Protected Users は、資格情報の盗難攻撃から保護するように設計された Active Directory (AD) のグローバル セキュリティ グループです。 グループ メンバーがサインインしたときに資格情報がキャッシュされないようにするために、グループはデバイスとホスト コンピューターで構成不可能な保護をトリガーします。
前提条件
Protected Users グループを展開するには、システムが次の前提条件を満たしている必要があります。
ホストでは、次のいずれかのオペレーティング システムを実行している必要があります。
- Windows 10またはWindows 11
- Windows Server 2012 R2 以降で最新のセキュリティ更新プログラムがインストール済み
ドメインの機能レベルが Windows Server 2012 R2 以降である必要があります。 機能レベルの詳細については、「フォレストとドメインの機能レベル」を参照してください。
注記
ビルトイン ドメイン Administrator S-1-5-<domain>-500 は、認証ポリシー サイロに割り当てられている場合でも、常に認証ポリシーから除外されます。 詳細については、「保護されるアカウントの構成方法」をご覧ください。
- Protected Users のグローバル セキュリティ グループ メンバーシップでは、Kerberos 用の Advanced Encryption Standards (AES) のみを使用するようにメンバーが制限されます。 Protected Users グループのメンバーは、AES を使用した認証が可能である必要があります。
Active Directory によって適用される保護
Protected Users グループのメンバーになると、AD は、ユーザーがグループ メンバーを停止しない限り変更できない特定の構成済みコントロールを自動的に適用することを意味します。
サインイン済みの Protected Users に対するデバイスの保護
サインインしたユーザーが Protected Users グループのメンバーである場合、グループは次の保護を提供します。
資格情報の委任 (CredSSP) では、ユーザーが [既定の資格情報の委任を許可する] グループ ポリシー設定を有効にした場合でも、ユーザーのプレーン テキストの資格情報はキャッシュされません。
Windows ダイジェストが有効になっている場合でも、ユーザーのプレーンテキスト資格情報はキャッシュされません。
NTLM は、ユーザーのプレーンテキスト資格情報または NT 一方向関数 (NTOWF) のキャッシュを停止します。
Kerberos は、Data Encryption Standard (DES) または RC4 キーの作成を停止します。 Kerberos では、最初のチケット付与チケット (TGT) を取得した後、ユーザーのプレーンテキスト資格情報や長期的なキーもキャッシュされません。
ユーザーのサインイン時またはロック解除時にシステムはキャッシュされた検証ツールを作成しないため、メンバー システムはオフライン サインインをサポートしません。
保護されたユーザー グループに新しいユーザー アカウントを追加すると、新しい保護対象ユーザーがデバイスにサインインすると、これらの保護がアクティブになります。
Protected Users のドメイン コントローラー保護
Windows Server を実行しているドメインに対して認証を行う保護されたユーザー アカウントは、次の操作を行うことができません。
NTLM 認証を使用して認証する。
Kerberos 事前認証で DES または RC4 暗号化の種類を使用します。
制約なしの委任または制約付き委任を使用して委任する
Kerberos TGT の最初の 4 時間の有効期間を超えて更新する。
Protected Users グループは、メンバー アカウントごとに、TGT の期限切れに対する構成不可能な設定を適用します。 通常、ドメイン コントローラーは、次の 2 つのドメイン ポリシーに基づいて TGT の有効期間と更新を設定します。
- チケットの最長有効期間
- ユーザー チケットを更新できる最長有効期間
Protected Users メンバーの場合、グループはこれらの有効期間の制限を自動的に 240 分に設定します。 ユーザーは、グループを離脱しない限り、この制限を変更することはできません。
Protected Users グループのしくみ
次の方法を使用して、Protected Users グループにユーザーを追加できます。
- Active Directory Administrative Center (ADAC) や Active Directory ユーザーとコンピューティングなどの UI ツール。
- Add-ADGroupMember コマンドレットを使用する PowerShell。
重要
サービスとコンピューターのアカウントを Protected Users グループに追加しないでください。 これらのアカウントのメンバーシップでは、パスワードと証明書が常にホストで利用できるため、ローカル保護が提供されません。
Enterprise Admins グループや Domain Admins グループなど、既に高い特権を持つグループのメンバーであるアカウントは、追加しても悪影響が生じないことを保証できるまで追加しないでください。 Protected Users の高い特権を持つユーザーには、通常のユーザーと同じ制限と制約が適用され、これらの設定を回避または変更することはできません。 それらのグループのすべてのメンバーを Protected Users グループに追加すると、誤ってアカウントがロックアウトされることがあります。 必須設定の変更がこれらの特権ユーザー グループのアカウント アクセスを妨げないように、システムをテストすることが重要です。
