仅适用于 UAC 的智能卡

仅适用于 UAC 的智能卡

我正在将 USB Yubikeys 配置为我们公司的智能卡,以便员工只需插入密钥并输入 PIN 即可提升到管理员帐户(添加到计算机的本地管理员组)。

如果可能的话,我想禁用使用智能卡以交互方式登录 Windows 的选项;我们只是希望它用于 UAC 提示(例如安装软件)。

我尝试过的事情:

  • 证书模板——从扩展中删除了‘智能卡登录’(但保留了‘客户端身份验证’)。

  • AD 用户和计算机——(取消)勾选“交互式登录需要智能卡”。

  • regedit — 切换“scforceoption”

  • gpedit.msc——切换‘交互式登录:需要智能卡’(可以与‘scforceoption’相同吗?)

  • 本地服务--切换“智能卡即插即用服务”

我是否应该查看 Windows 登录设置、证书使用配置、CA 模板或特定智能卡设备以限制使用,使其仅与 UAC 一起工作并防止交互式登录?

不确定是否应该将其移至“密码学”StackExchange。

答案1

不确定这是否是首选方式,但 Yubikey 的某个人提出了一个似乎确实有效的建议。

scardsvr启用智能卡服务需要Windows服务;如果不运行该服务,登录屏幕将不会显示任何使用智能卡登录的选项。我只需将服务设置为manual,然后在用户登录或注销时使用Task Scheduler它来触发服务的启动或停止( )。net start scardsvr

这些任务被安排以本地管理员身份运行,以便登录的用户仍然只能拥有基本的用户级权限。

用户仍然容易取消此操作,因为他们可以简单地使用智能卡禁用停止服务任务,但提出这个问题主要是为了简化登录屏幕,而不是提供更安全的用户环境。

相关内容