherige Anmeldung mit einer Smartcard durchgeführt wurde, verfügt das Zugriffstoken für den Desktop über die von AMA bereitgestellte universelle Smartcard-Sicherheitsgruppe. Eines der folgenden Ergebnisse tritt ein:Der Benutzer meldet sich mit der Smartcard an: Der Benutzer kann weiterhin auf lokale sicherheitsrelevante Ressourcen zugreifen. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die universelle Smartcard-Sicherheitsgruppe erfordern. Diese Versuche sind erfolgreich.
Der Benutzer meldet sich mit Benutzername und Kennwort an: Der Benutzer kann weiterhin auf lokale sicherheitsrelevante Ressourcen zugreifen. Dieses Ergebnis ist nicht zu erwarten. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die universelle Smartcard-Sicherheitsgruppe erfordern. Diese Versuche scheitern wie erwartet.
Beispiel 2
Wenn die vorherige Anmeldung mit einem Kennwort durchgeführt wurde, verfügt das Zugriffstoken für den Desktop nicht über die von AMA bereitgestellte universelle Smartcard-Sicherheitsgruppe. Eines der folgenden Ergebnisse tritt ein:Der Benutzer meldet sich mit einem Benutzernamen und einem Kennwort an: Der Benutzer kann nicht auf lokale sicherheitsrelevante Ressourcen zugreifen. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die universelle Smartcard-Sicherheitsgruppe erfordern. Diese Versuche scheitern.
Der Benutzer meldet sich mit der Smartcard an: Der Benutzer kann nicht auf lokale sicherheitsrelevante Ressourcen zugreifen. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen. Diese Versuche sind erfolgreich. Dieses Ergebnis wird von den Kunden nicht erwartet. Daher verursacht es Probleme bei der Zugriffskontrolle.
Problemszenario 2 (Sperren/Entsperren)
Stellen Sie sich das folgende Szenario vor:
Ein Administrator möchte die Smart Card (SC)-Anmeldeauthentifizierung erzwingen, wenn Benutzer auf bestimmte sicherheitsrelevante Ressourcen zugreifen. Zu diesem Zweck stellt der Administrator AMA gemäß der Schritt-für-Schritt-Anleitung zur Authentifizierungsmechanismus-Assurance für AD DS in Windows Server 2008 R2 für die Objektkennung der Ausstellungsrichtlinie bereit, die in allen Smartcard-Zertifikaten verwendet wird.
Die Richtlinie „Interaktive Anmeldung: Smartcard erforderlich" ist auf Arbeitsstationen nicht aktiviert. Daher können sich Benutzer mit anderen Anmeldeinformationen wie Benutzername und Kennwort anmelden.
Für den Zugriff auf lokale und Netzwerkressourcen ist die universelle Sicherheitsgruppe der Smartcard erforderlich.
In diesem Szenario gehen Sie davon aus, dass nur ein Benutzer, der sich mit Smartcards anmeldet, auf lokale Ressourcen und Netzwerkressourcen zugreifen kann. Da das Zugriffstoken für den Desktop des Benutzers jedoch während der Anmeldung erstellt wird, wird es nicht geändert.
Szenariobeispiele
Beispiel 1
Wenn das Zugriffstoken für den Desktop über die von AMA bereitgestellte universelle Smartcard-Sicherheitsgruppe verfügt, tritt eines der folgenden Ergebnisse auf:Der Benutzer entsperrt mithilfe der Smartcard: Der Benutzer kann weiterhin auf lokale sicherheitsrelevante Ressourcen zugreifen. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die universelle Smartcard-Sicherheitsgruppe erfordern. Diese Versuche sind erfolgreich.
Der Benutzer entsperrt die Sperre mithilfe des Benutzernamens und des Kennworts: Der Benutzer kann weiterhin auf lokale sicherheitsrelevante Ressourcen zugreifen. Dieses Ergebnis ist nicht zu erwarten. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die universelle Sicherheitsgruppe der Smartcard erfordern. Diese Versuche scheitern.
