none
Блокировка виртуальной смарт-карты RRS feed

  • Вопрос

  • Здравствуйте.

    На предприятии используется авторизация в Windows и некотороые другие сервисы с помощью виртуальной смарт-карты. Проблема в том, что виртуальная смарт-карта блокируется после 5 неверных вводов ПИН-кода. Блокируется именно смарт-карта, а не модуль TPM. Подскажите, можно ли как-то увеличить количество неверных попыток ввода или разблокировку смарт-карты по истечении какого-то периода времени?

    Про разблокировку с помощью PUK и ПИН-а администратора знаю.

    Имеем доменную инфраструктуру, используем Win Server 2019 + Win 10 Pro 2004

    10 сентября 2020 г. 7:47

Все ответы

  • Привет,

    Так как TPM отвечает за Виртуальные Смарт Карты и он блокируется при введений неправильных данных, то Вам нужно смотреть следующие политики для увеличения попыток перед блокировкой:Standard user Lockout Duration, Standard User Individual Lockout Threshold, and Standard User Total Lockout Threshold.

    Из статьй:

    Microsoft Devices Security, Virtual Smart Cards Part 1: Introduction and Trusted Platform Module

    The TPM has built in anti-hammering technology. Which essentially means that the TPM will lock itself out when invalid data is presented a number of times over a certain time threshold. If you are using a Virtual Smart Card, a number of invalid PIN entries can cause a TPM to lockout. The number of failed attempts and the time threshold are controlled with the following Group Policy settings: Standard user Lockout Duration, Standard User Individual Lockout Threshold, and Standard User Total Lockout Threshold.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    14 сентября 2020 г. 7:31
    Модератор
  • Добрый день. Спасибо за ответ.
    Я подозреваю, что блокируется именно смарт-карта, а не модуль TPM, т.к. во время блокировки тот же BitLocker нормально функционирует, и вывод Get-TPM дает понять, что TPM в рабочем (незаблокированном состоянии):

    TpmPresent                : True
    TpmReady                  : True
    TpmEnabled                : True
    TpmActivated              : True
    TpmOwned                  : True
    RestartPending            : True
    ManufacturerId            : 1398033696
    ManufacturerIdTxt         : STM
    ManufacturerVersion       : 74.8.17568.5511
    ManufacturerVersionFull20 : 74.8.17568.5511

    ManagedAuthLevel          : Full
    OwnerAuth                 :
    OwnerClearDisabled        : False
    AutoProvisioning          : Enabled
    LockedOut                 : False
    LockoutHealTime           : 10 minutes
    LockoutCount              : 0
    LockoutMax                : 31
    SelfTest                  : {}

    Поправьте, если не прав.
    Спасибо.

    14 сентября 2020 г. 10:24
  • Привет,

    Как написано в статье:

    Standard user Lockout Duration

    The TPM has anti-hammering technologies to prevent a brute force attack on the TPM. The anti-hammering protections block the user from sending TPM commands after a certain number of failed authorizations in a certain period of time. Again, the lockout is brought about by a certain number of authorizations in a certain period of time. This setting controls the “period of time” aspect. In other words, administrators can configure the period of time for which fail authorizations will be counted.

    Standard User Individual Lockout Threshold

    The TPM has anti-hammering technologies to prevent a brute force attack on the TPM. The anti-hammering protections block the user from sending TPM commands after a certain number of failed authorizations in a certain period of time. Again, the lockout is brought about by a certain number of authorizations in a certain period of time. This setting controls the number of failed authorizations by an individual user aspect. If a user exceeds the number of failed authorizations configured by this setting is the amount of time configured by the Standard User Individual Lockout Threshold setting, they will be blocked from issuing commands to the TPM for a period of time configured by the Standard User Lockout Duration setting.

    Standard User Total Lockout Threshold

    The TPM has anti-hammering technologies to prevent a brute force attack on the TPM. The anti-hammering protections block the user from sending TPM commands after a certain number of failed authorizations in a certain period of time. Again, the lockout is brought about by a certain number of authorizations in a certain period of time. This setting controls the number of failed authorizations by an all users aspect. If all users combined exceed the number of failed authorizations configured by this setting is the amount of time configured by the Standard User Individual Lockout Threshold setting, they will be blocked from issuing commands to the TPM for a period of time configured by the Standard User Lockout Duration setting.

    Проверьте вышеуказанные GPO и попробуйте изменить настройки и посмотреть на результат.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.



    15 сентября 2020 г. 7:28
    Модератор
  • Поменял указанные настройки GPO, но, к сожалению, ситуация не изменилась. После 5 неверных попыток ввода получаю перманентный блок смарт-карты.
    • Изменено EugeneyM 16 сентября 2020 г. 13:02
    16 сентября 2020 г. 12:54
  • а какие настройки Вы указали в самих политиках?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    17 сентября 2020 г. 8:29
    Модератор
  • Standard User Individual Lockout Threshold   : Enable :  15

    Standard User Total Lockout Threshold   : Enable :  15

    Standard user Lockout Duration  : Enable  : 5 

    Я так понимаю, они все же влияют на TPM, а не на смарт-карту.

    17 сентября 2020 г. 11:00
  • Виртуальная Смарт Карта командуется через TMP, Вы уверены, что Вы используете Виртуальные Смарт Карты?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    21 сентября 2020 г. 10:12
    Модератор
  • Конечно же я использую виртуальную смарт-карту:)

    Создаю командой: tpmvscmgr.exe" create /name "VCR" /AdminKey RANDOM /PIN PROMPT /generate 

    Затем прикручиваю сертификат и авторизуюсь в системах. Но виртуальная смарт-карта и TPM не одно и то же. И если модулем TPM еще можно как-то управлять групповыми политиками (судя по статьям на сайте Майкрософт), то политиками виртуальной смарт-карты похоже вообще управлять невозможно, что странно, т.к. это чисто програмное решение.

    22 сентября 2020 г. 6:11
  • Информация, что можно управлять Виртуальной Смарт Картой не через политики TMP к сожалению отсуствует :

    TPM in lockout state

    Sometimes, due to frequent incorrect PIN attempts from a user, the TPM may enter the lockout state. To resume using the TPM virtual smart card, it is necessary to reset the lockout on the TPM by using the owner’s password or to wait for the lockout to expire. Unblocking the user PIN does not reset the lockout in the TPM. When the TPM is in lockout, the TPM virtual smart card appears as if it is blocked. When the TPM enters the lockout state because the user entered an incorrect PIN too many times, it may be necessary to reset the user PIN by using the virtual smart card management tools, such as Tpmvscmgr command-line tool.

    У Вас случайно нaстроен Account lockout threshold? Возможно он влияет на неправильное срабатывание TPM 



    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.



    22 сентября 2020 г. 10:33
    Модератор
  • Petko Krushev, Спасибо вам за помощь
    Account lockout threshold настроен на 8 неверных попыток. Поменял ГП на число 15, но, к сожалению, ничего не изменилось. Вирт. смарт-карта заблокировалась после 5 неверхных вводов Пин-кода.


    22 сентября 2020 г. 12:04
  • Не за что, сожалею, что мы не успели увеличить количество неверных попыток ввода учетных данных. Видимо 5 попыток являются по умолчанию.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    23 сентября 2020 г. 12:05
    Модератор