Политики аутентификации и приемники команд политик аутентификации
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этом разделе для ИТ-специалистов описываются приемники команд политик проверки подлинности и политики, которые могут заключить учетную запись в подобные приемники. Кроме того, объясняется использование политик проверки подлинности для ограничения области действия учетных записей.
Приемники команд политик проверки подлинности и сопутствующие политики помогают включить высокопривилегированные учетные данные в системы, актуальные лишь для определенных пользователей, компьютеров или служб. Приемники команд можно задать, а также управлять ими с помощью доменных служб Active Directory (AD DS), используя центр администрирования и командлеты Windows PowerShell для Active Directory.
Приемники команд политик проверки подлинности — это контейнеры, которым администраторы могут присваивать учетные записи пользователей, компьютеров и служб. Набором учетных записей можно управлять при помощи политик проверки подлинности, используемых в конкретном контейнере. Это снижает необходимость отслеживания администратором доступа отдельных учетных записей к ресурсам и помогает избежать доступа пользователей-злоумышленников к другим ресурсам с помощью кражи учетных данных.
Возможности, представленные в Windows Server 2012 R2, позволяют создавать оси политики проверки подлинности, в которых размещен набор пользователей с высоким уровнем привилегий. После этого вы можете назначить для каждого контейнера политики проверки подлинности, чтобы ограничить использование привилегированных учетных записей в домене. Когда учетные записи принадлежат группе безопасности "Защищенные пользователи", применяются дополнительные средства управления, такие как исключительное использование протокола Kerberos.
Благодаря этим возможностям вы можете ограничить использование ценных учетных записей ценными узлами. Например, вы можете создать новый приемник команд для администраторов леса, включающий администраторов предприятия, схемы и домена. После этого вы можете назначить приемнику команд политику проверки подлинности, блокирующую системы, отличные от контроллеров домена и консолей администрирования, при этом использующие для проверки подлинности пароль или смарт-карту.
Подробную информацию о настройке приемников команд и соответствующих политик проверки подлинности см. в разделе How to Configure Protected Accounts.
Приемники команд политик проверки подлинности
Приемник команд определяет для входящих в него учетных записей ограничения, а также используемые политики проверки подлинности. Вы можете создать приемник команд, основываясь на требованиях вашей организации. Приемники команд представляют собой объекты Active Directory для пользователей, компьютеров и услуг, определяемые приведенной в следующей таблице схемой.
Схема Active Directory для силосов политик проверки подлинности
| Отображаемое имя | Description |
|---|---|
| Приемник команд политик проверки подлинности | Экземпляр этого класса определяет политики проверки подлинности и выполняемые действия для соответствующих пользователей, компьютеров и служб. |
| Приемники команд политик проверки подлинности | Контейнер этого класса может включать объекты приемников команд политик проверки подлинности. |
| Приемник команд политик проверки подлинности включен | Определяет, включен ли приемник команд политик проверки подлинности. Когда приемник не включен, политика по умолчанию находится в режиме аудита. Генерируются события, отражающие возможность успеха или неудачи, но защита к системе не применяется. |
| Назначенные обратные ссылки приемника команд политик проверки подлинности | Этот атрибут представляет собой обратную ссылку для msDS-AssignedAuthNPolicySilo. |
| Члены приемника команд политик проверки подлинности | Указывает, какие субъекты назначены для приемника команд. |
| Обратные ссылки членов приемника команд политик проверки подлинности | Этот атрибут представляет собой обратную ссылку для msDS-AuthNPolicySiloMembers. |
Приемники команд политик проверки подлинности можно настроить с помощью консоли администрирования Active Directory или Windows PowerShell. Дополнительные сведения см. в разделе How to Configure Protected Accounts.
Политики проверки подлинности
Политика проверки подлинности определяет время жизни билета предоставления билета (TGT) протокола Kerberos, а также условия управления проверкой подлинности и доступом для разных типов учетных записей. Политики основываются на контейнерах доменных служб Active Directory, которые называются приемниками команд политик проверки подлинности, а также позволяют управлять ими.
