Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Chronieni użytkownicy to globalna grupa zabezpieczeń usługi Active Directory (AD) przeznaczona do ochrony przed atakami polegającymi na kradzieży poświadczeń. Grupa wyzwala niekonfiguralną ochronę na urządzeniach i komputerach hostów, aby zapobiec buforowaniu poświadczeń podczas logowania członków grupy.
Wymagania wstępne
System musi spełniać następujące wymagania wstępne, zanim będzie można wdrożyć grupę Chronieni użytkownicy:
Hosty muszą mieć uruchomiony jeden z następujących systemów operacyjnych:
- Windows 10 lub Windows 11
- Windows Server 2012 R2 lub nowszy z zainstalowanymi najnowszymi aktualizacjami zabezpieczeń
Poziom funkcjonalności domeny musi być systemem Windows Server 2012 R2 lub nowszym. Aby uzyskać więcej informacji na temat poziomów funkcjonalnych, zapoznaj się z poziomami funkcjonalności lasu i domeny.
Uwaga
Wbudowany administrator domeny, S-1-5-<domain>-500, jest zawsze wykluczony z zasad uwierzytelniania, nawet jeśli są przypisane do silosu zasad uwierzytelniania. Aby uzyskać więcej informacji, zobacz Jak skonfigurować chronione konta.
- Członkostwo w globalnej grupie zabezpieczeń Chronieni użytkownicy ogranicza członków do używania tylko zaawansowanego standardu szyfrowania (AES) dla protokołu Kerberos. Członkowie grupy Chronieni użytkownicy muszą mieć możliwość uwierzytelniania przy użyciu usługi AES.
Ochrona stosowana przez usługę Active Directory
Zostanie członkiem grupy Chronieni użytkownicy oznacza, że usługa AD automatycznie stosuje pewne wstępnie skonfigurowane kontrolki, których użytkownicy nie będą mogli zmienić, chyba że przestaną być członkami grupy.
Ochrona urządzeń dla zalogowanych użytkowników chronionych
Gdy zalogowany użytkownik jest członkiem grupy Chronieni użytkownicy, grupa zapewnia następujące zabezpieczenia:
Delegowanie poświadczeń (CredSSP) nie buforuje poświadczeń w postaci zwykłego tekstu użytkownika, nawet wtedy, gdy użytkownik umożliwia Zezwalaj na delegowanie domyślnych poświadczeń ustawienia zasad grupy.
Windows Digest nie buforuje poświadczeń zwykłego tekstu użytkownika, nawet gdy włączono Windows Digest.
Protokół NTLM zatrzymuje buforowanie poświadczeń w postaci zwykłego tekstu użytkownika lub funkcji jednokierunkowej NT (NTOWF).
Protokół Kerberos przestaje tworzyć klucze Data Encryption Standard (DES) lub RC4. Protokół Kerberos nie buforuje również poświadczeń użytkownika w formie zwykłego tekstu ani kluczy długoterminowych po uzyskaniu początkowego biletu nadania uprawnień (TGT).
System nie tworzy buforowanego weryfikatora podczas logowania użytkownika lub odblokowywania, więc systemy członkowskie nie obsługują już logowania w trybie offline.
Po dodaniu nowego konta użytkownika do grupy Chronieni użytkownicy te zabezpieczenia są aktywowane po zalogowaniu się nowego użytkownika chronionego na urządzeniu.
Ochrona kontrolera domeny dla chronionych użytkowników
Chronione konta użytkowników uwierzytelnione w domenie z systemem Windows Server nie mogą wykonać następujących czynności:
Uwierzytelnij się za pomocą uwierzytelniania NTLM.
Użyj typów szyfrowania DES lub RC4 we wstępnym uwierzytelnianiu Kerberos.
Delegowanie z nieograniczonym lub ograniczonym delegowaniem.
Odnów TGT protokołu Kerberos, aby działały dłużej niż ich początkowy czterogodzinny czas życia.
Grupa Chronionych Użytkowników stosuje niekonfigurowalne ustawienia wygasania TGT dla każdego konta członkowskiego. Zwykle kontroler domeny ustawia okres ważności biletu TGT i możliwość odnowienia na podstawie poniższych dwóch zasad domeny.
- Maksymalny okres istnienia biletu użytkownika
- Maksymalny okres istnienia odnowienia biletu użytkownika
W przypadku członków użytkowników chronionych grupa automatycznie ustawia te limity okresu istnienia na 240 minut. Użytkownik nie może zmienić tego limitu, chyba że opuści grupę.
Jak działa grupa Chronieni użytkownicy
Możesz dodać użytkowników do grupy Chronieni użytkownicy przy użyciu następujących metod:
- Narzędzia interfejsu użytkownika, takie jak Centrum administracyjne Active Directory (ADAC) lub Użytkownicy i Komputery Active Directory.
- PowerShell, przy użyciu polecenia cmdlet Add-ADGroupMember.
Ważne
Nigdy nie dodawaj kont dla usług i komputerów do grupy Chronieni użytkownicy. W przypadku tych kont członkostwo nie zapewnia ochrony lokalnej, ponieważ hasło i certyfikat są zawsze dostępne na hoście.
Nie dodawaj kont, które są już członkami wysoce uprzywilejowanych grup, takich jak administratorzy przedsiębiorstwa lub grupy Administratorzy domeny, dopóki nie będzie można zagwarantować, że dodanie ich nie będzie miało negatywnych konsekwencji. Użytkownicy z wysokimi uprawnieniami w chronionych użytkownikach podlegają tym samym ograniczeniom i ograniczeniom jako zwykłych użytkowników i nie można obejść ani zmienić tych ustawień. Jeśli dodasz wszystkich członków tych grup do grupy Chronieni użytkownicy, możesz przypadkowo zablokować ich konta. Należy przetestować system, aby upewnić się, że obowiązkowe zmiany ustawień nie będą zakłócać dostępu do kont dla tych uprzywilejowanych grup użytkowników.
