Поделиться через


Группа безопасности "Защищенные пользователи"

Защищенные пользователи — это глобальная группа безопасности Active Directory (AD), предназначенная для защиты от атак кражи учетных данных. Группа активирует не настраиваемую защиту на устройствах и хост-компьютерах, чтобы предотвратить кэширование учетных данных при входе участников группы.

Необходимые компоненты

Перед развертыванием группы защищенных пользователей система должна соответствовать следующим предварительным требованиям:

  • Узлы должны работать в одной из следующих операционных систем:

    • Windows 8.1 или более поздней версии
    • Windows Server 2012 R2 или более поздней версии с самыми последними обновлениями системы безопасности
  • Функциональный уровень домена должен быть Windows Server 2012 R2 или более поздней версии. Дополнительные сведения о функциональных уровнях см. в разделе "Леса" и "Доменные функциональные уровни".

Примечание.

Встроенный администратор S-1-5-<domain>-500домена всегда освобождается от политик проверки подлинности, даже если они назначены silo политики проверки подлинности. Дополнительные сведения см. в разделе How to Configure Protected Accounts.

  • Членства в глобальных группах безопасности защищенных пользователей ограничивают членство участников только с помощью расширенных стандартов шифрования (AES) для Kerberos. Члены группы защищенных пользователей должны иметь возможность проходить проверку подлинности с помощью AES.

Защита, примененная Active Directory

Создание члена группы "Защищенные пользователи" означает, что AD автоматически применяет определенные предварительно настроенные элементы управления, которые пользователи не смогут изменять, если только они не перестают быть членами группы.

Защита устройств для входа в защищенные пользователи

Когда пользователь входит в группу "Защищенные пользователи", группа обеспечивает следующие защиты:

  • Делегирование учетных данных (CredSSP) не кэширует учетные данные обычного текста пользователя, даже если пользователь включает параметр групповой политики делегирования учетных данных по умолчанию.

  • Для Windows 8.1 и более поздних версий и Windows Server 2012 R2 и более поздних версий Дайджест Windows не кэширует учетные данные обычного текста пользователя, даже если они включили дайджест Windows.

  • NTLM останавливает кэширование учетных данных обычного текста пользователя или односторонняя функция NT (NTOWF).

  • Kerberos останавливает создание ключей шифрования данных (DES) или RC4. Kerberos также не кэширует учетные данные обычного текста пользователя или долгосрочные ключи после получения первоначального билета предоставления билета (TGT).

  • Система не создает кэшированный проверяющий средство при входе пользователя или разблокировке, поэтому системы-члены больше не поддерживают автономный вход.

После добавления новой учетной записи пользователя в группу защищенных пользователей эти защиты активируются при входе нового защищенного пользователя на устройство.

Защита контроллера домена для защищенных пользователей

Защищенные учетные записи пользователей, прошедшие проверку подлинности в домене под управлением Windows Server 2012 R2 или более поздней версии, не могут выполнять следующие действия:

  • Проходить проверку подлинности с помощью проверки подлинности NTLM.

  • Использовать шифрование DES и RC4 в предварительной проверке подлинности Kerberos.

  • Делегировать с неограниченным или ограниченным делегированием.

  • Продление TGT Kerberos за пределы их первоначального четырехчасового времени существования.

Группа "Защищенные пользователи" применяет не настраиваемые параметры к сроку действия TGT для каждой учетной записи участника. Как правило, контроллер домена задает время существования и продление TGT на основе следующих двух политик домена:

  • Максимальный срок жизни билета пользователя
  • Максимальный срок жизни для возобновления билета пользователя

Для участников защищенных пользователей группа автоматически устанавливает эти ограничения времени существования в 600 минут. Пользователь не может изменить это ограничение, если они не покидают группу.

Как работает группа защищенных пользователей

Вы можете добавить пользователей в группу защищенных пользователей с помощью следующих методов:

Внимание

  • Никогда не добавляйте учетные записи для служб и компьютеров в группу защищенных пользователей. Для этих учетных записей членство не обеспечивает локальную защиту, так как пароль и сертификат всегда доступны на узле.

  • Не добавляйте учетные записи, которые уже являются членами групп с высокими привилегиями, например группы "Администраторы предприятия" или "Администраторы домена", пока вы не сможете гарантировать, что они не будут иметь негативных последствий. Пользователи с высоким уровнем привилегий в защищенном режиме подвергаются тем же ограничениям и ограничениям , что и обычные пользователи, и невозможно обойти или изменить эти параметры. Если добавить всех участников этих групп в группу защищенных пользователей, можно случайно заблокировать свои учетные записи. Важно протестировать систему, чтобы убедиться, что изменения обязательных параметров не будут препятствовать доступу к учетной записи для этих привилегированных групп пользователей.

