我正在将 USB Yubikeys 配置为我们公司的智能卡,以便员工只需插入密钥并输入 PIN 即可提升到管理员帐户(添加到计算机的本地管理员组)。
如果可能的话,我想禁用使用智能卡以交互方式登录 Windows 的选项;我们只是希望它用于 UAC 提示(例如安装软件)。
我尝试过的事情:
证书模板——从扩展中删除了‘智能卡登录’(但保留了‘客户端身份验证’)。
AD 用户和计算机——(取消)勾选“交互式登录需要智能卡”。
regedit — 切换“scforceoption”
gpedit.msc——切换‘交互式登录:需要智能卡’(可以与‘scforceoption’相同吗?)
本地服务--切换“智能卡即插即用服务”
我是否应该查看 Windows 登录设置、证书使用配置、CA 模板或特定智能卡设备以限制使用,使其仅与 UAC 一起工作并防止交互式登录?
不确定是否应该将其移至“密码学”StackExchange。
答案1
不确定这是否是首选方式,但 Yubikey 的某个人提出了一个似乎确实有效的建议。
scardsvr
启用智能卡服务需要Windows服务;如果不运行该服务,登录屏幕将不会显示任何使用智能卡登录的选项。我只需将服务设置为manual
,然后在用户登录或注销时使用Task Scheduler
它来触发服务的启动或停止( )。net start scardsvr
这些任务被安排以本地管理员身份运行,以便登录的用户仍然只能拥有基本的用户级权限。
用户仍然容易取消此操作,因为他们可以简单地使用智能卡禁用停止服务任务,但提出这个问题主要是为了简化登录屏幕,而不是提供更安全的用户环境。