Политики проверки подлинности управляют следующими параметрами.
Непродлеваемое время жизни TGT для учетных записей.
Критерии, которым должны удовлетворять учетные записи устройств для установки соединения с помощью пароля или сертификата.
Критерии, которым должны удовлетворять пользователи и устройства, чтобы пройти проверку подлинности служб, работающих в составе учетной записи.
Тип учетной записи Active Directory определяет роль вызывающего объекта следующим образом:
Пользователь
Пользователь должен обязательно входить в группу безопасности "Защищенные пользователи", что по умолчанию блокирует попытки пройти проверку подлинности с помощью протокола NTLM.
С помощью настройки политик можно уменьшить время существования TGT учетной записи пользователя или ограничить устройства, к которым он способен подключиться. Доступны широкие возможности настройки политик проверки подлинности для управления критериями подключения пользователей и их устройств к службе.
Дополнительные сведения см. в разделе Protected Users Security Group.
Служба
Изолированные управляемые учетные записи служб, групповые управляемые учетные записи служб или произвольные объекты учетных записей, являющиеся производными этих двух типов. Политики могут задать условия управления доступом устройства, которые используются для ограничения учетных данных управляемой учетной записи службы определенным устройствам с удостоверением Active Directory. Службы не должны входить в группу безопасности "Защищенные пользователи", поскольку в этом случае все входящие попытки пройти проверку подлинности потерпят неудачу.
Компьютер
Используется объект учетной записи компьютера или произвольной учетной записи, являющийся производным от объекта учетной записи компьютера. С помощью политик можно установить условия управления доступом, которые необходимы для разрешения проверки подлинности учетной записи на основе параметров пользователя и устройства. Компьютеры не должны входить в группу безопасности "Защищенные пользователи", поскольку в этом случае все входящие попытки пройти проверку подлинности потерпят неудачу. По умолчанию попытки проверки подлинности с помощью протокола NTLM отклоняются. Для учетной записи компьютера не следует настраивать время жизни TGT.
Примечание.
Также возможно настроить политику проверки подлинности для нескольких учетных записей, не связывая ее с приемником команд. Вы можете использовать эту стратегию, если вам требуется защитить лишь одну учетную запись.
Схема Active Directory для политик проверки подлинности
Политики для объектов Active Directory, управляющие пользователями, компьютерами и службами, определяются схемой, представленной в следующей таблице.
| Тип | Отображаемое имя | Description |
|---|---|---|
| Политика | Политика проверки подлинности | Экземпляр этого класса определяет политики проверки подлинности для соответствующих субъектов. |
| Политика | Политики проверки подлинности | Контейнер этого класса может включать объекты политик проверки подлинности. |
| Политика | Политика проверки подлинности включена | Определяет, включена ли политика проверки подлинности. Если политика выключена, по умолчанию она находится в режиме аудита. Генерируются события, отражающие возможность успеха или неудачи, но защита к системе не применяется. |
| Политика | Назначенная обратная ссылка политики проверки подлинности | Этот атрибут представляет собой обратную ссылку для msDS-AssignedAuthNPolicy. |
| Политика | Назначенная политика проверки подлинности | Определяет, какая политика проверки подлинности должна применяться к данному субъекту. |
| User | Политика проверки подлинности пользователя | Определяет, какая политика проверки подлинности должна применяться к пользователям, связанным с этим объектом приемника команд. |
| User | Обратная ссылка политики проверки подлинности пользователя | Этот атрибут представляет собой обратную ссылку для msDS-UserAuthNPolicy. |
| User | ms-DS-User-Allowed-To-Authenticate-To | Этот атрибут используется для определения набора субъектов, которым разрешается прохождение проверки подлинности для подключения к службе, запущенной из учетной записи пользователя. |
