Grup Keamanan Pengguna Terproteksi
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Pengguna Terlindungi adalah grup keamanan global untuk Direktori Aktif (AD) yang dirancang untuk melindungi dari serangan pencurian kredensial. Grup ini memicu perlindungan yang tidak dapat dikonfigurasi pada perangkat dan komputer host untuk mencegah kredensial di-cache saat anggota grup masuk.
Prasyarat
Sistem Anda harus memenuhi prasyarat berikut sebelum Anda dapat menyebarkan grup Pengguna Terproteksi:
Host harus menjalankan salah satu sistem operasi berikut:
- Windows 8.1 atau yang lebih baru
- Windows Server 2012 R2 atau yang lebih baru dengan pembaruan keamanan terbaru terinstal
Tingkat fungsi domain harus Windows Server 2012 R2 atau yang lebih baru. Untuk informasi selengkapnya tentang tingkat fungsi, lihat Tingkat fungsi forest dan domain.
Catatan
Administrator domain bawaan, S-1-5-<domain>-500, selalu dikecualikan dari Kebijakan Autentikasi, bahkan ketika ditetapkan ke Silo Kebijakan Autentikasi. Untuk informasi selengkapnya, lihat Cara Mengonfigurasi Akun yang Dilindungi.
- Keanggotaan grup keamanan global Pengguna Terlindungi membatasi anggota untuk hanya menggunakan Standar Enkripsi Tingkat Lanjut (AES) untuk Kerberos. Anggota grup Pengguna Terproteksi harus dapat mengautentikasi menggunakan AES.
Perlindungan yang diterapkan oleh Direktori Aktif
Menjadi anggota grup Pengguna Terproteksi berarti AD secara otomatis menerapkan kontrol tertentu yang telah dikonfigurasi sebelumnya yang tidak akan dapat diubah pengguna kecuali mereka berhenti menjadi anggota grup.
Perlindungan perangkat untuk Pengguna Terlindungi yang masuk
Saat pengguna yang masuk adalah anggota grup Pengguna Terproteksi, grup memberikan perlindungan berikut:
Delegasi kredensial (CredSSP) tidak menyimpan kredensial teks biasa pengguna bahkan ketika pengguna mengaktifkan pengaturan Kebijakan Grup Izinkan pendelegasian kredensial default.
Untuk Windows 8.1 dan yang lebih baru dan Windows Server 2012 R2 dan yang lebih baru, Windows Digest tidak menyimpan kredensial teks biasa pengguna bahkan ketika mereka telah mengaktifkan Windows Digest.
NTLM berhenti menyimpan kredensial teks biasa pengguna atau fungsi satu arah NT (NTOWF).
Kerberos berhenti membuat kunci Standar Enkripsi Data (DES) atau RC4. Kerberos juga tidak menyimpan kredensial teks biasa pengguna atau kunci jangka panjang setelah memperoleh Tiket Pemberian Tiket awal (TGT).
Sistem tidak membuat pemverifikasi cache saat masuk atau membuka kunci pengguna, sehingga sistem anggota tidak lagi mendukung masuk offline.
Setelah Anda menambahkan akun pengguna baru ke grup Pengguna Terproteksi, perlindungan ini akan diaktifkan saat Pengguna Terlindungi baru masuk ke perangkat mereka.
Perlindungan pengendali domain untuk Pengguna yang Dilindungi
Akun Pengguna Terproteksi yang mengautentikasi ke domain yang menjalankan Windows Server 2012 R2 atau yang lebih baru tidak dapat melakukan hal berikut:
Autentikasi dengan autentikasi NTLM.
Gunakan jenis enkripsi DES atau RC4 di pra-autentikasi Kerberos.
Delegasikan dengan delegasi yang tidak dibatasi atau dibatasi.
Perbarui TGT Kerberos di luar masa pakai empat jam awal mereka.
Grup Pengguna Terproteksi menerapkan pengaturan yang tidak dapat dikonfigurasi ke kedaluwarsa TGT untuk setiap akun anggota. Biasanya, pengendali domain mengatur masa pakai dan perpanjangan TGT berdasarkan dua kebijakan domain berikut:
- Masa pakai maksimum untuk tiket pengguna
- Masa pakai maksimum untuk perpanjangan tiket pengguna
Untuk anggota Pengguna Terproteksi, grup secara otomatis menetapkan batas masa pakai ini menjadi 600 menit. Pengguna tidak dapat mengubah batas ini kecuali mereka meninggalkan grup.
Cara kerja grup Pengguna Terproteksi
Anda dapat menambahkan pengguna ke grup Pengguna Terproteksi menggunakan metode berikut:
- Alat UI, seperti Active Directory Administrative Center (ADAC) atau Pengguna Direktori Aktif dan Komputer.
- Alat baris perintah, seperti PowerShell.
- Dengan PowerShell, menggunakan cmdlet Add-ADGroupMember .
Penting
Jangan pernah menambahkan akun untuk layanan dan komputer ke grup Pengguna Terproteksi. Untuk akun tersebut, keanggotaan tidak memberikan perlindungan lokal karena kata sandi dan sertifikat selalu tersedia di host.
Jangan tambahkan akun yang sudah menjadi anggota grup yang sangat istimewa, seperti grup Admin Perusahaan atau Admin Domain, hingga Anda dapat menjamin menambahkannya tidak akan memiliki konsekuensi negatif. Pengguna yang sangat istimewa di Pengguna yang Dilindungi tunduk pada batasan dan batasan yang sama dengan pengguna biasa, dan tidak mungkin untuk mengatasi atau mengubah pengaturan tersebut. Jika Anda menambahkan semua anggota grup tersebut ke grup Pengguna Terlindungi, dimungkinkan untuk secara tidak sengaja mengunci akun mereka. Penting untuk menguji sistem Anda untuk memastikan perubahan pengaturan wajib tidak akan mengganggu akses akun untuk grup pengguna istimewa ini.