Protected Users グループのメンバーは、Kerberos で Advanced Encryption Standards (AES) を使用してのみ認証できます。 この方法では、Active Directory のアカウントに対する AES キーが必要です。 ビルトイン Administrator は、Windows Server 2008 以降を実行しているドメインのパスワードが変更されない限り、AES キーを持ちません。 以前のバージョンの Windows Server を実行しているドメイン コントローラーによってパスワードが変更されたアカウントは、認証からロックアウトされます。
ロックアウトや AES キーの欠落を回避するには、次のガイドラインに従うことをお勧めします。
すべてのドメイン コントローラーが Windows Server 2008 以降を実行していない限り、ドメインでテストを実行しないでください。
他のドメイン からアカウントを移行した場合は、アカウントに AES ハッシュが設定されるようにパスワードをリセットする必要があります。 それ以外の場合、これらのアカウントは認証できるようになります。
ユーザーは、Windows Server 2008 以降のドメイン機能レベルに切り替えた後に、パスワードを変更する必要があります。 これにより、Protected Users グループのメンバーになると、AES パスワードがハッシュ化されます。
Protected Users グループの AD プロパティ
次の表は、Protected Users グループの Active Directory プロパティの一覧です。
| 属性 | 価値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<domain>-525 |
| 種類 | ドメイン グローバル |
| 既定のコンテナー | CN=Users、DC=<domain>、DC= |
| 既定メンバー | なし |
| 既定のメンバー | なし |
| ADMINSDHOLDER で保護されているか | いいえ |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | いいえ |
| 既定のユーザー権利 | 既定のユーザー権利はありません |
イベント ログ
2 つの運用管理ログを使用して、Protected Users に関連するイベントを解決することができます。 これらの新しいログはイベント ビューアーに表示され、既定では無効です。ログは Applications and Services Logs\Microsoft\Windows\Authentication に保存されます。
これらのログを取得にするには、次の手順に従います。
[スタート] を右クリックし、[イベント ビューアー] を選択します。
Applications and Services Logs\Microsoft\Windows\Authentication を開きます。
有効にする各ログのログ名を右クリックし、[ログの有効化] を選択します。
| イベント ID とログ | 説明 |
|---|---|
| 104 ProtectedUser-Client |
理由: クライアントのセキュリティ パッケージに資格情報が含まれていない。 アカウントが Protected Users セキュリティ グループのメンバーである場合、エラーはクライアント コンピューターのログに記録されます。 このイベントは、サーバーに対する認証に必要な資格情報がセキュリティ パッケージによってキャッシュされていないことを示します。 パッケージ名、ユーザー名、ドメイン名、およびサーバー名を表示します。 |
| 304 ProtectedUser-Client |
理由: セキュリティ パッケージには、保護されたユーザーの資格情報が格納されません。 セキュリティ パッケージがユーザーのサインイン資格情報をキャッシュしないことを示すために、情報イベントがクライアントに記録されます。 ダイジェスト (WDigest)、資格情報委任 (CredSSP)、および NTLM が、保護されたユーザーのサインオン資格情報を持つことに失敗することが予想される。 アプリケーションは、資格情報の入力を求めれば、成功することができます。 パッケージ名、ユーザー名、およびドメイン名を表示します。 |
| 100 ProtectedUserFailures-DomainController |
理由:NTLM のサインインの失敗は、Protected Users セキュリティ グループに属するアカウントの場合に発生します。 アカウントは Protected Users セキュリティ グループのメンバーだったために NTLM の認証が失敗したことを示すエラーが、ドメイン コントローラーのログに記録されます。 アカウント名とデバイス名を表示します。 |
| 104 ProtectedUserFailures-DomainController |
理由:DES または RC4 の暗号化の種類は Kerberos 認証に使用されており、Protected Users セキュリティ グループに属するユーザーのサインイン エラーが発生します。 アカウントが Protected Users セキュリティ グループのメンバーである場合、DES と RC4 の暗号化の種類を使用できないため、Kerberos の事前認証に失敗しました。 (AES は使用できます) |
| 303 ProtectedUserSuccesses-DomainController |
理由: Kerberos Ticket Granting Ticket (TGT) が、保護されたユーザー グループのメンバーに対して正常に発行されました。 |