端点管理指南:用于 Windows › 监视和审核 › CA ControlMinder 审核内容 › 登录拦截限制
登录拦截限制
Windows 上的登录拦截仅受 CA ControlMinder 子身份验证方法支持。
无法通过内核设置登录拦截。 因此,您应该考虑以下方面:
- 由于在 Windows 域环境中,子身份验证组件在域控制器 (DC) 级别上工作,且由操作系统来决定对用户登录事件(以及触发 CA ControlMinder 子身份验证模块)进行验证的 DC,因此,每个 DC 上均需安装 CA ControlMinder。
- 在 Windows 环境中运行时,CA ControlMinder 登录策略(TERMINAL 规则)需要位于 DC 上,而无需位于目标服务器上。
例如,如果您希望保护或审核由文件服务器(该服务器属于 Windows 域的一部分,而不属于 DC)上的域用户执行的登录事件,则需要在 DC 上而非目标文件服务器上定义 CA ControlMinder 登录策略。 这是因为域用户访问共享文件目录时,将在 DC 而非文件服务器上发生登录身份验证。
- 存在多个 DC 时,可能会在其中一个 DC 上处理 CA ControlMinder 登录身份验证。 因此,我们建议您在所有 DC 之间同步 CA ControlMinder 登录策略。
可以通过以下两种方法实施此同步:通过策略模型机制,在此机制中,所有 DC 均为 PMDB 的订户,或者通过将所有 DC 添加至主机组,然后使用高级策略管理部署常用策略。
- 登录事件相对应的某些用户属性,将在事件身份验证运行时更新。 这些属性可能并不同步,因为登录身份验证仅在其中一个 DC 上进行。 这些属性为 Gracelogins、Last accessed 和 Last access time。
也就是说,例如,用户属性 Last access time 的值在 DC 之间可能会有所不同,因为 CA ControlMinder 子身份验证是在其中一个 DC 上触发的,而不是在所有 DC 上。
- 要强制执行本地用户(即不是域用户)登录事件,需要将 CA ControlMinder 安装在本地用户需具备访问权限的本地计算机上。 这是由于本地计算机被用作域计算机(域即为本地计算机)。
- 与先前 CA ControlMinder 版本设置相同,远程桌面协议 (RDP)/终端服务登录事件均强制在目标服务器上执行。 但是,对于 RDP 登录事件,应在目标服务器上定义 CA ControlMinder 登录策略。
版权所有 © 2013 CA。
保留所有权利。
|
|