| User | ms-DS-User-Allowed-To-Authenticate-From | Этот атрибут используется для определения набора устройств, на подключение к которым учетная запись пользователя располагает разрешением. |
| User | Время действия пользовательских TGT | Определяет максимальный срок действия билетов предоставления билетов Kerberos, выдаваемых пользователю (в секундах). Полученные в итоге TGT нельзя продлить |
| Компьютер | Политика проверки подлинности компьютера | Определяет, какая политика проверки подлинности должна применяться к компьютерам, связанным с этим объектом приемника команд. |
| Компьютер | Обратная ссылка политики проверки подлинности компьютера | Этот атрибут представляет собой обратную ссылку для msDS-ComputerAuthNPolicy. |
| Компьютер | ms-DS-Computer-Allowed-To-Authenticate-To | Этот атрибут используется для определения набора субъектов, которым разрешается прохождение проверки подлинности для подключения к службе, запущенной из учетной записи компьютера. |
| Компьютер | Время жизни TGT компьютера | Определяет максимальный срок действия билетов предоставления билетов Kerberos, выдаваемых компьютеру (в секундах). Изменять этот параметр не рекомендуется. |
| Service | Политика проверки подлинности службы | Определяет, какая политика проверки подлинности должна применяться к службам, связанным с этим объектом приемника команд. |
| Service | Обратная ссылка политики проверки подлинности службы | Этот атрибут представляет собой обратную ссылку для msDS-ServiceAuthNPolicy. |
| Service | ms-DS-Service-Allowed-To-Authenticate-To | Этот атрибут используется для определения набора субъектов, которым разрешается проверка подлинности для подключения к службе, запущенной из учетной записи службы. |
| Service | ms-DS-Service-Allowed-To-Authenticate-From | Этот атрибут используется для определения набора устройств, на подключение к которым учетная запись службы располагает разрешением. |
| Service | Время жизни TGT службы | Определяет максимальный срок действия билетов предоставления билетов Kerberos, выдаваемых службе (в секундах). |
Политики проверки подлинности можно настроить для каждого приемника команд с помощью консоли администрирования Active Directory или Windows PowerShell. Дополнительные сведения см. в разделе How to Configure Protected Accounts.
Как это работает
В этом разделе описан принцип действия политик проверки подлинности и их приемников команд совместно с группой безопасности "Защищенные пользователи", а также реализация протокола Kerberos в Windows.
Защищенные учетные записи
Группа безопасности защищенных пользователей активирует не настраиваемую защиту на устройствах и узлах под управлением Windows Server 2012 R2 и Windows 8.1, а также на контроллерах домена в доменах с основным контроллером домена под управлением Windows Server 2012 R2. В зависимости от режима работы домена учетной записи, члены группы безопасности "Защищенные пользователи" подвергаются дополнительной защите благодаря изменениям в способах проверки подлинности, поддерживаемых Windows.
Члены группы безопасности "Защищенные пользователи" не могут пройти проверку подлинности с помощью NTLM, дайджест-проверки или CredSSP. На устройстве под управлением Windows 8.1, использующего любой из этих поставщиков поддержки безопасности (SSPS), проверка подлинности в домене завершится ошибкой, когда учетная запись входит в группу безопасности защищенных пользователей.
В процессе предварительной проверки подлинности протоколом Kerberos не будут использоваться менее надежные способы шифрования DES и RC4. Это означает, что домен должен быть как минимум настроен на поддержку шифрования AES.
Учетная запись пользователя не может быть делегирована с помощью ограниченного или неограниченного делегирования Kerberos. Это означает, что если компьютер входит в группу безопасности "Защищенные пользователи", старые подключения к другим системам могут выйти из строя.
Время жизни билетов предоставления билетов Kerberos по умолчанию, составляющее 4 часа, можно изменить при помощи политик проверки подлинности и приемников команд через Центр администрирования Active Directory. Настройки по умолчанию означают, что по прошествии четырех часов пользователь должен снова пройти проверку подлинности.
Дополнительные сведения об этой группе безопасности см. в разделе How the Protected Users group works.
