Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защищенные пользователи — это глобальная группа безопасности Active Directory, предназначенная для защиты от атак кражи учетных данных. Группа активирует неконфигурируемую защиту на устройствах и хост-компьютерах, чтобы предотвратить кэширование учетных данных при входе участников группы.
Prerequisites
Перед развертыванием группы защищенных пользователей система должна соответствовать следующим предварительным требованиям:
Хосты должны работать под одной из следующих операционных систем:
- Windows 10 или Windows 11
- Windows Server 2012 R2 или более поздней версии с самыми последними обновлениями системы безопасности
Функциональный уровень домена должен быть Windows Server 2012 R2 или более поздней версии. Дополнительные сведения о функциональных уровнях леса и домена см. в разделе Функциональные уровни леса и домена.
Note
Встроенный администратор S-1-5-<domain>-500 домена всегда освобождается от политик аутентификации, даже если они назначены в изолятор политики аутентификации. Дополнительные сведения см. в разделе How to Configure Protected Accounts.
- Членство в глобальной группе безопасности Protected Users ограничивает использование участниками только стандарта шифрования Advanced Encryption Standard (AES) для Kerberos. Члены группы защищенных пользователей должны иметь возможность проходить проверку подлинности с помощью AES.
Защита, примененная Active Directory
Создание члена группы защищенных пользователей означает, что Active Directory автоматически применяет определенные предварительно настроенные элементы управления, которые пользователи не смогут изменять, если они не перестают быть членами группы.
Защита устройств для вошедших защищенных пользователей
Когда пользователь входит в группу "Защищенные пользователи", группа обеспечивает следующие защиты:
Делегирование учетных данных (CredSSP) не кэширует учетные данные в формате обычного текста, даже если пользователь включает параметр групповой политики Разрешить делегирование учетных данных по умолчанию.
Дайджест Windows не кэширует учетные данные обычного текста пользователя, даже если они включили Дайджест Windows.
NTLM прекращает кэширование открытых учетных данных пользователя или использование односторонней функции NT (NTOWF).
Kerberos останавливает создание ключей шифрования данных (DES) или RC4. Kerberos также не кэширует учетные данные обычного текста пользователя или долгосрочные ключи после получения первоначального билета предоставления билета (TGT).
Система не создает кэшированный верификатор при входе пользователя или разблокировке, поэтому системы-члены теперь не поддерживают автономный вход.
После добавления новой учетной записи пользователя в группу защищенных пользователей эти защиты активируются при входе нового защищенного пользователя на свое устройство.
Защита контроллера домена для защищенных пользователей
Защищенные учетные записи пользователей, прошедшие проверку подлинности в домене под управлением Windows Server, не могут выполнять следующие действия:
Аутентифицируйтесь с использованием NTLM.
Используйте типы шифрования DES или RC4 в предварительной проверки подлинности Kerberos.
Делегировать с использованием неограниченного или ограниченного делегирования.
Продление TGT Kerberos за пределы их первоначального четырехчасового срока действия.
Группа защищенных пользователей применяет ненастройные параметры к сроку действия TGT для каждой учетной записи участника. Как правило, контроллер домена задает время существования и продление TGT на основе следующих двух политик домена:
- Максимальный срок жизни билета пользователя
- Максимальный срок продления учетной записи пользователя
Для участников группы "Защищенные пользователи" группа автоматически устанавливает эти ограничения времени существования на 240 минут. Пользователь не может изменить это ограничение, если они не покидают группу.
Как работает группа защищенных пользователей
Вы можете добавить пользователей в группу защищенных пользователей с помощью следующих методов:
- Средства пользовательского интерфейса, такие как Центр администрирования Active Directory или пользователи и компьютеры Active Directory.
- PowerShell с помощью командлета Add-ADGroupMember .
Important
Никогда не добавляйте учетные записи для служб и компьютеров в группу защищенных пользователей. Для этих учетных записей членство не обеспечивает локальную защиту, так как пароль и сертификат всегда доступны на узле.
Не добавляйте учетные записи, которые уже являются членами групп с высоким уровнем привилегий, например группы "Администраторы предприятия" или "Администраторы домена", пока вы не сможете гарантировать, что добавление этих учетных записей не будет иметь негативных последствий. Пользователи с высоким уровнем привилегий в защищенных пользователях подвергаются тем же ограничениям и ограничениям , что и обычные пользователи, и невозможно обойти или изменить эти параметры. Если добавить всех участников этих групп в группу Защищенных Пользователей, можно случайно заблокировать их учетные записи. Важно протестировать систему, чтобы убедиться, что изменения обязательных параметров не будут препятствовать доступу к учетной записи для этих привилегированных групп пользователей.