Anggota grup Pengguna Terproteksi hanya dapat mengautentikasi menggunakan Kerberos dengan Standar Enkripsi Tingkat Lanjut (AES). Metode ini memerlukan kunci AES untuk akun di Direktori Aktif. Administrator bawaan tidak memiliki kunci AES kecuali kata sandi untuk domain yang menjalankan perubahan Windows Server 2008 atau yang lebih baru. Setiap akun yang telah mengubah kata sandi mereka oleh pengendali domain yang menjalankan versi Windows Server yang lebih lama dikunci dari autentikasi.
Untuk menghindari penguncian dan kunci AES yang hilang, kami sarankan Anda mengikuti panduan berikut:
Jangan jalankan pengujian di domain kecuali semua pengendali domain menjalankan Windows Server 2008 atau yang lebih baru.
Jika Anda telah memigrasikan akun dari domain lain, Anda perlu mengatur ulang kata sandi sehingga akun memiliki hash AES. Jika tidak, akun-akun ini menjadi dapat mengautentikasi.
Pengguna perlu mengubah kata sandi setelah beralih ke tingkat fungsi domain Windows Server 2008 atau yang lebih baru. Ini memastikan mereka memiliki hash kata sandi AES setelah mereka menjadi anggota grup Pengguna Yang Dilindungi.
Menambahkan grup keamanan global Pengguna Terproteksi ke domain tingkat bawah
Pengendali domain yang menjalankan sistem operasi yang lebih lama dari Windows Server 2012 R2 dapat mendukung penambahan anggota ke grup keamanan Pengguna Terproteksi baru. Dengan cara ini, anggota ini dapat memperoleh manfaat dari perlindungan perangkat sebelum Anda meningkatkan domain.
Catatan
Pengontrol domain yang menjalankan versi Windows Server 2012 R2 yang lebih lama tidak mendukung perlindungan domain.
Untuk membuat grup Pengguna Terproteksi pada pengontrol domain yang menjalankan versi Windows Server yang lebih lama:
Transfer peran emulator PDC ke pengendali domain yang menjalankan Windows Server 2012 R2.
Replikasi objek grup ke pengendali domain lainnya.
Setelah itu, pengguna dapat memperoleh manfaat dari perlindungan perangkat sebelum Anda meningkatkan domain.
Properti AD grup Pengguna Terproteksi
Tabel berikut menentukan properti Direktori Aktif dari grup Pengguna Terproteksi.
| Atribut | Value |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-525<> |
| Jenis | Domain Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh ADMINSDHOLDER? | No |
| Brankas untuk keluar dari kontainer default? | Ya |
| Brankas untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak ada hak pengguna default |
Log Peristiwa
Dua log administratif operasional tersedia untuk membantu memecahkan masalah peristiwa yang terkait dengan Pengguna yang Dilindungi. Log baru ini terletak di Pemantau Peristiwa dan dinonaktifkan secara default, dan terletak di bawah Log Aplikasi dan Layanan\Microsoft\Windows\Authentication.
Untuk mengaktifkan pengambilan log ini:
Klik kanan pada Mulai, lalu pilih Pemantau Peristiwa.
Buka Log Aplikasi dan Layanan\Microsoft\Windows\Authentication.
Untuk setiap log yang ingin Anda aktifkan, klik kanan nama log, lalu pilih Aktifkan Log.
| ID Peristiwa dan Log | Deskripsi |
|---|---|
| 104 ProtectedUser-Client |
Alasan: Paket keamanan pada klien tidak berisi kredensial. Kesalahan dicatat di komputer klien ketika akun adalah anggota grup keamanan Pengguna Terproteksi. Kejadian ini menunjukkan bahwa paket keamanan tidak menyimpan kredensial yang diperlukan untuk mengautentikasi ke server. Menampilkan nama paket, nama pengguna, nama domain, dan nama server. |
| 304 ProtectedUser-Client |
Alasan: Paket keamanan tidak menyimpan kredensial Pengguna yang Dilindungi. Peristiwa informasi dicatat di klien untuk menunjukkan bahwa paket keamanan tidak menyimpan kredensial masuk pengguna. Diharapkan bahwa Digest (WDigest), Credential Delegation (CredSSP), dan NTLM gagal memiliki kredensial masuk untuk Pengguna yang Dilindungi. Aplikasi masih dapat berhasil jika meminta kredensial. Menampilkan nama paket, nama pengguna, dan nama domain. |
| 100 ProtectedUserFailures-DomainController |
Alasan: Kegagalan masuk NTLM terjadi untuk akun yang berada di grup keamanan Pengguna Yang Dilindungi. Kesalahan dicatat di pengendali domain untuk menunjukkan bahwa autentikasi NTLM gagal karena akun tersebut adalah anggota grup keamanan Pengguna Terproteksi. Menampilkan nama akun dan nama perangkat. |
| 104 ProtectedUserFailures-DomainController |
Alasan: Jenis enkripsi DES atau RC4 digunakan untuk autentikasi Kerberos dan kegagalan masuk terjadi untuk pengguna di grup keamanan Pengguna Yang Dilindungi. Pra-autentikasi Kerberos gagal karena jenis enkripsi DES dan RC4 tidak dapat digunakan ketika akun adalah anggota grup keamanan Pengguna Yang Dilindungi. (AES dapat diterima.) |
| 303 ProtectedUserSuccesses-DomainController |
Alasan: Tiket pemberian tiket (TGT) Kerberos berhasil dikeluarkan untuk anggota grup Pengguna yang Dilindungi. |