Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A védett felhasználók az Active Directory (AD) globális biztonsági csoportja, amelynek célja a hitelesítő adatok ellopása elleni védelem. A csoport nem konfigurálható védelmet indít el az eszközökön és a számítógépeken, hogy megakadályozza a hitelesítő adatok gyorsítótárazását a csoporttagok bejelentkezésekor.
Előfeltételek
A védett felhasználók csoportjának üzembe helyezése előtt a rendszernek meg kell felelnie a következő előfeltételeknek:
A hosztoknak az alábbi operációs rendszerek egyikét kell futtatniuk.
- Windows 10 vagy Windows 11
- Windows Server 2012 R2 vagy újabb, telepített legújabb biztonsági frissítésekkel
A tartomány működési szintjének Windows Server 2012 R2 vagy újabb verziónak kell lennie. A funkcionális szintekről további információt az erdő és a tartomány működési szintjei című témakörben talál.
Megjegyzés
A beépített tartományi rendszergazda S-1-5-<domain>-500mindig mentesül a hitelesítési szabályzatok alól, még akkor is, ha egy hitelesítési házirend-silóhoz vannak rendelve. További információ: Védett fiókok konfigurálása.
- A védett felhasználók globális biztonsági csoporttagságai korlátozzák a tagok számára, hogy csak a Kerberos speciális titkosítási szabványait (AES) használják. A védett felhasználók csoport tagjainak hitelesíteni kell magukat az AES használatával.
Az Active Directory által alkalmazott védelem
A Védett felhasználók csoport tagjává válás azt jelenti, hogy az AD automatikusan alkalmaz bizonyos előre konfigurált vezérlőket, amelyeket a felhasználók csak akkor módosíthatnak, ha nem lesznek csoporttagok.
Eszközvédelem a bejelentkezett védett felhasználók számára
Ha a bejelentkezett felhasználó a Védett felhasználók csoport tagja, a csoport a következő védelmet nyújtja:
A hitelesítő adatok delegálása (CredSSP) akkor sem gyorsítótárazza a felhasználó egyszerű szöveges hitelesítő adatait, ha a felhasználó engedélyezi az alapértelmezett hitelesítő adatok csoportházirend-beállításának delegálását .
A Windows Digest akkor sem gyorsítótárazza a felhasználó egyszerű szöveges hitelesítő adatait, ha engedélyezte a Windows Digestet.
Az NTLM megszünteti a felhasználó szövegbeli hitelesítő adatainak vagy az NT egyirányú függvényének (NTOWF) gyorsítótárazását.
A Kerberos leállítja a Data Encryption Standard (DES) vagy RC4 kulcsok létrehozását. A Kerberos emellett nem gyorsítótárazza a felhasználó egyszerű szöveges hitelesítő adatait vagy hosszú távú kulcsait a kezdeti jegykiadó jegy (TGT) beszerzése után.
A rendszer nem hoz létre gyorsítótárazott hitelesítőt a felhasználói bejelentkezéskor vagy feloldáskor, így a tagrendszerek már nem támogatják az offline bejelentkezést.
Miután hozzáadott egy új felhasználói fiókot a Védett felhasználók csoporthoz, ezek a védelem akkor aktiválódik, amikor az új védett felhasználó bejelentkezik az eszközére.
Tartományvezérlők védelme védett felhasználók számára
A Windows Servert futtató tartományon hitelesítést végző védett felhasználói fiókok nem tudják elvégezni a következőket:
Hitelesítés NTLM-hitelesítéssel.
Használjon DES- vagy RC4-titkosítási típusokat a Kerberos-előhitelesítésben.
Delegálás korlátlan vagy korlátozott delegálással.
Megújíthatja a Kerberos TGT-ket a kezdeti négyórás élettartamukon túl.
A Védett felhasználók csoport nem konfigurálható beállításokat alkalmaz a TGT-lejáratra minden tagfiók esetében. A tartományvezérlő általában a következő két tartományszabályzat alapján állítja be a TGT élettartamát és megújítását:
- Felhasználói jegy maximális élettartama
- A felhasználói jegy megújításának maximális élettartama
Védett felhasználók esetén a csoport automatikusan 240 percre állítja be ezeket az élettartamkorlátokat. A felhasználó csak akkor módosíthatja ezt a korlátot, ha kilép a csoportból.
A Védett felhasználók csoport működése
A védett felhasználók csoporthoz a következő módszerekkel adhat hozzá felhasználókat:
- Felhasználói felületi eszközök, például Az Active Directory felügyeleti központ (ADAC) vagy az Active Directory – felhasználók és számítógépek.
- PowerShell, az Add-ADGroupMember parancsmag használatával.
Fontos
Soha ne adjon hozzá fiókokat szolgáltatásokhoz és számítógépekhez a Védett felhasználók csoporthoz. Ezeknél a fiókoknál a tagság nem biztosít helyi védelmet, mert a jelszó és a tanúsítvány mindig elérhető a gazdagépen.
Ne adjon hozzá olyan fiókokat, amelyek már tagjai a kiemelt jogosultságú csoportoknak, például a vállalati rendszergazdáknak vagy a tartománygazdáknak, amíg garantálni nem tudja, hogy a hozzáadásuknak nem lesz negatív következménye. A védett felhasználók kiemelt jogosultságú felhasználóira ugyanazok a korlátozások és korlátozások vonatkoznak , mint a normál felhasználókra, és nem lehet megkerülni vagy módosítani ezeket a beállításokat. Ha e csoportok összes tagját hozzáadja a Védett felhasználók csoporthoz, előfordulhat, hogy véletlenül zárolja a fiókjaikat. Fontos tesztelni a rendszert, hogy a kötelező beállításmódosítások ne zavarják e kiemelt felhasználói csoportok fiókhozzáférését.
