驗證 MED-V 終端使用者
Microsoft企業桌面虛擬化 (MED-V) 2.0 用戶的驗證是非常重要的安全性問題。 在此內容中,驗證是指驗證 MED-V 終端使用者的身分識別。
下一節提供 MED-V 中使用者驗證的相關信息和指引。
MED-V 中的用戶驗證
MED-V 中的驗證通常會在兩個層級發生:當使用者第一次存取 MED-V 時,以及每次他們變更密碼時。
根據您設定 MED-V 設定以進行驗證的方式,通常會在某個時間點提示使用者輸入其密碼,可能是第一次啟動 MED-V 或第一次嘗試開啟已發佈的應用程式。
您可以控制使用者驗證的幾個層面,包括下列各項:
使用者輸入的認證是否儲存在認證管理員中
終端使用者以何種方式提供輸入和儲存其密碼的選項
根據貴公司管理使用者驗證的慣用程式,您可以指定特定 MED-V 工作區是否發生認證快取。 快取終端用戶的認證會很有幫助,因為系統只會提示他們輸入密碼一次。 如果不允許終端使用者儲存其密碼,或他們決定不儲存密碼,則每次啟動新的 MED-V 工作階段時,都必須再次輸入密碼。 例如,如果 MED-V 設定為在終端使用者登入主機但已停用驗證時啟動,則在登入期間只會提示使用者一次。 在此情況下,認證有效,直到終端用戶註銷主機為止。
如有必要,您可以使用認證管理員來移除任何儲存的用戶認證。
預設會停用認證儲存,但您可以透過下列其中一種方法來變更此設定:
建立 MED-V 工作區套件時。 如需詳細資訊,請 參閱建立 MED-V 工作區套件。
部署 MED-V 工作區之後。 編輯 MED-V Cmdlet 參數 UxCredentialCacheEnabled 以設定終端機服務登錄機碼。 如需詳細資訊,請參閱 Windows PowerShell 說明。
在 MED-V 工作區部署之後,您可以修改名為 DisablePasswordSaving 的終端機服務原則,以設定使用者驗證的喜好設定。 DisablePasswordSaving 會控制 [RDP 用戶端] 對話框視窗上是否顯示 [密碼儲存] 複選框,以及是否顯示 MED-V 認證提示。
以下是名為 DisablePasswordSaving 的終端機服務原則原則路徑。
Regedit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Virtual Machine\Policies\DisablePasswordSaving
注意 您對 DisablePasswordSaving 所做的變更只會影響虛擬機的 RDP 提示。
下表列出您可以設定認證儲存設定的不同方式,以及不同組態的效果:
| 值 | 設定 | 結果 |
|---|---|---|
DisablePasswordSaving |
停用 |
系統會顯示 MED-V 提示字元,並可使用並清除要接受的複選框。 如果終端使用者選取複選框,系統會快取認證以供後續使用。 終端使用者也可獲益於只有在密碼過期時才會收到提示。 |
如果終端使用者未選取此複選框,則會顯示 [遠端桌面連線 (RDC) 用戶端提示],而不是 MED-V 提示字元,並清除要接受的複選框。 如果終端用戶選取此複選框,則會儲存 RDC 用戶端認證以供稍後使用。
重要
RDC 不會在使用者輸入認證時驗證認證。 如果終端使用者透過 RDC 提示快取認證,可能會有儲存不正確認證的風險。 在此情況下,必須在 Windows 認證管理員中刪除不正確的認證。 |
||
DisablePasswordSaving |
啟用 |
注意
此設定較安全,因為它不允許快取用戶認證。 |
根據預設,MED-V 安裝會在客體中設定登錄機碼,以隱藏「密碼即將到期」提示。 系統只會提示終端用戶變更主機上的密碼。 在主機上更新的認證會傳遞給來賓。
謹慎 如果您在環境中使用組策略,請知道它可以覆寫登錄機碼,導致來自來賓的密碼提示重新出現。
驗證的安全性考慮
即使快取終端使用者的認證可提供最佳的用戶體驗,您還是必須注意所涉及的風險。
啟用認證快取時,終端使用者的網域認證會以 Windows 認證管理員內可復原的格式儲存。 因此,攻擊者可以撰寫以系統層級進程或用戶進程執行的工具,並擷取使用者的認證。 您只能藉由將 DisablePasswordSaving 設定為 Enabled 來降低此風險。
當 MED-V 驗證已停用,但已啟用終端機服務原則設定時,也會有相同的考慮。