Интерактивный вход в систему: поведение при извлечении смарт-карты
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Интерактивный вход в систему: поведение при извлечении смарт-карты.
Справка
Этот параметр политики определяет, что происходит, когда смарт-карта, используемая для входа в систему, извлекается из устройства чтения смарт-карт.
Если для проверки подлинности используются смарт-карты, устройство должно автоматически заблокироваться после извлечения карты. Тогда, если пользователи забудут вручную заблокировать устройство, отходя от него, злоумышленники не смогут получить доступ.
Если выбрать параметр Принудительный выход из системы на странице свойств этого параметра политики, пользователь будет автоматически выходить из системы при извлечении смарт-карты. Пользователям потребуется снова вставить смарт-карту и ввести ПИН-код для возобновления работы на компьютере.
Возможные значения
Нет действия
Блокировка рабочей станции
Если выбрать это значение, рабочая станцию будет заблокирована при извлечении смарт-карты, что позволит пользователям покинуть рабочее место, взяв с собой смарт-карту, но при этом их рабочая станция будет защищена.
Принудительный выход из системы
Если выбрать это значение, пользователь будет автоматически выходить из системы при извлечении смарт-карты.
Отключение в случае удаленного сеанса служб удаленных рабочих столов
Если выбрать этот параметр, при извлечении смарт-карты сеанс будет завершен без выхода пользователя из системы. Это позволит пользователю вставить смарт-карту и продолжить сеанс позже на этом или другом компьютере с устройством чтения смарт-карт, не входя в систему еще раз. Если сеанс локальный, эта политика эквивалентна блокировке рабочей станции.
Не определено
Рекомендации
- Установите для параметра Интерактивный вход в систему: поведение при извлечении смарт-карты значение Блокировка рабочей станции. Если выбрать значение Блокировка рабочей станции на странице свойств этого параметра политики, рабочая станция будет заблокирована при извлечении смарт-карты. Это позволит пользователям покинуть рабочее место, взяв с собой смарт-карту, но при этом их рабочая станция будет защищена.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Нет действия |
Действующие параметры контроллера домена по умолчанию |
Нет действия |
Действующие параметры рядового сервера по умолчанию |
Нет действия |
Действующие параметры клиентского компьютера по умолчанию |
Нет действия |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Вопросы, касающиеся конфликтов политик
Нет
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Пользователи иногда забывают блокировать свои рабочие станции, отходя от них, что дает злоумышленникам возможность получить доступ к этим устройствам. Если для проверки подлинности используются смарт-карты, устройство должно автоматически заблокироваться при извлечении карты, чтобы только пользователь с этой смарт-картой мог получить доступ к ресурсам, используя эти учетные данные.
Меры противодействия
Задайте для параметра Интерактивный вход в систему: поведение при извлечении смарт-карты значение Блокировка рабочей станции.
Если выбрать значение Блокировка рабочей станции для этого параметра политики, устройство будет блокироваться при извлечении смарт-карты. Тогда пользователи смогут покинуть рабочее место, взяв с собой смарт-карту, но при этом их рабочая станция будет защищена. Это похоже на требование входа в систему при возобновлении работы на устройстве после запуска заставки.
Если выбрать параметр Принудительный выход из системы, пользователь будет автоматически выходить из системы при извлечении смарт-карты. Этот параметр полезен, если устройство развернуто в качестве точки общего доступа, например как киоск или другой тип общедоступного устройства.
Возможные последствия
Если выбрать значение Принудительный выход из системы, пользователям потребуется вставить смарт-карту и ввести ПИН-код для возобновления работы на компьютере.