Melindungi akun pengguna dengan grup Pengguna yang Dilindungi
Kelompok keamanan AD DS (Active Directory Domain Services) Pengguna yang Dilindungi membantu Anda melindungi akun pengguna dengan hak istimewa tinggi dari penyusupan. Anggota grup Pengguna yang Dilindungi memiliki beberapa pengaturan konfigurasi terkait keamanan yang diterapkan yang tidak dapat diubah kecuali dengan keluar dari grup.
Prasyarat grup Pengguna yang Dilindungi
Untuk memberikan perlindungan bagi anggota grup Pengguna yang Dilindungi:
Grup harus direplikasi ke semua pengendali domain.
Pengguna harus masuk ke perangkat yang menjalankan Windows 8.1 atau Windows Server 2012 R2 atau yang lebih baru.
Perlindungan pengendali domain mengharuskan domain harus dijalankan di Windows Server 2012 R2 atau tingkat fungsional domain yang lebih tinggi. Tingkat fungsional yang lebih rendah masih mendukung perlindungan pada perangkat klien.
Perlindungan grup Pengguna yang Dilindungi
Saat pengguna adalah anggota grup Pengguna yang Dilindungi, di stasiun kerja atau perangkat lokalnya:
Info masuk pengguna tidak di-cache secara lokal.
Delegasi info masuk (CredSSP) tidak akan menyimpan info masuk pengguna
Windows Digest tidak akan menyimpan info masuk pengguna.
NTLM tidak akan menyimpan info masuk pengguna.
Kerberos tidak akan membuat DES (Standar Enkripsi Data) atau kunci RC4, atau menyimpan info masuk atau kunci jangka panjang.
Pengguna tidak dapat lagi masuk secara offline.
Pada pengendali domain yang menjalankan Windows Server 2012 R2 atau yang lebih baru:
Autentikasi NTLM tidak diperbolehkan.
Enkripsi DES dan RC4 di pra-autentikasi Kerberos tidak dapat digunakan.
Info masuk tidak dapat didelegasikan menggunakan delegasi terbatas.
Tidak dapat didelegasikan menggunakan delegasi yang tidak dibatasi.
Tiket pemberian tiket (TGT) tidak dapat diperpanjang melewati masa pakai awal.
Kebijakan autentikasi
Kebijakan autentikasi memungkinkan Anda untuk mengonfigurasi masa pakai TGT dan kondisi kontrol akses untuk akun pengguna, layanan, atau komputer. Untuk akun pengguna, Anda dapat mengonfigurasi masa pakai TGT pengguna, hingga maksimum yang ditetapkan oleh masa pakai maksimum 600 menit grup Pengguna yang Dilindungi. Anda juga dapat membatasi perangkat mana yang dapat digunakan pengguna untuk masuk, dan kriteria yang harus dipenuhi oleh perangkat tersebut.
Silo kebijakan autentikasi
Silo kebijakan autentikasi memungkinkan administrator untuk menetapkan kebijakan autentikasi ke akun pengguna, komputer, dan layanan. Silo kebijakan autentikasi bekerja dengan grup Pengguna yang Dilindungi untuk menambahkan batasan yang dapat dikonfigurasi ke batasan grup yang tidak dapat dikonfigurasi yang ada. Selain itu, silo kebijakan memastikan bahwa akun hanya dimiliki oleh silo kebijakan autentikasi tunggal.
Saat akun masuk, pengguna yang merupakan bagian dari silo kebijakan Autentikasi diberikan klaim Silo Kebijakan Autentikasi. Klaim silo ini mengontrol akses ke sumber daya yang mengetahui klaim untuk memverifikasi apakah akun diizinkan untuk mengakses perangkat tersebut. Misalnya, Anda dapat mengaitkan akun yang dapat mengakses server sensitif dengan silo kebijakan Autentikasi tertentu.
Bacaan tambahan: Untuk informasi selengkapnya tentang kebijakan autentikasi dan silo kebijakan autentikasi, lihat Kebijakan Autentikasi dan Silo Kebijakan Autentikasi.