Политики силосов и проверки подлинности
Политики проверки подлинности и приемники команд используют существующую инфраструктуру проверки подлинности Windows. Вместо протокола NTLM используется протокол Kerberos с более новыми способами шифрования. Политики проверки подлинности позволяют дополнить группу безопасности "Защищенные пользователи", позволяя настроить ограничения учетных записей, а также ограничивая учетные записи служб и компьютеров. Политики проверки подлинности применяются при обмене Kerberos типа AS и TGS. Подробную информацию об использовании протокола Kerberos в Windows и нововведениях, реализованных для поддержки политик проверки подлинности и приемников команд, см. в разделах
Как работает протокол проверки подлинности Kerberos версии 5
Изменения в проверке подлинности Kerberos (Windows Server 2008 R2 и Windows 7)
Использование протокола Kerberos с политиками проверки подлинности и приемниками команд
Если учетная запись в домене привязана к приемнику команд политик проверки подлинности, и пользователь выполняет вход, диспетчер учетных записей безопасности добавляет утверждение, значением которого служит приемник команд. Это утверждение позволяет учетной записи получить доступ к целевому приемнику команд.
Если политика проверки подлинности используется, и контроллер домена получает запрос на проверку подлинности от учетной записи домена, он возвращает непродлеваемый TGT с установленным временем жизни (если время жизни TGT в домене не короче).
Примечание.
Должно быть настроено время жизни TGT для учетной записи домена, которая должна связываться с политикой либо напрямую, либо косвенно через принадлежность к приемнику команд.
Если политика проверки подлинности находится в режиме аудита, и контроллер домена получает запрос на проверку подлинности от учетной записи домена, контроллером домена проверяется возможность этой операции для используемого устройства. В случае ошибки в журнале может быть создано предупреждение. Политика проверки подлинности в режиме аудита не влияет на результат, поэтому запросы на проверку подлинности не будут отклонены, если они не отвечают требованиям политики.
Примечание.
Учетная запись домена должна быть связана с политикой либо напрямую, либо косвенно через принадлежность к приемнику команд.
Если политика проверки подлинности применяется, служба проверки подлинности защищена, и контроллер домена получает запрос на проверку подлинности от учетной записи домена, контроллером домена проверяется возможность этой операции для используемого устройства. В случае неудачи контроллер домена возвращает сообщение об ошибке и создает соответствующую запись в журнале.
Примечание.
Учетная запись домена должна быть связана с политикой либо напрямую, либо косвенно через принадлежность к приемнику команд.
Если политика проверки подлинности находится в режиме аудита, а запрос на предоставление билетов получается контроллером домена для учетной записи домена, контроллер домена проверка, если проверка подлинности разрешена на основе данных сертификата атрибута привилегий запроса (PAC), и записывает предупреждение, если это не удается. PAC содержит различные данные для проверки подлинности, включая информацию о группах, в которых состоит пользователь, его права, а также политики, которым он подчиняется. Эта информация используется для создания маркера доступа пользователя. Если это политика принудительной проверки подлинности, которая разрешает проверку подлинности пользователю, устройству или службе, контроллер домена проверка, если проверка подлинности разрешена на основе данных PAC запроса. В случае неудачи контроллер домена возвращает сообщение об ошибке и создает соответствующую запись в журнале.
Примечание.
Учетная запись домена должна быть либо напрямую, либо через принадлежность к приемнику команд связана с политикой проверки подлинности, которая находится в режиме аудита и разрешает проверку подлинности пользователю, устройству или службе.
Вы можете использовать одну политику проверки подлинности для всех членов приемника команд или же назначить отдельные политики для учетных записей пользователей, компьютеров и управляемых служб.
Политики проверки подлинности можно настроить для каждого приемника команд с помощью консоли администрирования Active Directory или Windows PowerShell. Дополнительные сведения см. в разделе How to Configure Protected Accounts.
