Защита учетных данных и управление ими

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

В этой статье для ИТ-специалистов рассматриваются функции и методы, представленные в Windows Server 2012 R2 и Windows 8.1 для защиты учетных данных и элементов управления проверкой подлинности домена для уменьшения кражи учетных данных.

Ограниченный административный режим для подключения к удаленному рабочему столу

Ограниченный административный режим позволяет устанавливать интерактивное подключение к удаленному серверу без передачи на него своих учетных данных. В случае взлома сервера это предотвращает раскрытие учетных данных при изначальном подключении.

Используя этот режим для защиты учетных данных администратора, клиент удаленного рабочего стола предпринимает попытку интерактивного подключения к главному компьютеру, также поддерживающему этот режим. После успешной проверки прав администратора и поддержки ограниченного административного режима для учетной записи подключающегося пользователя происходит установка соединения. В противном случае попытка подключения терпит неудачу. При использовании ограниченного административного режима ни при каких условиях не происходит отправка на удаленные компьютеры учетных данных в виде обычного текста или в других доступных для использования формах.

Защита LSA

Локальная система безопасности (LSA), входящая в службу LSASS, проверяет пользователей во время локального и удаленного входа и применяет локальные политики безопасности. Операционная система Windows 8.1 обеспечивает дополнительную защиту для LSA, чтобы предотвратить внедрение кода незащищенными процессами. Это усиливает безопасность учетных данных, которые хранит LSA и которыми управляет LSA. Этот защищенный параметр процесса для LSA можно настроить в Windows 8.1, но по умолчанию включен в Windows RT 8.1 и не может быть изменен.

Сведения о настройке брандмауэра см. в разделе Configuring Additional LSA Protection.

Группа безопасности "Защищенные пользователи"

Эта новая глобальная группа домена активирует новую не настраиваемую защиту на устройствах и узлах под управлением Windows Server 2012 R2 и Windows 8.1. Группа "Защищенные пользователи" обеспечивает дополнительную защиту для контроллеров домена и доменов в доменах Windows Server 2012 R2. Это позволяет существенно уменьшить количество типов учетных данных, доступных при подключении пользователей к компьютерам сети с помощью устройства, которое не было взломано.

На членов группы "Защищенные пользователи" накладываются ограничения следующих методов проверки подлинности.

  • Члены группы "Защищенные пользователи" могут устанавливать подключение только при помощи протокола Kerberos. Учетная запись не может пройти проверку подлинности с помощью NTLM, дайджест-проверки или CredSSP. На устройстве под управлением Windows 8.1 пароли не кэшируются, поэтому устройство, использующее любой из этих поставщиков поддержки безопасности (SSPS), не сможет пройти проверку подлинности в домене, когда учетная запись является членом группы защищенных пользователей.

  • В процессе предварительной проверки подлинности протоколом Kerberos не будут использоваться менее надежные способы шифрования DES и RC4. Это означает, что домен должен как минимум быть настроен на поддержку наборов шифров AES.

  • Учетная запись пользователя не может быть делегирована с помощью ограниченного или неограниченного делегирования Kerberos. Это означает, что если компьютер входит в группу "Защищенные пользователи", старые подключения к другим системам могут выйти из строя.

  • Время действия билетов предоставления билетов Kerberos по умолчанию, составляющее 4 часа, можно изменить в настройках политик проверки подлинности и приемников команд в центре администрирования Active Directory. Настройки по умолчанию означают, что по прошествии четырех часов пользователь должен снова пройти проверку подлинности.

Предупреждение

Учетные записи служб и компьютеров не должны входить в группу защищенных пользователей. Это группа не предоставляет локальной защиты, поскольку пароль или сертификат всегда доступен на узле. Проверка подлинности завершится ошибкой "имя пользователя или пароль неверный" для любой службы или компьютера, добавляемого в группу защищенных пользователей.

Дополнительные сведения об этой группе см. в разделе Protected Users Security Group.

Политика проверки подлинности и приемники команд политик проверки подлинности

Вводятся политики Active Directory на основе леса, и их можно применять к учетным записям в домене с функциональным уровнем домена Windows Server 2012 R2. Эти политики проверки подлинности могут управлять тем, какие узлы используют пользователи для входа. Политики функционируют совместно с группой безопасности "Защищенные пользователи", и для проверки подлинности этих учетных записей администраторы могут применить условия контроля доступа. Эти политики проверки подлинности изолируют соответствующие учетные записи и ограничивают для них доступную область сети.

Новый класс объектов Active Directory, политика проверки подлинности, позволяет применять конфигурацию проверки подлинности к классам учетных записей в доменах с функциональным уровнем домена Windows Server 2012 R2. Политики проверки подлинности применяются при обмене Kerberos типа AS и TGS. Классы учетных записей Active Directory.

  • User

  • Компьютер

  • Управляемая учетная запись службы

  • Групповая управляемая учетная запись службы

Дополнительные сведения см. в разделе Authentication Policies and Authentication Policy Silos.

Дополнительные сведения о настройке защиты учетных записей см. в разделе How to Configure Protected Accounts.

Дополнительные справочники

Дополнительные сведения о соглашениях LSA и LSASS см. в разделе Обзор входа в Windows и проверки подлинности.