Sicherheitsgruppe "Geschützte Benutzer"
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Die globale Sicherheitsgruppe für Active Directory (AD) "Geschützte Benutzer" wurde zum Schutz vor Diebstahl von Anmeldeinformationen entwickelt. Die Gruppe löst nicht konfigurierbaren Schutz auf Geräten und Hostcomputern aus, um zu verhindern, dass Anmeldeinformationen bei der Anmeldung von Gruppenmitgliedern zwischengespeichert werden.
Voraussetzungen
Ihr System muss die folgenden Voraussetzungen erfüllen, bevor Sie eine Gruppe "Geschützte Benutzer" bereitstellen können:
Auf den Hosts muss eines der folgenden Betriebssysteme ausgeführt werden:
- Windows 8.1 oder höher
- Windows Server 2012 R2 oder höher mit den neuesten installierten Sicherheitsupdates
Die Domänenfunktionsebene muss Windows Server 2012 R2 oder höher sein. Weitere Informationen zu Funktionsebenen finden Sie unter Gesamtstruktur- und Domänenfunktionsebenen.
Hinweis
Der integrierte Domänenadministrator S-1-5-<domain>-500 ist immer von Authentifizierungsrichtlinien ausgenommen, auch wenn er einem Authentifizierungsrichtliniensilo zugewiesen sind. Weitere Informationen finden Sie unter Konfigurieren geschützter Konten.
- Die Mitgliedschaft in globalen Sicherheitsgruppen "Geschützte Benutzer" beschränkt die Mitglieder darauf, nur Advanced Encryption Standards (AES) für Kerberos zu verwenden. Mitglieder der Gruppe "Geschützte Benutzer" müssen in der Lage sein, sich mit AES zu authentifizieren.
Von Active Directory angewendete Schutzmaßnahmen
Wenn Sie Mitglied der Gruppe "Geschützte Benutzer" werden, wendet AD automatisch bestimmte vorkonfigurierte Steuerelemente an, die die Benutzer nur ändern können, es sei denn, sie sind keine Gruppenmitglieder mehr.
Geräteschutzmaßnahmen für angemeldete geschützte Benutzer
Wenn der angemeldete Benutzer Mitglied der Gruppe "Geschützte Benutzer" ist, bietet die Gruppe die folgenden Schutzmaßnahmen:
Bei der Delegierung von Anmeldeinformationen (CredSSP) werden die Nur-Text-Anmeldeinformationen des Benutzers auch dann nicht zwischengespeichert, wenn der Benutzer die Gruppenrichtlinieneinstellung Delegieren von Standardanmeldeinformationen zulassen aktiviert.
Unter Windows 8.1 und höher sowie Windows Server 2012 R2 und höher werden die Klartext-Anmeldeinformationen des Benutzers nicht zwischengespeichert, selbst wenn der Windows-Digest aktiviert wurde.
NTLM beendet das Zwischenspeichern der Klartext-Anmeldeinformationen des Benutzers oder der unidirektionalen NT-Funktion (NTOWF).
Kerberos beendet das Erstellen von Data Encryption Standard (DES) oder RC4-Schlüsseln. Kerberos speichert auch die Nur-Text-Anmeldeinformationen des Benutzers oder langfristige Schlüssel nach dem Erwerb des anfänglichen Ticket Granting Ticket (TGT) nicht zwischen.
Das System erstellt beim Anmelden oder Entsperren des Benutzers keinen zwischengespeicherten Prüfer, sodass Mitgliedssysteme die Offline-Anmeldung nicht mehr unterstützen.
Nachdem Sie der Gruppe "Geschützte Benutzer" ein neues Benutzerkonto hinzugefügt haben, werden diese Schutzmaßnahmen aktiviert, wenn sich der neue "Geschützte Benutzer" bei seinem Gerät anmeldet.
Domänencontroller-Schutzmaßnahmen für geschützte Benutzer
Geschützte Benutzerkonten, die sich bei einer Domäne authentifizieren, auf der Windows Server 2012 R2 oder höher ausgeführt wird, können Folgendes nicht tun:
Authentifizieren mit NTLM-Authentifizierung.
Verwenden von DES- oder RC4-Verschlüsselungstypen in Kerberos-Vorauthentifizierung.
Delegieren Sie mit uneingeschränkter oder eingeschränkter Delegation.
