Не использовать учетные данные VPN для подключения к сетевым ресурсам?
Недавно я развернул новую VPN-систему удаленного доступа в своей компании, используя Cisco ASA 5510 в качестве концентратора. Протокол L2TP-over-IPsec для максимальной совместимости между клиентами, а аутентификация обрабатывается устройством RSA SecurID. Все работает очень хорошо, за исключением одного конкретного сценария:
- Рабочая станция пользователя является членом домена
- Пользователь входит на локальную рабочую станцию как пользователь домена
- Пользователь подключается к VPN под тем же именем пользователя, что и вошедшая в систему учетная запись.
- Пользователь пытается получить доступ к сетевым ресурсам, таким как общие папки или Microsoft Exchange.
В этом случае учетная запись пользователя блокируется в Active Directory практически сразу после попытки подключения к сетевому ресурсу (т.е. открытия Outlook).
Я считаю, что проблема заключается в том, что Windows пытается использовать учетные данные, предоставленные для подключения к VPN. Поскольку имя пользователя совпадает, а пароль - нет, поскольку на самом деле это одноразовый пароль, сгенерированный токеном SecurID, проверка подлинности завершается неудачно. Непрерывные попытки приводят к блокировке учетной записи.
Есть ли способ сказать Windows, чтобы прекратить делать это? Я пытался отключить опцию "Клиент для сетей Microsoft" в свойствах VPN, но это не помогло.
2 ответа
Существует параметр политики безопасности, который делает именно то, что я ищу: Доступ к сети: не разрешать хранение паролей и учетных данных для сетевой аутентификации. Включив этот параметр, учетные данные VPN не сохраняются и, следовательно, не используются для попытки аутентификации в сетевых ресурсах, таких как общие файлы и Exchange.
Поскольку проблема затрагивает только рабочие станции, входящие в домен, применить этот параметр ко всем из них - это просто установить его с помощью групповой политики.
Я знаю, что это старый вопрос, но я считаю, что есть лучший ответ в том, что он не требует никаких изменений на стороне сервера: измените настройки VPN, чтобы не использовать учетные данные VPN при аутентификации на сетевых серверах. Этот параметр не предоставляется через пользовательский интерфейс Windows, поэтому вам нужно найти файл.pbk, связанный с вашим VPN-подключением (который может быть в %userprofile%\AppData\Roaming\Microsoft\Network\Connections\PBK или же C:\ProgramData\Microsoft\Network\Connections\Pbk).
- Щелкните правой кнопкой мыши на файле.pbk VPN и откройте его с помощью Блокнота. (Не забудьте снять флажок "Всегда использовать эту программу для файлов этого типа")
- Примерно на 5 строк ниже будет запись "UseRasCredentials=1"
- Измените это на "UseRasCredentials=0"
- Сохраните файл.
Я получил эти инструкции от: https://social.technet.microsoft.com/Forums/windows/en-US/0204464d-e32d-4584-966b-60788cce0d6f/disable-creation-of-vpn-session-credential-in-credential-manager-without-disabling-all-of