Authentifizierung von MED-V-Endbenutzern

  • Artikel

Letzte Aktualisierung: November 2013

Betrifft: Microsoft Enterprise Desktop Virtualization 2.0

Die Authentifizierung der Endbenutzer von Microsoft Enterprise Desktop Virtualization (MED-V) 2.0 ist ist ein wichtiges Element der Systemsicherheit. In diesem Kontext bezieht sich Authentifizierung auf die Überprüfung der Identität des MED-V-Endbenutzers.

Der folgende Abschnitt enthält Informationen und Anleitungen zur Authentifizierung von Endbenutzern in MED-V.

Benutzerauthentifizierung in MED-V

Die Authentifizierung in MED-V erfolgt generell in zwei Stufen: Wenn der Benutzer das erste Mal auf MED-V zugreift und jedes Mal, wenn der Benutzer das Kennwort ändert.

In Abhängigkeit von der Konfiguration der MED-V-Einstellungen für die Authentifizierung wird der Endbenutzer in der Regel zu einem bestimmten Zeitpunkt zur Eingabe des Kennworts aufgefordert, entweder beim ersten Starten von MED-V oder beim ersten Öffnen einer veröffentlichten Anwendung.

Es gibt mehrere Aspekte der Endbenutzerauthentifizierung, die Sie steuern können. Dazu zählen:

  • Ob die Anmeldeinformationen der Endbenutzer in der Anmeldeinformationsverwaltung gespeichert werden

  • Welche Möglichkeiten zur Eingabe und Speicherung der Kennwörter den Endbenutzern angeboten werden

In Abhängigkeit vom bevorzugten Prozess zur Verwaltung der Benutzerauthentifizierung im Unternehmen können Sie angeben, ob für einen bestimmten MED-V-Arbeitsbereich die Anmeldeinformationen zwischengespeichert werden. Das Zwischenspeichern der Anmeldeinformationen des Endbenutzers ist sehr benutzerfreundlich, da der Endbenutzer nur einmal zur Eingabe des Kennworts aufgefordert wird. Wenn Endbenutzer das Kennwort nicht speichern dürfen oder möchten, müssen sie bei jedem Starten einer neuen MED-V-Sitzung das Kennwort erneut eingeben. MED-V ist beispielsweise so konfiguriert, dass es gestartet wird, wenn sich der Benutzer beim Host anmeldet. Die Authentifizierung ist jedoch deaktiviert. Dem Endbenutzer wird nur einmal während der Anmeldung eine Eingabeaufforderung angezeigt. In diesem Fall sind die Anmeldeinformationen gültig, bis sich der Endbenutzer beim Host abmeldet.

Sofern erforderlich, können Sie mit der Anmeldeinformationsverwaltung die Anmeldeinformationen der Endbenutzer löschen.

Standardmäßig ist die Speicherung der Anmeldeinformationen deaktiviert. Sie können jedoch mit einer der folgenden Methoden diese Einstellung ändern:

  • Wenn Sie das MED-V-Arbeitsbereichspaket erstellen. Weitere Informationen finden Sie unter Erstellen von MED-V-Arbeitsbereichspaketen.

  • Nachdem Sie den MED-V-Arbeitsbereich bereitgestellt haben. Bearbeiten Sie den MED-V-Cmdlet-Parameter "UxCredentialCacheEnabled", um den Registrierungsschlüssel für die Terminaldienste zu setzen. Weitere Informationen finden Sie in der Hilfe zu Windows PowerShell.

Nach der MED-V-Arbeitsbereichsbereitstellung können Sie Ihre Präferenz für die Endbenutzerauthentifizierung durch Ändern der Terminaldiensterichtlinie mit der Bezeichnung "DisablePasswordSaving" festlegen. "DisablePasswordSaving" steuert, ob das Kontrollkästchen zur Kennwortspeicherung im Dialogfeld des RDP-Clients und die Eingabeaufforderung für die MED-V-Anmeldeinformationen angezeigt werden.

Die Terminaldiensterichtlinie mit der Bezeichnung "DisablePasswordSaving" finden Sie im folgenden Richtlinienpfad.