Członkowie grupy Chronieni użytkownicy mogą uwierzytelniać się tylko przy użyciu protokołu Kerberos z zaawansowanymi standardami szyfrowania (AES). Ta metoda wymaga kluczy AES dla konta w usłudze Active Directory. Wbudowany administrator nie ma klucza AES, chyba że hasło domeny z systemem Windows Server 2008 lub nowszym ulegnie zmianie. Każde konto, które ma swoje hasło zmienione przez kontroler domeny z uruchomioną wcześniejszą wersją systemu Windows Server, jest zablokowane z uwierzytelniania.
Aby uniknąć blokad i brakujących kluczy AES, zalecamy wykonanie następujących wskazówek:
Nie uruchamiaj testów w domenach, chyba że wszystkie kontrolery domeny działają w systemie Windows Server 2008 lub nowszym.
Jeśli przeprowadzono migrację kont z innych domen, musisz zresetować hasło, aby konta miały skróty AES. W przeciwnym razie te konta będą mogły uwierzytelnić się.
Użytkownicy muszą zmienić hasła po przełączeniu na poziom funkcjonalności domeny systemu Windows Server 2008 lub nowszego. Gwarantuje to, że mają skróty haseł AES, gdy staną się członkami grupy Chronieni użytkownicy.
Właściwości grupy Chronieni Użytkownicy w AD
W poniższej tabeli określono właściwości usługi Active Directory grupy Chronieni użytkownicy.
| Atrybut | Wartość |
|---|---|
| Powszechnie znany SID/RID | S-1-5-21-<domena>-525 |
| Typ | Domena globalna |
| Kontener domyślny | CN=Users, DC=<domena>, DC = |
| Domyślni członkowie | Żaden |
| Domyślny członek | Żaden |
| Chronione przez ADMINSDHOLDER? | Nie. |
| Czy przeniesienie się z domyślnego kontenera jest bezpieczne? | Tak |
| Czy bezpiecznie delegować zarządzanie tą grupą administratorom, którzy nie należą do działu usług? | Nie. |
| Domyślne prawa użytkownika | Brak domyślnych praw użytkownika |
Dzienniki zdarzeń
Dostępne są dwa operacyjne dzienniki administracyjne ułatwiające rozwiązywanie problemów ze zdarzeniami związanymi z chronionymi użytkownikami. Te nowe dzienniki znajdują się w Podglądzie zdarzeń i są domyślnie wyłączone i znajdują się w Dzienniki aplikacji i usług\Microsoft\Windows\Authentication.
Aby umożliwić przechwytywanie tych dzienników:
Kliknij prawym przyciskiem myszy Start, a następnie wybierz pozycję Podgląd zdarzeń.
Otwórz dzienniki aplikacji i usług \Microsoft\Windows\Authentication.
Dla każdego dziennika, który chcesz włączyć, kliknij prawym przyciskiem myszy nazwę dziennika, a następnie wybierz Włącz dziennik.
| Identyfikator zdarzenia i dziennik | Opis |
|---|---|
| 104 ProtectedUser-Client |
Przyczyna: pakiet zabezpieczeń na kliencie nie zawiera poświadczeń. Błąd jest rejestrowany na komputerze klienckim, gdy konto jest członkiem grupy zabezpieczeń Chronieni użytkownicy. To zdarzenie wskazuje, że pakiet zabezpieczeń nie buforuje poświadczeń wymaganych do uwierzytelnienia na serwerze. Wyświetla nazwę pakietu, nazwę użytkownika, nazwę domeny i nazwę serwera. |
| 304 ProtectedUser-Client |
Przyczyna: Pakiet zabezpieczeń nie przechowuje poświadczeń chronionego użytkownika. Zdarzenie informacyjne jest rejestrowane w kliencie, aby wskazać, że pakiet zabezpieczeń nie buforuje poświadczeń logowania użytkownika. Oczekuje się, że WDigest, Delegacja Poświadczeń (CredSSP) i NTLM nie powinny mieć poświadczeń logowania chronionych użytkowników. Aplikacje mogą nadal odnieść sukces, jeśli proszą o poświadczenia. Wyświetla nazwę pakietu, nazwę użytkownika i nazwę domeny. |
| 100 NiepowodzeniaChronionegoUżytkownika-KontrolerDomeny |
Przyczyna: Wystąpił błąd logowania NTLM dla konta, które znajduje się w grupie zabezpieczeń Chronieni użytkownicy. W kontrolerze domeny jest rejestrowany błąd wskazujący, że uwierzytelnianie NTLM nie powiodło się, ponieważ konto było członkiem grupy zabezpieczeń Chronieni użytkownicy. Wyświetla nazwę konta i nazwę urządzenia. |
| 104 NiepowodzeniaChronionegoUżytkownika-KontrolerDomeny |
Przyczyna: Typy szyfrowania DES lub RC4 są używane do uwierzytelniania Kerberos, a błąd logowania występuje dla użytkownika w grupie zabezpieczeń Chronionego użytkownika. Wstępne uwierzytelnianie Kerberos nie powiodło się, ponieważ nie można używać typów szyfrowania DES i RC4, gdy konto jest członkiem grupy zabezpieczeń Chronieni użytkownicy. (AES jest akceptowalna). |
| 303 SukcesyChronionegoUżytkownika-DomainController |
Przyczyna: Bilet przyznania usług (TGT) Protokołu Kerberos został pomyślnie wystawiony dla członka grupy Chronionych użytkowników. |