Я настраиваю USB Yubikeys в качестве смарт-карты для нашей компании, чтобы сотрудники могли получить учетную запись администратора (добавленную в группу локальных администраторов компьютера), просто вставив ключ и введя PIN-код.
Если возможно, я бы хотел отключить возможность интерактивного входа в Windows с помощью смарт-карты; мы просто хотим его для запросов UAC (например, для установки программного обеспечения).
Что я пробовал:
Шаблоны сертификатов - удален «вход со смарт-картой» (но сохранена «аутентификация клиента») из расширений.
AD Users and Computers - (не) отмечена галочка «для интерактивного входа требуется смарт-карта».
regedit - переключил scforceoption
gpedit.msc - переключено «Интерактивный вход в систему: требуется смарт-карта» (может быть таким же, как «scforceoption»?)
Локальные службы - включенная услуга Plug and Play для смарт-карт.
Следует ли мне смотреть на настройки входа в Windows, конфигурацию сертификата, шаблоны CA или конкретное устройство смарт-карты для ограничения использования, чтобы оно работало только с UAC и предотвращения интерактивного входа в систему?
Не уверен, следует ли переместить это в StackExchange «Криптография».
Не уверен, что это предпочтительный способ, но кто-то из Yubikey предложил предложение, которое, похоже, действительно работает.
Окна scardsvr сервис необходим для включения сервисов смарт-карт; если он не запущен, на экране входа в систему не отображаются параметры для входа со смарт-картой. Я просто установил сервис на manual а затем используйте Task Scheduler для запуска или остановки службы (net start scardsvr), когда пользователь входит в систему или выходит из нее.
Задачи запланированы для запуска от имени локального администратора, так что вошедший в систему пользователь может по-прежнему иметь только базовые привилегии уровня пользователя.
Это по-прежнему подвержено недействию со стороны пользователя, поскольку он может просто отключить задачу остановки службы с помощью своей смарт-карты, но этот вопрос в основном был поднят для упрощения экрана входа в систему, а не для обеспечения более безопасной пользовательской среды.