Regedit:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Virtual Machine\Policies\DisablePasswordSaving

Hinweis

Änderungen, die Sie an "DisablePasswordSaving" vornehmen, betreffen nur die RDP-Aufforderung für eine virtuelle Maschine.

In der folgenden Tabelle werden die verschiedenen Möglichkeiten zur Konfiguration der Einstellungen für die Speicherung der Anmeldeinformationen und die Auswirkungen der verschiedenen Konfigurationen beschrieben:

Wert Konfiguration Ergebnis

DisablePasswordSaving

Deaktiviert

Die MED-V-Eingabeaufforderung wird angezeigt, und ein Kontrollkästchen zum Speichern ist verfügbar und deaktiviert. Wenn der Benutzer das Kontrollkästchen aktiviert, werden die Anmeldeinformationen für die weitere Verwendung zwischengespeichert. Ein weiterer Vorteil für den Endbenutzer besteht darin, dass erst bei Ablaufen des Kennworts eine erneute Eingabeaufforderung angezeigt wird.

Wenn der Endbenutzer das Kontrollkästchen nicht aktiviert, wird die Eingabeaufforderung des Remotedesktopverbindungs-Clients anstatt der MED-V-Eingabeaufforderung angezeigt, und das Kontrollkästchen zum Speichern ist deaktiviert. Wenn der Benutzer das Kontrollkästchen aktiviert, werden die Anmeldeinformationen für den Remotedesktopverbindungs-Client für die spätere Verwendung gespeichert.

Wichtig

Die vom Endbenutzer eingegebenen Anmeldeinformationen werden von der Remotedesktopverbindung nicht überprüft. Wenn der Endbenutzer die Anmeldeinformationen mithilfe der Eingabeaufforderung des Remotedesktopverbindungs-Clients zwischenspeichert, besteht das Risiko, dass die falschen Anmeldeinformationen gespeichert werden. In diesem Fall müssen die falschen Anmeldeinformationen in der Windows-Anmeldeinformationsverwaltung gelöscht werden.

DisablePasswordSaving

Aktiviert
noteHinweis
Diese Konfiguration ist sicherer, da sie die Zwischenspeicherung der Endbenutzeranmeldeinformationen verhindert.

Bei der MED-V-Installation wird im Gast standardmäßig ein Registrierungsschlüssel festgelegt, um die Eingabeaufforderung zum Ablaufen des Kennworts zu unterdrücken. Der Endbenutzer wird nur auf dem Host zu einer Änderung des Kennworts aufgefordert. Anmeldeinformationen, die auf dem Host aktualisiert werden, werden an den Gast übergeben.

Warnung

Beachten Sie bei der Verwendung einer Gruppenrichtlinie in Ihrer Umgebung, dass diese den Registrierungsschlüssel außer Kraft setzen kann, wodurch die Kennworteingabeaufforderungen des Gasts wieder angezeigt werden.

Sicherheitsaspekte bei der Authentifizierung

Auch wenn die Zwischenspeicherung der Anmeldeinformationen des Endbenutzers besonders benutzerfreundlich ist, sollten Sie sich doch der damit verbundenen Risiken bewusst sein.

Bei Zwischenspeicherung der Anmeldeinformationen werden die Domänenanmeldeinformationen des Endbenutzers in einem umkehrbaren Format in der Windows-Anmeldeinformationsverwaltung gespeichert. Dies hat zur Folge, dass ein Angreifer mithilfe eines Tools, das entweder als Systemebenen- oder als Endbenutzerprozess ausgeführt wird, in den Besitz der Anmeldeinformationen des Endbenutzers gelangen kann. Sie können dieses Risiko nur verringern, indem Sie "DisablePasswordSaving" auf Aktiviert festlegen.

Dasselbe Sicherheitsproblem besteht, wenn die MED-V-Authentifizierung deaktiviert, die Einstellung für die Terminaldiensterichtlinie aber aktiviert ist.

Siehe auch

Konzepte

Bewährte Methoden für die Sicherheit von MED-V-Abläufen

Fanden Sie diese Informationen hilfreich? Senden Sie Ihre Vorschläge und Kommentare zur MED-V-Dokumentation an medvdocs@microsoft.com.