Beispiel 2
Wenn das Zugriffstoken für den Desktop nicht über die von AMA bereitgestellte universelle Smartcard-Sicherheitsgruppe verfügt, tritt eines der folgenden Ergebnisse auf:Der Benutzer entsperrt die Sperre mithilfe von Benutzername und Kennwort: Der Benutzer kann nicht auf lokale sicherheitsrelevante Ressourcen zugreifen. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die universelle Sicherheitsgruppe der Smartcard erfordern. Diese Versuche scheitern.
Der Benutzer entsperrt mithilfe der Smartcard: Der Benutzer kann nicht auf lokale sicherheitsrelevante Ressourcen zugreifen. Dieses Ergebnis ist nicht zu erwarten. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen. Diese Versuche sind erwartungsgemäß erfolgreich.
Mehr Informationen
Aufgrund des im Abschnitt „Symptome" beschriebenen AMA- und Sicherheitssubsystemdesigns treten bei Benutzern die folgenden Szenarios auf, in denen AMA den Typ der interaktiven Anmeldung nicht zuverlässig identifizieren kann.
Anmelden/abmelden
Wenn die Fast Logon-Optimierung aktiv ist, verwendet das Local Security Subsystem (LSASS) den lokalen Cache, um eine Gruppenmitgliedschaft im Anmeldetoken zu generieren. Dadurch ist die Kommunikation mit dem Domänencontroller (DC) nicht erforderlich. Daher wird die Anmeldezeit verkürzt. Dies ist eine äußerst wünschenswerte Funktion.
Diese Situation verursacht jedoch das folgende Problem: Nach der SC-Anmeldung und SC-Abmeldung ist die lokal zwischengespeicherte AMA-Gruppe nach der interaktiven Anmeldung mit Benutzername/Kennwort fälschlicherweise immer noch im Benutzertoken vorhanden.
Anmerkungen
Diese Situation gilt nur für interaktive Anmeldungen.
Eine AMA-Gruppe wird auf die gleiche Weise und mit der gleichen Logik wie andere Gruppen zwischengespeichert.
Wenn der Benutzer in dieser Situation dann versucht, auf Netzwerkressourcen zuzugreifen, wird die zwischengespeicherte Gruppenmitgliedschaft auf der Ressourcenseite nicht verwendet und die Anmeldesitzung des Benutzers auf der Ressourcenseite enthält keine AMA-Gruppe.
Dieses Problem kann durch Deaktivieren der schnellen Anmeldeoptimierung behoben werden („Computerkonfiguration > Administrative Vorlagen > System > Anmeldung > Beim Starten und Anmelden des Computers immer auf das Netzwerk warten").
Wichtig Dieses Verhalten ist nur im interaktiven Anmeldeszenario relevant. Der Zugriff auf Netzwerkressourcen funktioniert wie erwartet, da keine Anmeldeoptimierung erforderlich ist. Daher wird die zwischengespeicherte Gruppenmitgliedschaft nicht verwendet. Der DC wird kontaktiert, um das neue Ticket unter Verwendung der aktuellsten AMA-Gruppenmitgliedschaftsinformationen zu erstellen.
Schliessen aufmachen
Stellen Sie sich das folgende Szenario vor:
Ein Benutzer meldet sich interaktiv mit der Smartcard an und öffnet dann AMA-geschützte Netzwerkressourcen.
Hinweis: Auf AMA-geschützte Netzwerkressourcen kann nur von Benutzern zugegriffen werden, deren Zugriffstoken eine AMA-Gruppe enthält.Der Benutzer sperrt den Computer, ohne zuvor die zuvor geöffnete AMA-geschützte Netzwerkressource zu schließen.
Der Benutzer entsperrt den Computer, indem er den Benutzernamen und das Passwort desselben Benutzers verwendet, der sich zuvor mit einer Smartcard angemeldet hat.
