交互式登录: 需要智能卡
介绍了有关“交互式登录: 需要智能卡”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
“交互式登录: 需要智能卡”****策略设置需要用户使用智能卡登录设备。
要求用户使用较长且复杂的密码进行身份验证可增强网络安全性,尤其是在用户必须定期更改其密码时。这将减少恶意用户能够通过暴力攻击猜出用户密码的几率。使用智能卡而不是密码来进行身份验证可大幅提高安全性,因为凭借当今的技术,恶意用户几乎不可能模拟另一个用户。需要个人标识号 (PIN) 的智能卡提供双因素身份验证:尝试登录的用户必须拥有智能卡并知道其 PIN。捕获用户的设备和域控制器之间的身份验证通信的恶意用户将发现解密该通信极其困难:即使他们成功解密,但在下次用户登录网络时,将生成新的会话密钥用于加密用户和域控制器之间的通信。
可能值
启用
禁用
未定义
最佳做法
- 将“交互式登录: 需要智能卡”设置为“启用”。所有用户都需要使用智能卡登录网络。这意味着组织必须具有可靠的公钥基础结构 (PKI),并为所有用户提供智能卡和智能卡读卡器。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
服务器类型或 GPO | 默认值 |
---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
禁用 |
DC 有效默认设置 |
禁用 |
成员服务器有效默认设置 |
禁用 |
客户端计算机有效默认设置 |
已禁用 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
策略冲突注意事项
无。
组策略
此策略设置可使用组策略管理控制台 (GPMC) 配置为通过组策略对象 (GPO) 进行分配。如果此策略未包含在分配的 GPO 中,可以在本地计算机上通过使用本地安全策略管理单元来配置此策略。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
使用户难以选择强密码,并且如果攻击者有足够的时间和计算资源,即使是强密码也很难抵御暴力攻击。
对策
对于有权访问包含敏感数据的计算机的用户,向用户颁发智能卡并将“交互式登录: 需要智能卡”****配置为“启用”。
潜在影响
启用此设置的设备的所有用户都必须使用智能卡进行本地登录。这意味着组织必须具有可靠的公钥基础结构 (PKI) 以及适用于这些用户的智能卡和智能卡读卡器。这些要求难以实现,因为规划和部署这些技术需要大量专业技能和资源。Active Directory 证书服务 (AD CS) 可用于实现和管理证书。你可以在客户端上使用自动用户和设备注册及续订。