Принципы ограничения пользовательского доступа
Поскольку политики проверки подлинности применяются к учетным записям, они также распространяются на учетные записи, используемые службами. Если вы желаете ограничить использование пароля службой для конкретных узлов, могут быть полезны определенные настройки. Например, для групповых управляемых учетных записей служб можно задать, в каких случаях узлам разрешается получать пароль от доменных служб Active Directory. Тем не менее этот пароль может использоваться для начальной проверки подлинности любого узла. С помощью условий управления доступом можно повысить степень защиты, разрешив получение пароля лишь определенными узлами.
При подключении служб от имени системы, сетевой службы или другого локального удостоверения службы к сетевым службам они используют учетную запись компьютера узла. Учетные записи компьютеров нельзя ограничить. Поэтому, даже если службой используется учетная запись компьютера для узла, не работающего под управлением Windows, ограничения невозможны.
Для ограничения входа пользователя на определенные узлы требуется контроллер домена для проверки удостоверения узла. При использовании проверки подлинности Kerberos с защитой Kerberos (входящую в динамический контроль доступа), в центр распределения ключей предоставляется TGT узла, с которого пользователь проходит проверку подлинности. Содержание этого защищенного TGT используется для проверки доступа, чтобы определить возможность подключения узла.
Когда пользователь входит в Windows или вводит учетные данные домена при запросе приложения, по умолчанию Windows посылает на контроллер домена незащищенное сообщение AS-REQ. Если пользователь посылает запрос с компьютера, не поддерживающего защиту, например, компьютера под управлением Windows 7 или Windows Vista, запрос терпит неудачу.
Процесс выглядит следующим образом.
Контроллер домена в домене под управлением Windows Server 2012 R2 запрашивает учетную запись пользователя и определяет, настроена ли она с помощью политики проверки подлинности, которая ограничивает начальную проверку подлинности, требующую бронированных запросов.
Контроллер домена отклоняет запрос.
Так как требуется защита, пользователь может попытаться войти с помощью компьютера под управлением Windows 8.1 или Windows 8, который поддерживает защиту Kerberos, чтобы повторить процесс входа.
Windows обнаруживает, что домен поддерживает защиту Kerberos, и посылает защищенное сообщение AS-REQ для повторения запроса подключения.
Контроллер домена выполняет проверка доступа с помощью настроенных условий управления доступом и удостоверений клиентской операционной системы в TGT, который использовался для защиты запроса.
Если проверка доступа терпит неудачу, контроллер домена отклоняет запрос.
Даже если операционная система поддерживает защиту Kerberos, могут использоваться требования управления доступом, которые должны быть выполнены для установки подключения. Пользователи входят в Windows или вводят свои учетные данные домена при запросе приложением. По умолчанию Windows посылает контроллеру домена незащищенное сообщение AS-REQ. Если пользователь отправляет запрос с компьютера, поддерживающего защиту, например Windows 8.1 или Windows 8, политики проверки подлинности оцениваются следующим образом:
Контроллер домена в домене под управлением Windows Server 2012 R2 запрашивает учетную запись пользователя и определяет, настроена ли она с помощью политики проверки подлинности, которая ограничивает начальную проверку подлинности, требующую бронированных запросов.
Контроллер домена выполняет проверка доступа с помощью настроенных условий управления доступом и сведений об удостоверениях системы в TGT, который используется для защиты запроса. Проверка доступа проходит успешно.
Примечание.
Если ранее были установлены какие-либо ограничения рабочей группы, они также будут функционировать.
Контроллер домена отправляет защищенное ответное сообщение (AS-REP), и проверка подлинности продолжается.
Принципы ограничения выдачи билетов служб
Если учетная запись не разрешена, и пользователь, имеющий TGT, пытается подключиться к службе (например, открыв приложение, требующее аутентификацию в службе, которая определяется именем субъекта-службы( SPN), происходит следующая последовательность:
При попытке SPN подключиться к SPN1, Windows посылает доменному контроллеру, запрашивающему билет службы у SPN1, сообщение TGS-REQ.
Контроллер домена в домене под управлением Windows Server 2012 R2 ищет spN1, чтобы найти учетную запись служб домен Active Directory для службы и определяет, что учетная запись настроена с политикой проверки подлинности, которая ограничивает выдачу билетов на обслуживание.
