Интерактивный вход в систему: требовать смарт-карту
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Интерактивный вход в систему: требовать смарт-карту.
Справка
Если параметр политики Интерактивный вход в систему: требовать смарт-карту включен, пользователям необходимо выполнить вход на устройстве с помощью смарт-карты.
Длинные сложные пароли для проверки подлинности улучшают безопасность сети, особенно если пользователям необходимо регулярно менять пароли. Это снижает вероятность того, что злоумышленник сможет получить пароль пользователя с помощью атаки методом подбора. Использование смарт-карт вместо паролей для проверки подлинности значительно улучшает уровень безопасности, поскольку благодаря современным технологиям злоумышленнику практически невозможно выдать себя за другого пользователя. Смарт-карты, требующие ввода ПИН-кода, реализуют двухфакторную проверку подлинности: пользователь, который пытается войти в систему, должен обладать смарт-картой и знать ее ПИН-код. Злоумышленнику, перехватывающему трафик проверки подлинности между устройством пользователя и контроллером домена, будет очень сложно расшифровать эти данные. Даже если удастся это сделать, при следующем входе пользователя в сеть будет создан новый ключ сеанса для шифрования трафика между пользователем и контроллером домена.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Установите для параметра Интерактивный вход в систему: требовать смарт-карту значение "Включено". Всем пользователям придется применять смарт-карту для входа в сеть. Это означает, что организация требуется действующая надежная инфраструктура открытых ключей (PKI). Также необходимо предоставить всем пользователям смарт-карты и устройства для их чтения.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
Тип сервера или объект групповой политики | Значение по умолчанию |
---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Вопросы, касающиеся конфликтов политик
Нет.
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Пользователям не всегда легко выбрать надежные пароли, и даже стойкие пароли уязвимы к атакам методом подбора, если у злоумышленника достаточно времени и вычислительных ресурсов.
Меры противодействия
Выдайте пользователям с доступом к компьютерам, которые содержат конфиденциальные данные, смарт-карты и задайте для параметра Интерактивный вход в систему: требовать смарт-карту значение "Включено".
Возможные последствия
Все пользователи устройства, на котором этот параметр включен, должны применять смарт-карты для выполнения входа на локальном компьютере. Это означает, что организации требуется действующая надежная инфраструктура открытых ключей (PKI). Также необходимо предоставить этим пользователям смарт-карты и устройства для их чтения. Эти требования довольно сложно выполнить, так как необходимы знания и ресурсы для планирования и развертывания этих технологий. Для внедрения сертификатов и управления ими можно использовать службы сертификатов Active Directory (AD CS). Вы можете использовать автоматическую регистрацию и обновление пользователей и устройств на клиенте.