Overwegingen bij het beveiligingsbeleid bij het inschakelen van de optie Single Sign-On (aanmelden in één stap) in Dell Encryption

Betreffende producten:

• Dell Endpoint Security Suite Enterprise
• Dell Encryption
• Dell Data Protection | Encryption

Betreffende versies:

• v7.3 en hoger

Betreffende platforms:

• Windows 7
• Windows 8.1
• Windows 10

Wanneer u gebruikmaakt van een build van Dell Encryption (voorheen Dell Data Protection | Versleuteling) of Dell Endpoint Security Suite Enterprise en Single Sign-On (SSO) is ingeschakeld, zijn de volgende overwegingen van toepassing.

Interactief inloggen

Als u Single Sign-On (SSO) naar behoren wilt laten werken, moet Vereisen dat gebruikers op CTRL+Alt+Delete drukken worden uitgeschakeld:

1. Configuratiescherm openen
2. Dubbelklik op Gebruikersaccounts.
3. Selecteer de optie Gebruikersaccounts beheren .
4. Klik op het tabblad Geavanceerd.
5. Zorg ervoor dat Gebruikers vereisen op CTRL+Alt+Delete is gewist.

Afbeelding 1: (Alleen In het Engels) Gebruikersaccounts

Afbeelding 2: (Alleen In het Engels) Veilig aanmelden

Als een eindpunt deel uitmaakt van een domein, wordt de Interactieve aanmelding: Vereist geen CTRL+ALT+DEL Group Policy Object (GPO) moet zijn ingeschakeld of niet gedefinieerd om SSO naar behoren te laten werken.

Afbeelding 3: (Alleen In het Engels) Interactieve aanmelding: Eigenschappen van CTRL+ALT+DEL zijn niet vereist

De interactieve aanmelding: Berichttekst voor gebruikers die zich proberen aan te melden en Interactief aanmelden: Berichttitel voor gebruikers die zich proberen aan te melden GPO's moeten niet zijn gedefinieerd om SSO naar behoren te laten werken:

Afbeelding 4: (Alleen In het Engels) Interactieve aanmelding: Berichttekst voor gebruikers die zich proberen aan te melden

Als SSO correct is geconfigureerd, maar de bovenstaande GPO's worden afgedwongen, ontbreken de onderstaande vermeldingen in de AuthProxy-logboeken:

[2018.06.15 09:11:34 PID=01532 TID=03640 D] AccountNameToSIDUsingPolicy: Found User SID
[2018.06.15 09:11:34 PID=01532 TID=03640 D] SidToString: Converted account name to SID: xxx\TEST1 => S-1-5-21-3372480839-4220617495-3508434089-1628
[2018.06.15 09:11:34 PID=01532 TID=03640 D] ProxyTunnel: Formatting Password UUK SSO token
[2018.06.15 09:11:34 PID=01532 TID=03640 D] ProxyTunnel: Assembled SSO package for DP of length 2086

Opmerking: v8.18.x- en 10.0.x-builds werken iets anders samen met het Active Directory (AD) Interactive Logon Group Policy Object (GPO) vanwege de introductie van de nieuwe Dell referentieprovider. Om deze reden zien eindgebruikers die onmiddellijk na het aanmelden bij Pre-Boot Authentication (PBA) om Ctrl + Alt + Del worden gevraagd, mogelijk nooit dat hun huidige sessie verloopt. Dell werkt aan het oplossen van eventuele problemen door ervoor te zorgen dat single sign-on-referenties verlopen wanneer ze niet tijdig worden gebruikt. De interactieve aanmelding: Limiet voor inactiviteit van computer AD GPO kan worden toegepast als tijdelijke oplossing om inlogsessies af te dwingen na X seconden te verlopen.


Figuur 5: (Alleen In het Engels) Interactieve aanmelding: Eigenschap van de inactiviteitslimiet van de machine

Ander aanmeldingsscherm

Er kan een extra aanmeldingsscherm worden weergegeven bij het hervatten vanuit de sluimerstand, het ontgrendelen of na het opstarten vanuit een uitgeschakelde stand. Dit extra scherm is het gevolg van beveiligingswijzigingen binnen het Windows 10 1803-besturingssysteem. Er is een timer geïntroduceerd die ervoor zorgt dat alle inloggegevens in het geheugen na een bepaalde duur verlopen.

Afbeelding 6: (Alleen In het Engels) Aanmeldingsscherm Windows

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.