Windows-Server-2008-R2

PKI - 共享帳戶和不可否認性

  • January 22, 2019

我希望這不是一個愚蠢的問題,但這裡是這樣的場景:

我們有一個伺服器 2008R2 域,使用通過 safenet 管理的 PKI 身份驗證。對於我們域內的一些系統,由於設計限制,多個使用者必須使用一個共享帳戶。這很容易通過將共享帳戶添加到他們的智能卡來管理,但這會引發不可否認性的問題。本質上:

有沒有辦法跟踪登錄共享帳戶的卡?或其他方式來區分使用者使用情況以跟踪誰在給定時間實際使用該帳戶?

在這種情況下,任何卡都不會只有共享帳戶,所有卡也將分配一個指定的使用者帳戶,共享帳戶將是次要的。

您的設計完全繞過了雙因素身份驗證的全部目的。您已將“您擁有的東西”因素改為“一群人擁有/分享的東西”。

智能卡的序列號或唯一標識符不會傳輸到伺服器,因此它不知道使用哪個智能卡進行身份驗證,假設智能卡上的憑據都相同。

您可以在客戶端審核智能卡的插入,PnP 管理器(UserPnp、WudfUsbccidDrv 等)應將一些唯一事件寫入客戶端的事件日誌,其中包含可能用於唯一標識哪個智能卡的序列號是在什麼時候插入的,但您可能無法控制您的使用者可以將他們的智能卡插入哪些客戶端系統。

引用自:https://serverfault.com/questions/641739