Члены группы защищенных пользователей могут проходить проверку подлинности только с помощью Kerberos с расширенными стандартами шифрования (AES). В этом методе для учетных записей в Active Directory требуются ключи AES. Встроенный администратор не имеет ключа AES, если только пароль для домена под управлением Windows Server 2008 или более поздних версий не изменяется. Любая учетная запись с измененным паролем контроллером домена, на котором запущена более ранняя версия Windows Server, заблокирована из-за проверки подлинности.

Чтобы избежать блокировки и отсутствия ключей AES, рекомендуется выполнить следующие рекомендации.

  • Не выполняйте тесты в доменах, если только все контроллеры домена не запускают Windows Server 2008 или более поздней версии.

  • При переносе учетных записей из других доменов необходимо сбросить пароль, чтобы учетные записи имели хэши AES. В противном случае эти учетные записи могут пройти проверку подлинности.

  • Пользователям необходимо изменить пароли после переключения на функциональный уровень домена Windows Server 2008 или более поздней версии. Это гарантирует наличие хэшей паролей AES после того, как они становятся членами группы защищенных пользователей.

Добавление группы глобальной безопасности защищенных пользователей в домены нижнего уровня

Контроллеры домена, работающие под управлением операционной системы ранее Windows Server 2012 R2, могут поддерживать добавление участников в новую группу безопасности защищенных пользователей. Таким образом, эти члены могут воспользоваться защитой устройств перед обновлением домена.

Примечание.

Контроллеры домена под управлением более ранних версий Windows Server 2012 R2 не поддерживают защиту домена.

Чтобы создать группу защищенных пользователей на контроллере домена под управлением более ранней версии Windows Server:

  1. Перенесите роль эмулятора PDC на контроллер домена, на котором выполняется Windows Server 2012 R2.

  2. Репликация объекта группы на другие контроллеры домена.

После этого пользователи могут воспользоваться защитой устройств перед обновлением домена.

Свойства AD группы защищенных пользователей

В следующей таблице указаны свойства Active Directory группы защищенных пользователей.

Атрибут Значение
Известный SID/RID S-1-5-21-domain-525<>
Тип Глобальный домен
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; нет
Является членом по умолчанию. нет
Защита через ADMINSDHOLDER? No
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? No
Права пользователя по умолчанию Права пользователя по умолчанию отсутствуют.

Журналы событий

Для исправления событий, связанных с защищенными пользователями, имеется два операционных административных журнала. Эти новые журналы находятся в Просмотр событий и отключены по умолчанию и находятся в разделе "Приложения и службы Logs\Microsoft\Windows\Authentication".

Чтобы включить запись этих журналов, выполните следующие действия.

  1. Щелкните правой кнопкой мыши пуск, а затем выберите Просмотр событий.

  2. Откройте журналы приложений и служб\Microsoft\Windows\Authentication.

  3. Для каждого журнала, который требуется включить, щелкните правой кнопкой мыши имя журнала, а затем выберите "Включить журнал".

Идентификатор события и журнал Description
104

ProtectedUser-Client

Причина. Пакет безопасности клиента не содержит учетные данные.
Эта ошибка попадает в журнал клиентского компьютера, когда учетная запись является членом группы безопасности "Защищенные пользователи". Это событие указывает, что пакет безопасности не кэширует учетные данные, необходимые для проверки подлинности на сервере.

Содержит имя пакета, имя пользователя, имя домена и имя сервера.

304

ProtectedUser-Client

Причина. Пакет безопасности не сохраняет учетные данные защищенного пользователя.
Информационное событие регистрируется в клиенте, чтобы указать, что пакет безопасности не кэширует учетные данные входа пользователя. Ожидается, что такие механизмы проверки подлинности, как дайджест (WDigest), делегирование учетных данных (CredSSP) и NTLM, не могут иметь учетных данных защищенных пользователей для входа. Однако приложения могут выводить запрос на ввод учетных данных.

Содержит имя пакета, имя пользователя и имя домена.

100

ProtectedUserFailures-DomainController

Причина. Сбой входа NTLM возникает для учетной записи, которая находится в группе безопасности защищенных пользователей.
Ошибка регистрируется в журнале контроллера домена, указывая, что при проверке подлинности NTLM возникла ошибка в связи с тем, что учетная запись является членом группы безопасности "Защищенные пользователи".

Содержит имя учетной записи и имя устройства.

104

ProtectedUserFailures-DomainController

Причина. Типы шифрования DES или RC4 используются для проверки подлинности Kerberos и сбой входа возникает для пользователя в группе безопасности защищенных пользователей.
Предварительная проверка подлинности Kerberos завершилась сбоем, поскольку, если учетная запись является членом группы безопасности "Защищенные пользователи", использовать шифрование DES или RC4 нельзя.

(AES допускается.)

303

ProtectedUserSuccesses-DomainController

Причина: билет Kerberos с предоставлением билета (TGT) был успешно выдан для члена группы защищенных пользователей.

Дополнительные ресурсы