A hitelesítő adatok védelme és felügyelete
Érvényes: Windows Server 2012 R2
Ez az informatikai szakembereknek szóló témakör a Windows Server 2012 R2 és Windows 8.1 rendszerben bevezetett azon szolgáltatásokat és módszereket ismerteti, amelyek a hitelesítő adatok védelmét és tartományi hitelesítést biztosítva segítenek visszaszorítani a hitelesítő adatokkal való visszaéléseket.
Korlátozott rendszergazdai mód távoli asztali kapcsolat esetén
A korlátozott rendszergazdai mód olyan interaktív bejelentkezést biztosít a távoli állomáskiszolgálóra, melynek során a hitelesítő adatok nem kerülnek át a kiszolgálóra. Így biztosítható, hogy hitelesítő adataihoz akkor se férjenek hozzá illetéktelenek a kapcsolódás kezdeti fázisában, ha a kiszolgálót megtámadták.
Rendszergazdai hitelesítő adatokkal használva ezt a módot a távoli asztali kliens olyan állomásra kísérel meg interaktív módon, a hitelesítő adatok elküldése nélkül bejelentkezni, amely támogatja ezt a módot. Miután az állomás meggyőződött arról, hogy a kapcsolatot kezdeményező felhasználói fiók rendszergazdai jogokkal rendelkezik, illetve támogatja a korlátozott rendszergazdai módot, létrejön a kapcsolat. Ellenkező esetben a kapcsolódási kísérlet meghiúsul. A korlátozott rendszergazdai mód e folyamat egyik fázisában sem küld egyszerű szöveges vagy más újra felhasználható formában hitelesítő adatokat a távoli számítógépnek.
További információ: Újdonságok a Távoli asztali szolgáltatásokban Windows Server rendszerben.
LSA-védelem
A helyi biztonsági szervezet szolgáltatás (LSASS) keretében elérhető helyi biztonsági szervezet (LSA) ellenőrzi a helyi és távoli bejelentkezések során a felhasználókat, és érvényesíti a helyi biztonsági házirendeket. A Windows 8.1 operációs rendszer további védelmet biztosít a helyi biztonsági szervezet számára a védelem nélküli folyamatok által végzett kódbeszúrások megelőzése érdekében. Ezzel biztonságosabbá tehetők az LSA által tárolt és kezelt hitelesítő adatok. A helyi biztonsági szervezet e folyamatvédelmi beállítása Windows 8.1 rendszerben konfigurálható, Windows RT 8.1 alatt azonban alapértelmezés szerint be van kapcsolva, és nem módosítható.
További információk a helyi biztonsági szervezet védelmének konfigurálásáról: Kiegészítő LSA-védelem konfigurálása.
Védett felhasználók biztonsági csoport
Ez az új tartományi globális csoport új nem konfigurálható védelmet aktivál a Windows Server 2012 R2 és Windows 8.1 rendszert futtató eszközökön és gazdaszámítógépeken. A Védett felhasználók csoport a tartományvezérlők és tartományok erősebb védelmét teszi lehetővé Windows Server 2012 R2-tartományoknál. Ezáltal jóval kevesebb típusú hitelesítési adat lesz elérhető, amikor a felhasználó a hálózat számítógépeire jelentkezik be sértetlen számítógépről.
A Védett felhasználók csoport tagjai számára további korlátozásokat jelentenek az alábbi hitelesítési módszerek:
A Védett felhasználók csoport tagjai csak a Kerberos protokollal jelentkezhetnek be. A fiók nem hitelesíthető NTLM, kivonatoló hitelesítés vagy CredSSP használatával. A Windows 8.1 rendszert futtató eszközök nem gyorsítótárazzák a jelszavakat, ezért az ilyen biztonsági támogató szolgáltatók bármelyikét alkalmazó eszközök nem fogják tudni hitelesíteni a tartományban azokat a felhasználókat, akiknek a fiókja a Védett felhasználók csoport tagja.
A Kerberos protokoll nem használja a gyengébb DES vagy RC4 titkosítást az előhitelesítési folyamat során. Ez azt jelenti, hogy a tartományt úgy kell konfigurálni, hogy legalább az AES-rejtjelezést támogassa.
A felhasználó fiókja nem delegálható Kerberos által korlátozott vagy nem korlátozott delegálással. Ennek következménye, hogy ha a felhasználó a Védett felhasználók csoport tagjává válik, akkor a más rendszerekkel korábban létesített kapcsolatai megszakadnak.
A Kerberos jegymegadási jegyek (TGT-k) alapértelmezett négyórás élettartamát az Active Directory felügyeleti központon keresztül elérhető Hitelesítési házirendek és silók használatával lehet konfigurálni. Négy óra elteltével a felhasználónak újra hitelesítenie kell magát.
Figyelmeztetés
Szolgáltatás- és számítógépfiókok nem lehetnek a Védett felhasználók csoport tagjai. Ez a csoport nem biztosít helyi védelmet, mert a jelszó vagy a tanúsítvány mindig elérhető az állomáson. Ha a Védett felhasználók csoporthoz bármilyen szolgáltatást vagy számítógépet adnak, akkor a hitelesítés „a felhasználónév vagy a jelszó hibás” hibaüzenettel meghiúsul.
További információk erről a csoportról: Védett felhasználók biztonsági csoport.
Hitelesítési házirend és hitelesítési házirendi silók
Az új, erdőalapú Active Directory-házirendek olyan tartomány fiókjaira alkalmazhatók, ahol Windows Server 2012 R2 a tartomány működési szintje. Ezek a hitelesítési házirendek szabályozzák, hogy a felhasználó mely állomásokat használhatja bejelentkezéshez. A házirendek a Védett felhasználók biztonsági csoporttal összehangolva használhatók, és a rendszergazdák hozzáférés-vezérlési feltételeket alkalmazhatnak az egyes fiókok hitelesítéséhez. A hozzáférési házirendek elkülönítik a kapcsolódó fiókokat, így korlátozva a hálózat hatókörét.
A Hitelesítési házirend nevű új Active Directory-objektumosztály használatával hitelesítési konfigurációt lehet hozzárendelni olyan tartományok fiókosztályaihoz, ahol Windows Server 2012 R2 a tartomány működési szintje. A hitelesítési házirendek a Kerberos AS vagy a TGS kulcscseréje során lépnek érvénybe. Az Active Directoryban a következő fiókosztályok találhatók:
Felhasználó
Számítógép
Felügyelt szolgáltatásfiók
Csoportosan felügyelt szolgáltatásfiók
További információ: Hitelesítési házirendek és Hitelesítési házirendi silók.
További információk a védett fiókok konfigurálásáról: Védett fiókok konfigurálása.
Lásd még:
Az LSA és az LSASS működéséről további tudnivalókat a Windows bejelentkezési és hitelesítési folyamatairól szóló technikai áttekintés tartalmaz.
Arról, hogy a Windows hogyan kezeli a hitelesítő adatokat, a következő témakör nyújt további tájékoztatást: Technikai tudnivalók a gyorsítótárazott és a tárolt hitelesítő adatokról.