Erneuern Sie Kerberos-TGTs über ihre ursprüngliche Lebensdauer von vier Stunden hinaus.
Die Gruppe „Geschützte Benutzer“ wendet nicht konfigurierbare Einstellungen auf den TGT-Ablauf für jedes Mitgliedskonto an. Normalerweise legt der Domänencontroller die TGT-Lebensdauer und -Erneuerung basierend auf den folgenden beiden Domänenrichtlinien fest:
- Max. Gültigkeitsdauer des Benutzertickets
- Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann
Bei "Geschützter Benutzer"-Mitgliedern legt die Gruppe diese Lebensdauerbeschränkungen automatisch auf 600 Minuten fest. Der Benutzer kann diesen Grenzwert nur ändern, wenn er die Gruppe verlässt.
Funktionsweise der Gruppe der geschützten Benutzer
Sie können der Gruppe "Geschützte Benutzer" mithilfe der folgenden Methoden Benutzer hinzufügen:
- UI-Tools, wie Active Directory Administrative Center (ADAC) oder Active Directory-Benutzer und -Computer.
- Ein Befehlszeilentool, wie PowerShell.
- Mit PowerShell unter Verwendung des cmdlets "Add-ADGroupMember ".
Wichtig
Fügen Sie niemals Konten für Dienste und Computer zur Gruppe "Geschützte Benutzer" hinzu. Für diese Konten bietet die Mitgliedschaft keinen lokalen Schutz, da das Kennwort und das Zertifikat immer auf dem Host verfügbar sind.
Fügen Sie keine Konten hinzu, die bereits Mitglieder von Gruppen mit hoher Berechtigung sind, z. B. die Gruppen "Unternehmensadministratoren" oder "Do Standard Administratoren", bis Sie garantieren können, dass sie hinzugefügt werden, keine negativen Folgen haben. Benutzer mit hohen Rechten in den geschützten Benutzern unterliegen den gleichen Einschränkungen und Einschränkungen wie normale Benutzer, und es ist nicht möglich, diese Einstellungen zu umgehen oder zu ändern. Wenn Sie alle Mitglieder dieser Gruppen zur Gruppe "Geschützte Benutzer" hinzufügen, ist es möglich, ihre Konten versehentlich zu sperren. Es ist wichtig, ihr System zu testen, um sicherzustellen, dass die obligatorischen Einstellungsänderungen den Kontozugriff für diese privilegierten Benutzergruppen nicht beeinträchtigen.
Mitglieder der Gruppe „Geschützte Benutzer“ können sich nur mit Kerberos mit Advanced Encryption Standards (AES) authentifizieren. Für diese Methode sind AES-Schlüssel in Active Directory erforderlich. Der integrierte Administrator verfügt nicht über einen AES-Schlüssel, es sei denn, das Kennwort für die Domäne, in der Windows Server 2008 oder höher ausgeführt wird, wird geändert. Jedes Konto, das sein Kennwort von einer Do Standard Controller mit einer früheren Version von Windows Server geändert hat, ist aus der Authentifizierung gesperrt.
Um Sperrungen und fehlende AES-Schlüssel zu vermeiden, sollten Sie die folgenden Richtlinien befolgen:
Führen Sie keine Tests in Domänen aus, es sei denn, auf allen Domänencontrollern wird Windows Server 2008 oder höher ausgeführt.
Wenn Sie Konten von anderen Domänen migriert haben, müssen Sie das Passwort zurücksetzen, damit die Konten über AES-Hashes verfügen. Andernfalls können diese Konten authentifiziert werden.
Benutzer müssen ihre Kennwörter ändern, nachdem sie zur Domänenfunktionsebene von Windows Server 2008 oder höher gewechselt sind. Dadurch wird sichergestellt, dass sie AES-Kennworthashes haben, sobald sie Mitglied der Gruppe "Geschützte Benutzer" werden.
Hinzufügen einer globalen Sicherheitsgruppe "Geschützter Benutzer" zu Down-Level-Domänen
Domänencontroller, auf denen ein früheres Betriebssystem als Windows Server 2012 R2 ausgeführt wird, können das Hinzufügen von Mitgliedern zur neuen Sicherheitsgruppe „Geschützte Benutzer“ unterstützen. Auf diese Weise können diese Mitglieder vom Geräteschutz profitieren, bevor Sie die Domäne aktualisieren.
