Active-Directory

不使用 VPN 憑據連接到網路資源?

  • July 28, 2021

我最近在我的公司部署了一個新的遠端訪問 VPN 系統,使用 Cisco ASA 5510 作為集中器。該協議是 L2TP-over-IPsec 以實現跨客戶端的最大兼容性,並且身份驗證由 RSA SecurID 設備處理。一切都很好,除了在一種特定情況下:

  • 使用者的工作站是域成員
  • 使用者正在以域使用者身份登錄本地工作站
  • 使用者正在使用與登錄帳戶相同的使用者名連接到 VPN
  • 使用者嘗試訪問網路資源,例如文件共享或 Microsoft Exchange

在這種情況下,使用者的帳戶在嘗試連接到網路資源(即打開 Outlook)後幾乎立即被鎖定在 Active Directory 中。

我認為問題在於 Windows 正在嘗試使用提供的憑據連接到 VPN。因為使用者名匹配但密碼不匹配,因為它實際上是由 SecurID 令牌生成的一次性密碼,所以身份驗證失敗。連續嘗試會導致帳戶被鎖定。

有沒有辦法告訴 Windows 停止這樣做?我嘗試在 VPN 屬性中禁用“Microsoft 網路客戶端”選項,但沒有幫助。

有一個安全策略設置專門用於我正在尋找的內容:網路訪問:不允許儲存用於網路身份驗證的密碼和憑據。通過啟用此設置,不會儲存 VPN 憑據,因此不會用於嘗試對共享文件和 Exchange 等網路資源進行身份驗證。

由於該問題僅影響域成員工作站,因此將此設置應用於所有工作站很簡單,只需使用組策略進行設置即可。

我知道這是一個老問題,但我相信有一個更好的答案,因為它不需要任何伺服器端更改:編輯 VPN 設置以在對網路伺服器進行身份驗證時不使用 VPN 憑據。此設置不會通過 Windows 的 UI 公開,因此您需要找到與您的 VPN 連接(%AppData%\Roaming\Microsoft\Network\Connections\PBK\rasphone.pbk對於使用者 VPN)或(%ProgramData%\Microsoft\Network\Connections\Pbk\rasphone.pbk對於系統 VPN)關聯的 .pbk 文件。

  1. 右鍵點擊 VPN 的 .pbk 文件並使用記事本打開它。(記得取消勾選“始終將此程序用於此文件類型”)
  2. 向下大約 5 行將是一個條目 ‘UseRasCredentials=1’
  3. 將此更改為“UseRasCredentials=0”
  4. 保存文件。

這些說明來自:https ://social.technet.microsoft.com/Forums/windows/en-US/0204464d-e32d-4584-966b-60788cce0d6f/disable-creation-of-vpn-session-credential-in -credential-manager-without-disabling-all-of

引用自:https://serverfault.com/questions/322235