Não usa credenciais de VPN para conectar-se a recursos de rede?

Navegue suas respostas
5

Eu recentemente implantei um novo sistema VPN de acesso remoto na minha empresa, usando um Cisco ASA 5510 como concentrador. O protocolo é L2TP-over-IPsec para compatibilidade máxima entre clientes e a autenticação é feita por um dispositivo RSA SecurID. Tudo funciona muito bem, exceto em um cenário específico:

  • A estação de trabalho do usuário é um membro do domínio
  • O usuário está efetuando login na estação de trabalho local como um usuário de domínio
  • O usuário está se conectando à VPN usando o mesmo nome de usuário da conta conectada
  • O usuário tenta acessar recursos de rede, como compartilhamentos de arquivos ou o Microsoft Exchange

Nesse caso, a conta do usuário está bloqueada no Active Directory quase imediatamente depois de tentar se conectar a um recurso de rede (ou seja, abrir o Outlook).

Acredito que o problema é que o Windows está tentando usar as credenciais fornecidas para se conectar à VPN. Como o nome de usuário corresponde, mas a senha não, uma vez que é uma senha descartável gerada pelo token SecurID, a autenticação falha. Tentativas contínuas fazem com que a conta seja bloqueada.

Existe alguma maneira de dizer ao Windows para parar de fazer isso? Eu tentei desativar a opção "Cliente para redes Microsoft" nas propriedades da VPN, mas isso não ajudou.

    
por AdmiralNemo 17.10.2011 / 18:11

2 respostas

3

Há uma configuração de política de segurança que especifica especificamente o que estou procurando: Acesso à rede: não permitir o armazenamento de senhas e credenciais para autenticação de rede . Ao habilitar essa configuração, as credenciais de VPN não são armazenadas e, portanto, não são usadas para tentar autenticar recursos da rede, como arquivos compartilhados e o Exchange.

Como o problema afeta somente as estações de trabalho de membros do domínio, aplicar essa configuração a todas elas é uma simples questão de defini-las com a Diretiva de Grupo.

    
por 20.10.2011 / 16:22
1

Sei que essa é uma pergunta antiga, mas acredito que haja uma resposta melhor, pois não exige alterações no servidor: edite as configurações de VPN para não usar as credenciais de VPN ao autenticar em servidores de rede. Essa configuração não é exposta pela interface do usuário do Windows, portanto, é necessário localizar o arquivo .pbk associado à sua conexão VPN (que pode estar em %userprofile%\AppData\Roaming\Microsoft\Network\Connections\PBK ou C:\ProgramData\Microsoft\Network\Connections\Pbk ).

  1. Clique com o botão direito do mouse no arquivo .pbk da VPN e abra-o com o Bloco de Notas. (Lembre-se de desmarcar 'Sempre use este programa para este tipo de arquivo')
  2. Cerca de 5 linhas abaixo serão uma entrada "UseRasCredentials = 1"
  3. Altere para 'UseRasCredentials = 0'
  4. Salve o arquivo.

Eu obtive essas instruções de: link

    
por 03.04.2018 / 09:07

Tags

Um Barracuda Spam Filter 300 pode rejeitar mensagens com base no DNS? Qual é a diferença entre TigerVNC e vnc4server?