Hinweis
Domänencontroller, die frühere Versionen von Windows Server 2012 R2 ausführen, unterstützen keine Domänen-Schutzmaßnahmen.
So erstellen Sie eine Gruppe „Geschützte Benutzer“ auf einem Domänencontroller, auf dem eine frühere Version von Windows Server ausgeführt wird:
Übertragen Sie die PDC-Emulatorrolle auf einen Domänencontroller, der Windows Server 2012 R2 ausführt.
Replizieren Sie das Gruppenobjekt auf die anderen Domänencontroller.
Danach können Benutzer vom Geräteschutz profitieren, bevor Sie die Domain upgraden.
Active Directory-Eigenschaften der Gruppe „Geschützte Benutzer“
Die folgende Tabelle gibt die Active Directory-Eigenschaften der Gruppe „Geschützte Benutzer“ an.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-525 |
| type | Globale Domäne |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch ADMINSDHOLDER? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine Standardbenutzerrechte. |
Ereignisprotokolle
Es gibt zwei betriebliche Administrativprotokolle für die Fehlerbehebung von Ereignissen hinsichtlich geschützter Benutzer. Diese neuen Protokolle befinden sich in der Ereignisanzeige und sind standardmäßig deaktiviert. Sie finden Sie unter Anwendungs- und Dienstprotokolle\Microsoft\Windows\Authentifizierung.
So aktivieren Sie die Erfassung dieser Protokolle:
Klicken Sie mit der rechten Maustaste auf Start, und wählen Sie dann Ereignisanzeige aus.
Öffnen Sie Anwendungs- und Dienstprotokolle\Microsoft\Windows\Authentication.
Klicken Sie für jedes Protokoll, das Sie aktivieren möchten, mit der rechten Maustaste auf den Protokollnamen und wählen Sie dann "Protokoll aktivieren" aus.
| Ereignis-ID und Protokoll | BESCHREIBUNG |
|---|---|
| 104 ProtectedUser-Client |
Grund: Das Sicherheitspaket auf dem Client enthält keine Anmeldeinformationen. Der Fehler wird im Clientcomputer protokolliert, wenn das Konto Mitglied der Sicherheitsgruppe der geschützten Benutzer ist. Das Ereignis zeigt an, dass das Sicherheitspaket die Anmeldeinformationen, die für die Serverauthentifizierung erforderlich sind, nicht zwischenspeichert. Zeigt den Paketnamen, Benutzernamen, Domänennamen und den Servernamen an. |
| 304 ProtectedUser-Client |
Grund: Das Sicherheitspaket speichert nicht die Anmeldeinformationen des geschützten Benutzers. Im Client wird ein Informationsereignis protokolliert, um anzuzeigen, dass das Sicherheitspaket die Anmeldeinformationen des Benutzers nicht speichert. Es wird erwartet, dass Digest (WDigest), Delegierung von Anmeldeinformationen (CredSSP) und NTLM keine Anmeldeinformationen für geschützte Benutzer haben können. Anwendungen können weiterhin erfolgreich nach Anmeldeinformationen fragen. Zeigt den Paketnamen, Benutzernamen und Domänennamen an. |
| 100 ProtectedUserFailures-DomainController |
Grund: Ein NTLM-Anmeldefehler ereignet sich für ein Konto in der Sicherheitsgruppe der geschützten Benutzer. Im Domänencontroller wird ein Fehler protokolliert, um anzugeben, dass die NTLM-Authentifizierung fehlgeschlagen ist, da das Konto Mitglied der Sicherheitsgruppe der geschützten Benutzer ist. Zeigt den Kontonamen und den Gerätenamen an. |
| 104 ProtectedUserFailures-DomainController |
Grund: DES- oder RC4-Verschlüsselungstypen werden für die Kerberos-Authentifizierung verwendet, und ein Anmeldefehler ereignet sich für einen Benutzer in der Sicherheitsgruppe der geschützten Benutzer. Kerberos-Vorauthentifizierung ist fehlgeschlagen, da DES- und RC4-Verschlüsselungstypen nicht verwendet werden können, wenn das Konto Mitglied der Sicherheitsgruppe der geschützten Benutzer ist. (AES wird akzeptiert.) |
| 303 ProtectedUserSuccesses-DomainController |
Grund: Ein Kerberos-Ticket-Granting-Ticket (TGT) wurde erfolgreich für ein Mitglied der Gruppe der geschützten Benutzer ausgegeben. |