Только смарт-карта для UAC

Question

Только смарт-карта для UAC

Я нахожусь в процессе настройки USB Yubikeys в качестве смарт-карты для нашей компании, чтобы сотрудники могли перейти к учетной записи администратора (добавленной в группу локальных администраторов компьютера), просто вставив ключ и введя PIN-код.

Если возможно, я бы хотел отключить возможность интерактивного входа в Windows с помощью смарт-карты; мы просто хотим, чтобы он запрашивал UAC (например, для установки программного обеспечения).

Вещи, которые я пытался:

Шаблоны сертификатов - удалили "вход с помощью смарт-карты" (но сохранил "аутентификацию клиента") из расширений.
AD Users and Computers - (не) поставлен флажок "для интерактивного входа требуется смарт-карта".
regedit - переключил "scforceoption"
gpedit.msc - переключение "Интерактивный вход в систему: требовать смарт-карту" (может совпадать с "scforceoption"?)
Локальные услуги - переключение "услуги" подключи и работай "со смарт-картой

Стоит ли смотреть на параметры входа в систему Windows, сертификат использует конфигурацию, шаблоны CA или конкретное устройство со смарт-картой, чтобы ограничить использование только его работой с UAC и предотвратить интерактивные входы в систему?

Не уверен, стоит ли переносить это в "Криптография" StackExchange.

2

windows uac smartcard cryptography yubikey

Источник

captcha 23 янв '19 в 00:51

1 ответ

Другие вопросы по тегам windows uac smartcard cryptography yubikey

captcha 25 янв '19 в 22:34 2019-01-25 22:34 · Answer 1 · 2019-01-25 22:34

Не уверен, что это предпочтительный способ, но кто-то из Yubikey предложил предложение, которое, похоже, действительно работает.

Окна scardsvr услуга необходима для включения услуг смарт-карт; без его запуска на экране входа в систему не отображаются параметры входа с помощью смарт-карты. Я просто установил сервис на manual а затем использовать Task Scheduler инициировать запуск или остановку услуги (net start scardsvr) когда пользователь входит или выходит из системы.

Задачи запланированы для запуска в качестве локального администратора, так что вошедший в систему пользователь все еще может иметь только базовые привилегии уровня пользователя.

Это все еще может быть невыполнено пользователем, поскольку они могут просто отключить задачу остановки службы с помощью своей смарт-карты, но этот вопрос был в основном поднят, чтобы упростить экран входа в систему, а не обеспечить более безопасную среду пользователя.