Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье для ИТ-специалистов рассматриваются функции и методы, представленные в Windows Server 2012 R2 и Windows 8.1 для защиты учетных данных и элементов управления проверкой подлинности домена для уменьшения кражи учетных данных.
Ограниченный административный режим для подключения к удаленному рабочему столу
Ограниченный административный режим позволяет устанавливать интерактивное подключение к удаленному серверу без передачи на него своих учетных данных. В случае взлома сервера это предотвращает раскрытие учетных данных при изначальном подключении.
Используя этот режим с учетными данными администратора, клиент удаленного рабочего стола пытается выполнить интерактивный вход на хост, также поддерживающий этот режим, без отправки учетных данных. После успешной проверки прав администратора и поддержки ограниченного административного режима для учетной записи подключающегося пользователя происходит установка соединения. В противном случае попытка подключения терпит неудачу. При использовании ограниченного административного режима ни при каких условиях не происходит отправка на удаленные компьютеры учетных данных в виде обычного текста или в других доступных для использования формах.
LSA protection
Локальная система безопасности (LSA), входящая в службу LSASS, проверяет пользователей во время локального и удаленного входа и применяет локальные политики безопасности. Операционная система Windows 8.1 обеспечивает дополнительную защиту для LSA, чтобы предотвратить внедрение кода незащищенными процессами. Это усиливает безопасность учетных данных, которые хранит LSA и которыми управляет LSA. Этот защищенный параметр процесса для LSA можно настроить в Windows 8.1, но по умолчанию включен в Windows RT 8.1 и не может быть изменен.
Сведения о настройке защиты LSA см. в разделе Configuring Additional LSA Protection.
Группа безопасности "Защищенные пользователи"
Эта новая глобальная группа домена активирует новую не настраиваемую защиту на устройствах и узлах под управлением Windows Server 2012 R2 и Windows 8.1. Группа "Защищенные пользователи" обеспечивает дополнительную защиту для контроллеров домена и доменов в доменах Windows Server 2012 R2. Это позволяет существенно уменьшить количество типов учетных данных, доступных при подключении пользователей к компьютерам сети с помощью устройства, которое не было взломано.
На членов группы "Защищенные пользователи" накладываются ограничения следующих методов проверки подлинности.
Члены группы "Защищенные пользователи" могут войти в систему только при помощи протокола Kerberos. Учетная запись не может пройти проверку подлинности с помощью NTLM, дайджест-проверки или CredSSP. На устройстве под управлением Windows 8.1 пароли не кэшируются, поэтому устройство, использующее любой из этих поставщиков поддержки безопасности (SSPS), не сможет пройти проверку подлинности в домене, когда учетная запись является членом группы защищенных пользователей.
В процессе предварительной проверки подлинности протоколом Kerberos не будут использоваться менее надежные способы шифрования DES и RC4. Это означает, что домен должен как минимум быть настроен на поддержку наборов шифров AES.
Учетная запись пользователя не может быть делегирована с помощью ограниченного или неограниченного делегирования Kerberos. Это означает, что если компьютер входит в группу "Защищенные пользователи", старые подключения к другим системам могут выйти из строя.
Время действия билетов на выдачу билетов Kerberos по умолчанию, составляющее 4 часа, можно изменить, используя политики проверки подлинности и силосы, доступные через Центр администрирования Active Directory (ADAC). Это означает, что по прошествии четырех часов пользователю необходимо снова пройти аутентификацию.
Warning
Учетные записи служб и компьютеров не должны входить в группу защищенных пользователей. Это группа не предоставляет локальной защиты, поскольку пароль или сертификат всегда доступен на узле. Проверка подлинности завершится ошибкой "имя пользователя или пароль неверный" для любой службы или компьютера, добавляемого в группу защищенных пользователей.
Дополнительные сведения об этой группе см. в разделе Protected Users Security Group.
Политика проверки подлинности и сектора политик проверки подлинности
Вводятся политики Active Directory, основанные на лесу, и их можно применять к учетным записям в домене с функциональным уровнем домена Windows Server 2012 R2. Эти политики проверки подлинности могут управлять тем, какие узлы используют пользователи для входа. Они работают совместно с группой безопасности "Защищенные пользователи", и администраторы могут применить условия контроля доступа для аутентификации к учетным записям. Эти политики проверки подлинности изолируют соответствующие учетные записи и ограничивают для них доступную область сети.
Новый класс объектов Active Directory, политика проверки подлинности, позволяет применять конфигурацию проверки подлинности к классам учетных записей в доменах с функциональным уровнем домена Windows Server 2012 R2. Политики аутентификации применяются при обмене сообщениями Kerberos AS или TGS. Классы учетных записей Active Directory.
User
Computer
Управляемая учетная запись службы
Учетная запись управляемой группой службы
Дополнительные сведения см. в разделе Authentication Policies and Authentication Policy Silos.
Дополнительные сведения о настройке защиты учетных записей см. в разделе How to Configure Protected Accounts.
Additional References
Дополнительные сведения о LSA и LSASS см. в разделе Технический обзор входа в Windows и проверки подлинности.