Überlegungen zu Sicherheitsrichtlinien bei der Aktivierung der Single Sign-On-Option (Anmeldung in einem Schritt) in Dell Encryption

Betroffene Produkte:

• Dell Endpoint Security Suite Enterprise
• Dell Encryption
• Dell Data Protection | Encryption

Betroffene Versionen:

• v7.3 und höher

Betroffene Plattformen:

• Windows 7
• Windows 8.1
• Windows 10

Bei der Nutzung eines Builds von Dell Encryption (ehemals Dell Data Protection | Verschlüsselung) oder Dell Endpoint Security Suite Enterprise und Single Sign-On (SSO) aktiviert ist, gelten die folgenden Überlegungen.

Interaktives Anmelden

Damit Single Sign-On (SSO) wie vorgesehen funktioniert, sollte "Benutzer müssen STRG+Alt+Entf drücken " deaktiviert werden:

1. Öffnen Sie die Systemsteuerung.
2. Doppelklicken Sie auf Nutzerkonten.
3. Wählen Sie die Option "Nutzerkonten verwalten " aus.
4. Klicken Sie auf die Registerkarte Erweitert.
5. Stellen Sie sicher, dass Nutzer müssen STRG+Alt+Entf drücken deaktiviert ist.

Abbildung 1: (Nur Englisch) Nutzerkonten

Abbildung 2: (Nur Englisch) Sichere Anmeldung

Wenn ein Endpunkt Teil einer Domäne ist, führt die interaktive Anmeldung Folgendes aus: STRG + ALT + ENTF nicht erforderlich Das Gruppenrichtlinienobjekt (GPO) muss aktiviert oder nicht definiert sein, damit SSO wie vorgesehen funktioniert.

Abbildung 3: (Nur Englisch) Interaktive Anmeldung: STRG+ALT+ENTF-Eigenschaften nicht erforderlich

Die interaktive Anmeldung: Meldungstext für Nutzer, die versuchen, sich anzumelden, und interaktive Anmeldung: Meldungstitel für Nutzer, die versuchen, sich anzumelden GPOs dürfen nicht definiert sein, damit SSO wie vorgesehen funktioniert:

Abbildung 4: (Nur Englisch) Interaktive Anmeldung: Meldungstext für Anmeldeversuche von NutzerInnen

Wenn SSO ordnungsgemäß konfiguriert ist, aber die oben genannten GPOs erzwungen werden, fehlen die folgenden Einträge in den AuthProxy-Protokollen:

[2018.06.15 09:11:34 PID=01532 TID=03640 D] AccountNameToSIDUsingPolicy: Found User SID
[2018.06.15 09:11:34 PID=01532 TID=03640 D] SidToString: Converted account name to SID: xxx\TEST1 => S-1-5-21-3372480839-4220617495-3508434089-1628
[2018.06.15 09:11:34 PID=01532 TID=03640 D] ProxyTunnel: Formatting Password UUK SSO token
[2018.06.15 09:11:34 PID=01532 TID=03640 D] ProxyTunnel: Assembled SSO package for DP of length 2086

Hinweis: Die Builds v8.18.x und 10.0.x interagieren aufgrund der Einführung des neuen Dell Zugangsdatenanbieters etwas anders mit dem interaktiven Active Directory (AD) Gruppenrichtlinienobjekt (GPO). Aus diesem Grund sehen EndnutzerInnen, die unmittelbar nach der PBA-Anmeldung (Pre-Boot Authentication) zur Eingabe von Strg + Alt + Entf aufgefordert werden, möglicherweise nie, dass ihre aktuelle Sitzung abläuft. Dell arbeitet daran, alle Bedenken zu zerstreuen, indem Single Sign-On-Anmeldeinformationen erzwungen werden, die ablaufen, wenn sie nicht rechtzeitig verbraucht werden. Die interaktive Anmeldung: Limit für Maschineninaktivität AD-Gruppenrichtlinienobjekte können als Workaround angewendet werden, um zu erzwingen, dass Anmeldesitzungen nach X Sekunden ablaufen.


Abbildung 5: (Nur Englisch) Interaktive Anmeldung: Eigenschaften der Begrenzung der Maschineninaktivität

Anderer Anmeldebildschirm

Ein zusätzlicher Anmeldebildschirm kann beim Beenden des Ruhezustands, beim Entsperren oder nach dem Starten aus dem ausgeschalteten Zustand angezeigt werden. Dieser zusätzliche Bildschirm ist auf Sicherheitsänderungen innerhalb des Betriebssystems Windows 10 1803 zurückzuführen. Es wurde ein Timer eingeführt, der erzwingt, dass alle Anmeldeinformationen im Speicher nach einer festgelegten Dauer ablaufen.

Abbildung 6: (Nur Englisch) Windows-Anmeldebildschirm

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.