A Védett felhasználók csoport tagjai csak speciális titkosítási szabványokkal (AES) rendelkező Kerberos használatával hitelesíthetik magukat. Ehhez a metódushoz AES-kulcsok szükségesek az Active Directoryban lévő fiókhoz. A beépített rendszergazda csak akkor rendelkezik AES-kulccsal, ha a Windows Server 2008 vagy újabb rendszert futtató tartomány jelszava megváltozik. Minden olyan fiók, amelynek jelszavát egy Windows Server korábbi verzióját futtató tartományvezérlő módosítja, ki van zárva a hitelesítésből.
A zárolások és a hiányzó AES-kulcsok elkerülése érdekében javasoljuk, hogy kövesse az alábbi irányelveket:
Csak akkor futtassa a teszteket tartományokban, ha az összes tartományvezérlő Windows Server 2008-at vagy újabb verziót futtat.
Ha más tartományokból áttelepített fiókokat, újra kell állítania a jelszót, hogy a fiókok AES-kivonatokkal rendelkezzenek. Ellenkező esetben ezek a fiókok képesek lesznek a hitelesítésre.
A felhasználóknak módosítaniuk kell a jelszavakat a Windows Server 2008 vagy újabb tartományi működési szintjére váltás után. Ez biztosítja, hogy AES-jelszókivonatokkal rendelkezzenek, amint a védett felhasználók csoport tagjaivá válnak.
Védett felhasználók csoport AD-tulajdonságai
Az alábbi táblázat a Védett felhasználók csoport Active Directory-tulajdonságait határozza meg.
| Attribútum | Érték |
|---|---|
| Jól ismert SID/RID | S-1-5-21-<tartomány>-525 |
| Típus szerint | Globális tartomány |
| Alapértelmezett tároló | CN=Users, DC=<tartomány>, DC= |
| Alapértelmezett tagok | Egyik sem |
| A alapértelmezett tagja | Egyik sem |
| ADMINSDHOLDER által védett? | Nem |
| Biztonságos kilépni az alapértelmezett tárolóból? | Igen |
| Biztonságosan delegálhatja a csoport felügyeletét a nem szolgáltatásbeli rendszergazdáknak? | Nem |
| Alapértelmezett felhasználói jogosultságok | Nincs alapértelmezett felhasználói jogosultság |
Eseménynaplók
Két működési felügyeleti napló érhető el a védett felhasználókkal kapcsolatos események hibaelhárításához. Ezek az új naplók az Eseménynaplóban találhatók, és alapértelmezés szerint le vannak tiltva, és az Alkalmazások és szolgáltatások naplói\Microsoft\Windows\Authentication területen találhatók.
A naplók rögzítésének engedélyezése:
Kattintson a jobb gombbal a Start menüre, majd válassza az Eseménynapló lehetőséget.
Nyissa meg az alkalmazások és szolgáltatások naplóit\Microsoft\Windows\Authentication.
Minden engedélyezni kívánt napló esetében kattintson a jobb gombbal a napló nevére, majd válassza a Napló engedélyezése lehetőséget.
| Eseményazonosító és napló | Leírás |
|---|---|
| 104 ProtectedUser-Client |
Ok: Az ügyfél biztonsági csomagja nem tartalmazza a hitelesítő adatokat. A hiba akkor lesz naplózva az ügyfélszámítógépen, ha a fiók a Védett felhasználók biztonsági csoport tagja. Ez az esemény azt jelzi, hogy a biztonsági csomag nem gyorsítótárazza a kiszolgálón való hitelesítéshez szükséges hitelesítő adatokat. Megjeleníti a csomag nevét, a felhasználónevet, a tartománynevet és a kiszolgálónevet. |
| 304 ProtectedUser-Client |
Ok: A biztonsági csomag nem tárolja a védett felhasználó hitelesítő adatait. Az ügyfél egy információs eseményt naplóz, amely jelzi, hogy a biztonsági csomag nem gyorsítótárazza a felhasználó bejelentkezési hitelesítő adatait. A Digest (WDigest), a Credential Delegálás (CredSSP) és az NTLM várhatóan nem tud majd bejelentkezési hitelesítő adatokkal rendelkezni a védett felhasználók számára. Az alkalmazások akkor is sikeresek lehetnek, ha hitelesítő adatokat kérnek. Megjeleníti a csomag nevét, a felhasználónevet és a tartománynevet. |
| 100 VédettFelhasználóHibák-Tartományvezérlő |
Ok: NTLM-bejelentkezési hiba történik a védett felhasználók biztonsági csoportjában lévő fiók esetében. A rendszer hibát naplóz a tartományvezérlőn, amely azt jelzi, hogy az NTLM-hitelesítés meghiúsult, mert a fiók a Védett felhasználók biztonsági csoport tagja volt. Megjeleníti a fiók nevét és az eszköz nevét. |
| 104 VédettFelhasználóHibák-Tartományvezérlő |
Ok: A DES- vagy RC4-titkosítási típusok a Kerberos-hitelesítéshez használatosak, és bejelentkezési hiba történik a védett felhasználó biztonsági csoportjában lévő felhasználók esetében. A Kerberos-előhitelesítés sikertelen volt, mert a DES- és RC4-titkosítási típusok nem használhatók, ha a fiók a Védett felhasználók biztonsági csoport tagja. (Az AES elfogadható.) |
| 303 ProtectedUserSuccesses-DomainController |
Ok: A Kerberos-jegymegadási jegy (TGT) sikeresen ki lett adva a védett felhasználói csoport egyik tagjának. |