Интерактивный вход в систему: требовать смарт-карту

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Интерактивный вход в систему: требовать смарт-карту.

Справка

Если параметр политики Интерактивный вход в систему: требовать смарт-карту включен, пользователям необходимо выполнить вход на устройстве с помощью смарт-карты.

Длинные сложные пароли для проверки подлинности улучшают безопасность сети, особенно если пользователям необходимо регулярно менять пароли. Это снижает вероятность того, что злоумышленник сможет получить пароль пользователя с помощью атаки методом подбора. Использование смарт-карт вместо паролей для проверки подлинности значительно улучшает уровень безопасности, поскольку благодаря современным технологиям злоумышленнику практически невозможно выдать себя за другого пользователя. Смарт-карты, требующие ввода ПИН-кода, реализуют двухфакторную проверку подлинности: пользователь, который пытается войти в систему, должен обладать смарт-картой и знать ее ПИН-код. Злоумышленнику, перехватывающему трафик проверки подлинности между устройством пользователя и контроллером домена, будет очень сложно расшифровать эти данные. Даже если удастся это сделать, при следующем входе пользователя в сеть будет создан новый ключ сеанса для шифрования трафика между пользователем и контроллером домена.

Возможные значения

  • Включено

  • Отключено

  • Не определено

Рекомендации

  • Установите для параметра Интерактивный вход в систему: требовать смарт-карту значение "Включено". Всем пользователям придется применять смарт-карту для входа в сеть. Это означает, что организация требуется действующая надежная инфраструктура открытых ключей (PKI). Также необходимо предоставить всем пользователям смарт-карты и устройства для их чтения.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Отключено

Действующие параметры контроллера домена по умолчанию

Отключено

Действующие параметры рядового сервера по умолчанию

Отключено

Действующие параметры клиентского компьютера по умолчанию

Отключено

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Вопросы, касающиеся конфликтов политик

Нет.

Групповая политика

Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Пользователям не всегда легко выбрать надежные пароли, и даже стойкие пароли уязвимы к атакам методом подбора, если у злоумышленника достаточно времени и вычислительных ресурсов.

Меры противодействия

Выдайте пользователям с доступом к компьютерам, которые содержат конфиденциальные данные, смарт-карты и задайте для параметра Интерактивный вход в систему: требовать смарт-карту значение "Включено".

Возможные последствия

Все пользователи устройства, на котором этот параметр включен, должны применять смарт-карты для выполнения входа на локальном компьютере. Это означает, что организации требуется действующая надежная инфраструктура открытых ключей (PKI). Также необходимо предоставить этим пользователям смарт-карты и устройства для их чтения. Эти требования довольно сложно выполнить, так как необходимы знания и ресурсы для планирования и развертывания этих технологий. Для внедрения сертификатов и управления ими можно использовать службы сертификатов Active Directory (AD CS). Вы можете использовать автоматическую регистрацию и обновление пользователей и устройств на клиенте.

Связанные разделы

Параметры безопасности

 

 

Показ: