Verwenden Sie keine VPN-Anmeldeinformationen, um eine Verbindung zu Netzwerkressourcen herzustellen?

7

Ich habe kürzlich in meinem Unternehmen ein neues RAS-VPN-System bereitgestellt, das einen Cisco ASA 5510 als Konzentrator verwendet. Das Protokoll ist L2TP-over-IPsec für maximale Kompatibilität zwischen Clients. Die Authentifizierung wird von einer RSA SecurID-Appliance durchgeführt. Alles funktioniert wirklich gut, außer in einem bestimmten Szenario:

  • Die Arbeitsstation des Benutzers ist ein Domänenmitglied
  • Der Benutzer meldet sich als Domänenbenutzer bei der lokalen Arbeitsstation an
  • Der Benutzer stellt mit demselben Benutzernamen wie das angemeldete Konto eine Verbindung zum VPN her
  • Der Benutzer versucht, auf Netzwerkressourcen wie Dateifreigaben oder Microsoft Exchange zuzugreifen

In diesem Fall wird das Benutzerkonto fast unmittelbar nach dem Versuch, eine Verbindung zu einer Netzwerkressource herzustellen (dh Outlook zu öffnen), in Active Directory gesperrt.

Ich glaube, das Problem ist, dass Windows versucht, die für die Verbindung zum VPN bereitgestellten Anmeldeinformationen zu verwenden. Da der Benutzername übereinstimmt, das Kennwort jedoch nicht, da es sich tatsächlich um ein einmaliges Kennwort handelt, das vom SecurID-Token generiert wird, schlägt die Authentifizierung fehl. Kontinuierliche Versuche führen dazu, dass das Konto gesperrt wird.

Gibt es eine Möglichkeit, Windows anzuweisen, dies zu beenden? Ich habe versucht, die Option "Client für Microsoft-Netzwerke" in den VPN-Eigenschaften zu deaktivieren, aber es hat nicht geholfen.

active-directory  vpn  securid 
AdmiralNemo
quelle

Antworten:

4

Es gibt eine Sicherheitsrichtlinieneinstellung, die genau das tut, wonach ich suche: Netzwerkzugriff: Das Speichern von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung ist nicht zulässig . Durch Aktivieren dieser Einstellung werden VPN-Anmeldeinformationen nicht gespeichert und daher nicht zum Versuch verwendet, sich bei Netzwerkressourcen wie freigegebenen Dateien und Exchange zu authentifizieren.

Da das Problem nur Arbeitsstationen von Domänenmitgliedern betrifft, können Sie diese Einstellung einfach auf alle Gruppenstationen anwenden, indem Sie sie mit Gruppenrichtlinien festlegen.

AdmiralNemo
quelle
3

Ich weiß, dass dies eine alte Frage ist, aber ich glaube, dass es eine bessere Antwort gibt, da keine serverseitigen Änderungen erforderlich sind: Bearbeiten Sie die VPN-Einstellungen, um die VPN-Anmeldeinformationen bei der Authentifizierung bei Netzwerkservern nicht zu verwenden. Diese Einstellung wird nicht über die Windows-Benutzeroberfläche verfügbar gemacht. Sie müssen daher die mit Ihrer VPN-Verbindung verknüpfte .pbk-Datei ( %AppData%\Roaming\Microsoft\Network\Connections\PBK\rasphone.pbkfür Benutzer-VPNs) oder ( %ProgramData%\Microsoft\Network\Connections\Pbk\rasphone.pbkfür System-VPNs) suchen .

  1. Klicken Sie mit der rechten Maustaste auf die .pbk-Datei des VPN und öffnen Sie sie mit Notepad. (Denken Sie daran, das Kontrollkästchen "Dieses Programm immer für diesen Dateityp verwenden" zu deaktivieren.)
  2. Etwa 5 Zeilen weiter wird ein Eintrag 'UseRasCredentials = 1' angezeigt.
  3. Ändern Sie dies in 'UseRasCredentials = 0'.
  4. Speicher die Datei.

Ich habe diese Anweisungen bezogen von: https://social.technet.microsoft.com/Forums/windows/en-US/0204464d-e32d-4584-966b-60788cce0d6f/disable-creation-of-vpn-session-credential-in -credential-manager-without-disabling-all-of

Kendall Lister
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.