不使用 VPN 憑據連接到網路資源?
我最近在我的公司部署了一個新的遠端訪問 VPN 系統,使用 Cisco ASA 5510 作為集中器。該協議是 L2TP-over-IPsec 以實現跨客戶端的最大兼容性,並且身份驗證由 RSA SecurID 設備處理。一切都很好,除了在一種特定情況下:
- 使用者的工作站是域成員
- 使用者正在以域使用者身份登錄本地工作站
- 使用者正在使用與登錄帳戶相同的使用者名連接到 VPN
- 使用者嘗試訪問網路資源,例如文件共享或 Microsoft Exchange
在這種情況下,使用者的帳戶在嘗試連接到網路資源(即打開 Outlook)後幾乎立即被鎖定在 Active Directory 中。
我認為問題在於 Windows 正在嘗試使用提供的憑據連接到 VPN。因為使用者名匹配但密碼不匹配,因為它實際上是由 SecurID 令牌生成的一次性密碼,所以身份驗證失敗。連續嘗試會導致帳戶被鎖定。
有沒有辦法告訴 Windows 停止這樣做?我嘗試在 VPN 屬性中禁用“Microsoft 網路客戶端”選項,但沒有幫助。
有一個安全策略設置專門用於我正在尋找的內容:網路訪問:不允許儲存用於網路身份驗證的密碼和憑據。通過啟用此設置,不會儲存 VPN 憑據,因此不會用於嘗試對共享文件和 Exchange 等網路資源進行身份驗證。
由於該問題僅影響域成員工作站,因此將此設置應用於所有工作站很簡單,只需使用組策略進行設置即可。
我知道這是一個老問題,但我相信有一個更好的答案,因為它不需要任何伺服器端更改:編輯 VPN 設置以在對網路伺服器進行身份驗證時不使用 VPN 憑據。此設置不會通過 Windows 的 UI 公開,因此您需要找到與您的 VPN 連接(
%AppData%\Roaming\Microsoft\Network\Connections\PBK\rasphone.pbk
對於使用者 VPN)或(%ProgramData%\Microsoft\Network\Connections\Pbk\rasphone.pbk
對於系統 VPN)關聯的 .pbk 文件。
- 右鍵點擊 VPN 的 .pbk 文件並使用記事本打開它。(記得取消勾選“始終將此程序用於此文件類型”)
- 向下大約 5 行將是一個條目 ‘UseRasCredentials=1’
- 將此更改為“UseRasCredentials=0”
- 保存文件。