In diesem Szenario kann der Benutzer weiterhin auf die AMA-geschützten Ressourcen zugreifen, nachdem der Computer entsperrt wurde. Dieses Verhalten ist beabsichtigt. Wenn der Computer entsperrt ist, erstellt Windows nicht alle offenen Sitzungen neu, die über Netzwerkressourcen verfügten. Windows überprüft die Gruppenmitgliedschaft auch nicht erneut. Dies liegt daran, dass diese Aktionen zu inakzeptablen Leistungseinbußen führen würden.
Für dieses Szenario gibt es keine Standardlösung. Eine Lösung wäre die Erstellung eines Anmeldeinformationsanbieterfilters, der den Benutzernamen-/Kennwortanbieter herausfiltert, nachdem die SC-Anmelde- und Sperrschritte ausgeführt wurden. Weitere Informationen zum Anmeldeinformationsanbieter finden Sie in den folgenden Ressourcen:
ICredentialProviderFilter-Schnittstelle
Beispiele für Windows Vista-Anmeldeinformationsanbieter Hinweis: Wir können nicht bestätigen, ob dieser Ansatz jemals erfolgreich implementiert wurde.
Weitere Informationen zu AMA
AMA kann den interaktiven Anmeldetyp (Smartcard oder Benutzername/Passwort) weder identifizieren noch durchsetzen. Dieses Verhalten ist beabsichtigt.
AMA ist für Szenarien gedacht, in denen Netzwerkressourcen eine Smartcard erfordern. Es ist nicht für den lokalen Zugriff gedacht.
Jeder Versuch, dieses Problem durch die Einführung neuer Funktionen zu beheben, wie z. B. die Möglichkeit, dynamische Gruppenmitgliedschaften zu verwenden oder AMA-Gruppen als dynamische Gruppen zu behandeln, könnte zu erheblichen Problemen führen. Aus diesem Grund unterstützen NT-Token keine dynamischen Gruppenmitgliedschaften. Wenn das System die tatsächliche Beschneidung von Gruppen ermöglichen würde, könnten Benutzer daran gehindert werden, mit ihrem eigenen Desktop und ihren eigenen Anwendungen zu interagieren. Daher werden Gruppenmitgliedschaften zum Zeitpunkt der Sitzungserstellung gesperrt und während der gesamten Sitzung beibehalten.
Auch zwischengespeicherte Anmeldungen sind problematisch. Wenn die optimierte Anmeldung aktiviert ist, versucht lsass zunächst einen lokalen Cache, bevor es einen Netzwerk-Roundtrip aufruft. Wenn der Benutzername und das Kennwort mit denen identisch sind, die lsass bei der vorherigen Anmeldung gesehen hat (dies gilt für die meisten Anmeldungen), erstellt lsass ein Token mit denselben Gruppenmitgliedschaften, die der Benutzer zuvor hatte.
Wenn die optimierte Anmeldung deaktiviert ist, wäre ein Netzwerk-Roundtrip erforderlich. Dadurch würde sichergestellt, dass die Gruppenmitgliedschaften bei der Anmeldung wie erwartet funktionieren.
Bei einer zwischengespeicherten Anmeldung behält lsass einen Eintrag pro Benutzer. Dieser Eintrag umfasst die vorherige Gruppenmitgliedschaft des Benutzers. Dies ist sowohl durch das letzte Passwort oder die Smartcard-Anmeldeinformationen geschützt, die lsass gesehen hat. Beide entpacken dasselbe Token und denselben Anmeldeinformationsschlüssel. Wenn Benutzer versuchen würden, sich mit einem veralteten Anmeldeinformationsschlüssel anzumelden, würden sie DPAPI-Daten, EFS-geschützte Inhalte usw. verlieren. Daher erzeugen zwischengespeicherte Anmeldungen immer die neuesten lokalen Gruppenmitgliedschaften, unabhängig vom Mechanismus, der für die Anmeldung verwendet wird.
No comments:
Post a Comment