Назад | Перейти на главную страницу

Не использовать учетные данные VPN для подключения к сетевым ресурсам?

Недавно я развернул новую систему VPN для удаленного доступа в своей компании, используя Cisco ASA 5510 в качестве концентратора. Это протокол L2TP-over-IPsec для максимальной совместимости между клиентами, а аутентификация обрабатывается устройством RSA SecurID. Все работает очень хорошо, за исключением одного конкретного сценария:

В этом случае учетная запись пользователя блокируется в Active Directory почти сразу после попытки подключения к сетевому ресурсу (т. Е. Открытия Outlook).

Я считаю, что проблема в том, что Windows пытается использовать учетные данные, предоставленные для подключения к VPN. Поскольку имя пользователя совпадает, а пароль - нет, поскольку на самом деле это одноразовый пароль, сгенерированный токеном SecurID, аутентификация не выполняется. Непрерывные попытки приводят к блокировке учетной записи.

Есть ли способ сказать Windows прекратить это делать? Я пробовал отключить опцию «Клиент для сетей Microsoft» в свойствах VPN, но это не помогло.

Есть параметр политики безопасности, который делает именно то, что я ищу: Доступ к сети: не разрешать хранение паролей и учетных данных для сетевой аутентификации.. При включении этого параметра учетные данные VPN не сохраняются и, следовательно, не используются для попытки аутентификации на сетевых ресурсах, таких как общие файлы и Exchange.

Поскольку проблема затрагивает только рабочие станции, входящие в домен, применение этого параметра ко всем из них - простой вопрос настройки с помощью групповой политики.

Я знаю, что это старый вопрос, но я считаю, что есть лучший ответ, поскольку он не требует каких-либо изменений на стороне сервера: отредактируйте настройки VPN, чтобы не использовать учетные данные VPN при аутентификации на сетевых серверах. Этот параметр не отображается в пользовательском интерфейсе Windows, поэтому вам нужно найти файл .pbk, связанный с вашим VPN-подключением (%AppData%\Roaming\Microsoft\Network\Connections\PBK\rasphone.pbk для пользовательских VPN) или (%ProgramData%\Microsoft\Network\Connections\Pbk\rasphone.pbk для системных VPN).

  1. Щелкните правой кнопкой мыши файл .pbk VPN и откройте его в Блокноте. (Не забудьте снять флажок "Всегда использовать эту программу для этого типа файлов")
  2. Примерно на 5 строк ниже будет запись UseRasCredentials = 1.
  3. Измените это на UseRasCredentials = 0
  4. Сохраните файл.

Я получил эти инструкции из: https://social.technet.microsoft.com/Forums/windows/en-US/0204464d-e32d-4584-966b-60788cce0d6f/disable-creation-of-vpn-session-credential-in-credential-manager-without- отключение всего