Члены группы защищенных пользователей могут проходить проверку подлинности только с помощью Kerberos с AES. В этом методе для учетных записей в Active Directory требуются ключи AES. Встроенный администратор не имеет ключа AES, если только пароль для домена под управлением Windows Server 2008 или более поздних версий не изменяется. Любая учетная запись, для которой контроллер домена на более ранней версии Windows Server изменил пароль, заблокирована для проверки подлинности.
Чтобы избежать блокировки и отсутствия ключей AES, рекомендуется выполнить следующие рекомендации.
Не выполняйте тесты в доменах, если только все контроллеры домена не запускают Windows Server 2008 или более поздней версии.
При переносе учетных записей из других доменов необходимо сбросить пароль, чтобы учетные записи имели хэши AES. В противном случае эти учетные записи не могут пройти проверку подлинности.
Пользователям необходимо изменить пароли после перехода на функциональный уровень домена Windows Server 2008 или более поздней версии. Это гарантирует, что у них есть хэши паролей AES после того, как они становятся членами группы защищенных пользователей.
Свойства группы защищенных пользователей Active Directory
В следующей таблице указаны свойства Active Directory группы защищенных пользователей.
| Attribute | Value |
|---|---|
| Известный SID/RID | S-1-5-21-<домен>-525 |
| Type | Глобальный домен |
| Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
| Члены по умолчанию | None |
| Является членом по умолчанию. | None |
| Защищено АдминистраторомSDHolder? | No |
| Безопасно ли выходить за пределы контейнера по умолчанию? | Yes |
| Безопасно ли делегировать управление этой группой не администраторам службы? | No |
| Права пользователя по умолчанию | Права пользователя по умолчанию отсутствуют. |
Журналы событий
Для исправления событий, связанных с защищенными пользователями, имеется два операционных административных журнала. Новые журналы можно найти при помощи средства просмотра событий. По умолчанию они неактивны. Они находятся в журналах приложений и служб\Microsoft\Windows\Аутентификация.
Чтобы включить запись этих журналов, выполните следующие действия.
Щелкните правой кнопкой мыши "Пуск " и выберите "Просмотр событий".
Откройте журналы приложений и служб\Microsoft\Windows\Authentication.
Для каждого журнала, который требуется включить, щелкните правой кнопкой мыши имя журнала и выберите "Включить журнал".
| Идентификатор события и журнал | Description |
|---|---|
| 104 ProtectedUser-Client |
Причина. Пакет безопасности клиента не содержит учетных данных. Эта ошибка попадает в журнал клиентского компьютера, когда учетная запись является членом группы безопасности "Защищенные пользователи". Это событие указывает, что пакет безопасности не кэширует учетные данные, необходимые для проверки подлинности на сервере. Содержит имя пакета, имя пользователя, имя домена и имя сервера. |
| 304 ProtectedUser-Client |
Причина. Пакет безопасности не сохраняет учетные данные защищенного пользователя. Информационное событие регистрируется в клиенте, чтобы указать, что пакет безопасности не кэширует учетные данные входа пользователя. Ожидается, что дайджест (WDigest), делегирование учетных данных (CredSSP) и NTLM не могут иметь учетные данные для участников группы 'Защищенные пользователи'. Приложения всё же могут быть успешными, если они запрашивают учетные данные. Содержит имя пакета, имя пользователя и имя домена. |
| 100 ProtectedUserFailures-DomainController |
Причина: сбой входа NTLM для учетной записи в группе безопасности защищенных пользователей. Ошибка регистрируется в журнале контроллера домена, указывая, что при проверке подлинности NTLM возникла ошибка в связи с тем, что учетная запись является членом группы безопасности "Защищенные пользователи". Содержит имя учетной записи и имя устройства. |
| 104 ProtectedUserFailures-DomainController |
Причина. Типы шифрования DES или RC4 используются для проверки подлинности Kerberos и сбой входа возникает для пользователя в группе безопасности защищенных пользователей. Сбой предварительной проверки подлинности Kerberos, так как типы шифрования DES и RC4 нельзя использовать, если учетная запись входит в группу безопасности защищенных пользователей. (AES допускается.) |
| 303 ProtectedUserSuccesses-DomainController |
Причина: TGT Kerberos успешно выдан для участника группы «Защищенные пользователи». |