Контроллер домена выполняет проверка доступа с помощью настроенных условий управления доступом и удостоверений пользователя в TGT. Проверка доступа терпит неудачу.
Контроллер домена отклоняет запрос.
Если учетная запись разрешена, так как учетная запись соответствует условиям управления доступом, заданным политикой проверки подлинности, и пользователь, имеющий TGT, пытается подключиться к службе (например, открыв приложение, требующее проверки подлинности в службе, которая определяется поставщиком службы), происходит следующая последовательность:
При попытке подключения к SPN1 Windows посылает доменному контроллеру, запрашивающему билет службы у SPN1, сообщение TGS-REQ.
Контроллер домена в домене под управлением Windows Server 2012 R2 ищет spN1, чтобы найти учетную запись служб домен Active Directory для службы и определяет, что учетная запись настроена с политикой проверки подлинности, которая ограничивает выдачу билетов на обслуживание.
Контроллер домена выполняет проверка доступа с помощью настроенных условий управления доступом и удостоверений пользователя в TGT. Проверка доступа проходит успешно.
Контроллер домена отвечает на запрос при помощи сообщения службы предоставления билетов (TGS-REP).
Сообщения о возможных ошибках и событиях
В следующей таблице описываются события, связанные с группой безопасности "Защищенные пользователи" и политиками проверки подлинности, используемыми для приемников команд.
Эти события фиксируются в журналах приложений и служб, расположенных по адресу Майкрософт\Windows\Проверка подлинности.
Для устранения неполадок с помощью этих событий см. разделы Troubleshoot Authentication Policies и Troubleshoot events related to Protected Users.
| Идентификатор события и журнал | Description |
|---|---|
| 101 AuthenticationPolicyFailures-DomainController |
Причина: ошибка подключения при помощи протокола NTLM из-за настроек политики проверки подлинности. Событие фиксируется на контроллере домена, чтобы указать, что проверка подлинности с помощью NTLM оказалась неудачной, поскольку требуются ограничения управления доступом, которые не могут применяться для NTLM. Отображаются имена учетной записи, устройства, политики и приемника команд. |
| 105 AuthenticationPolicyFailures-DomainController |
Причина: отклонение из-за ограничений Kerberos произошло, потому что проверка подлинности не была разрешена для конкретного устройства. Событие фиксируется на контроллере домена, чтобы указать, что билет предоставления билетов Kerberos был отклонен, поскольку устройство не соответствует установленным ограничениям управления доступом. Отображаются имена учетной записи, устройства, политики и приемника команд, а также время жизни TGT. |
| 305 AuthenticationPolicyFailures-DomainController |
Причина: отклонение из-за ограничений Kerberos могло произойти, потому что не была разрешена проверка подлинности для конкретного устройства. В режиме аудита информация о событии фиксируется на контроллере домена, чтобы определить, был ли отклонен билет предоставления билета Kerberos из-за несоответствия устройства ограничениям управления доступом. Отображаются имена учетной записи, устройства, политики и приемника команд, а также время жизни TGT. |
| 106 AuthenticationPolicyFailures-DomainController |
Причина: отклонение из-за ограничений Kerberos могло произойти, потому что устройству пользователя не была разрешена проверка подлинности для подключения к серверу. Событие фиксируется на контроллере домена, чтобы указать, что билет службы Kerberos был отклонен, поскольку пользователь или устройство не соответствует установленным ограничениям управления доступом. Отображаются имена устройства, политики и приемника команд. |
| 306 AuthenticationPolicyFailures-DomainController |
Причина: отклонение из-за ограничений Kerberos могло произойти, потому что устройству пользователя не была разрешена проверка подлинности для подключения к серверу. В режиме аудита информация о событии фиксируется на контроллере домена, чтобы указать, что билет службы Kerberos будет отклонен, поскольку пользователь или устройство не соответствует ограничениям управления доступом. Отображаются имена устройства, политики и приемника команд. |
Дополнительные справочники
Настройка защищенных учетных записей