Группа безопасности "Защищенные пользователи"

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

В этом разделе для ИТ-специалистов описывается группа безопасности Active Directory "Защищенные пользователи" и объясняются принципы ее работы. Эта группа появилась в Windows Server 2012 контроллерах домена R2.

Обзор

Эта группа безопасности разработана в рамках стратегии управления раскрытием учетных данных на предприятии. К учетным записям членов этой группы автоматически применяются ненастраиваемые функции защиты. По умолчанию предполагается, что членство в группе защищенных пользователей накладывает определенные ограничения и обеспечивает профилактическую защиту. Единственный способ изменить вышеуказанные функции защиты для учетной записи — удалить учетную запись из этой группы безопасности.

Предупреждение

Учетные записи служб и компьютеров никогда не должны быть членами группы "Защищенные пользователи". Эта группа в любом случае обеспечивает неполную защиту, так как пароль или сертификат всегда доступен на узле. Проверка подлинности завершится ошибкой "Неправильное имя пользователя или пароль" для любой службы или компьютера, добавленного в группу "Защищенные пользователи".

Эта связанная с доменом глобальная группа активирует ненастраиваемую защиту на устройствах и ведущих компьютерах под управлением Windows Server 2012 R2 и Windows 8.1 или более поздней версии для пользователей в доменах с основным контроллером домена, работающим под управлением Windows Server 2012 R2. Это значительно сокращает объем памяти по умолчанию учетных данных при входе пользователей на компьютеры с помощью этих средств защиты.

Дополнительные сведения см. в разделе о том, как работает группа "Защищенные пользователи " в этом разделе.

Требования к группе защищенных пользователей

Ниже приведены требования к обеспечению защиты устройств для участников группы "Защищенные пользователи"

  • Глобальная группа безопасности "Защищенные пользователи" реплицируется на все контроллеры домена в домене учетной записи.

  • по умолчанию добавлена поддержка Windows 8.1 и Windows Server 2012 R2. Советы по безопасности Майкрософт 2871997 добавляют поддержку Windows 7, Windows Server 2008 R2 и Windows Server 2012.

Для членов группы защищенных пользователей действуют следующие требования к защите на стороне контроллера домена.

  • Пользователи должны находиться в доменах, которые Windows Server 2012 R2 или более высокий уровень работы домена.

Добавление защищенной глобальной группы безопасности пользователей в домены нижнего уровня

Контроллеры домена, работающие под управлением операционной системы, предшествующие Windows Server 2012 R2, могут поддерживать добавление участников в новую группу безопасности защищенных пользователей. Это позволяет пользователям воспользоваться преимуществами защиты устройств до обновления домена.

Примечание

Контроллеры домена не поддерживают защиту домена.

Группу защищенных пользователей можно создать, передав роль эмулятора основного контроллера домена (PDC) контроллеру домена, на котором выполняется Windows Server 2012 R2. После этого объект группы реплицируется на другой контроллер домена; роль эмулятора может быть передана доменному контроллеру под управлением более ранних версий Windows Server.

Свойства ad группы "Защищенные пользователи"

В следующей таблице описываются свойства группы защищенных пользователей.

attribute Значение
Известный SID/RID S-1-5-21-domain-525<>
Тип Глобальный домен
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защита через ADMINSDHOLDER? нет
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? нет
Права пользователя по умолчанию Права пользователя по умолчанию отсутствуют.

Как работает группа защищенных пользователей

В этом разделе описывается принцип работы группы защищенных пользователей, когда

  • Вход на устройство Windows

  • Домен учетной записи пользователя находится на Windows Server 2012 R2 или более высоком уровне работы домена

Защита устройств для вошедшего в систему защищенного пользователя

Если пользователь входит в группу "Защищенные пользователи", применяются следующие меры защиты:

  • Делегирование учетных данных (CredSSP) не кэширует учетные данные обычного текста пользователя, даже если включен параметр "Разрешить делегирование учетных данных по умолчанию" групповая политика.

  • Начиная с Windows 8.1 и Windows Server 2012 R2, Windows Digest не кэширует учетные данные обычного текста пользователя, даже если включен дайджест Windows.

Примечание

После установки рекомендаций по безопасности Майкрософт 2871997 Windows Digest продолжит кэшировать учетные данные, пока не будет настроен раздел реестра. Инструкции см. в рекомендациях по безопасности Майкрософт: обновление для улучшения защиты учетных данных и управления: 13 мая 2014 г.

  • NTLM не кэширует учетные данные обычного текста пользователя или односторонняя функция NT (NTOWF).

  • Kerberos больше не создаст ключи DES или RC4. Кроме того, он не будет кэшировать учетные данные обычного текста пользователя или долгосрочные ключи после получения начального TGT.

  • Кэшированный проверяющий объект не создается при входе или разблокировке, поэтому автономный вход больше не поддерживается.

После добавления учетной записи пользователя в группу защищенных пользователей защита начнется при входе пользователя на устройство.

Защита контроллера домена для защищенных пользователей

Учетные записи, которые являются членами группы "Защищенные пользователи", которые проходят проверку подлинности в домене Windows Server 2012 R2, не могут:

  • Проходить проверку подлинности с помощью проверки подлинности NTLM.

  • Использовать шифрование DES и RC4 в предварительной проверке подлинности Kerberos.

  • Делегироваться в рамках неограниченного или ограниченного делегирования.

  • Продлевать действие TGT Kerberos свыше исходного четырехчасового срока действия.

Ненастраиваемые параметры истечения срока действия TGT задаются для каждой учетной записи в группе защищенных пользователей. Обычно контроллер домена устанавливает срок действия и период обновления TGT на основании политик домена, Максимальный срок жизни билета пользователя и Максимальный срок жизни для возобновления билета пользователя. Для группы защищенных пользователей для этих политик домена задается значение в 600 минут.

Подробную информацию см. в разделе Настройка защищенных учетных записей.

Устранение неполадок

Для исправления событий, связанных с защищенными пользователями, имеется два операционных административных журнала. Эти новые журналы находятся в Просмотр событий и отключены по умолчанию и находятся в разделе "Журналы приложений и служб\Microsoft\Windows\Authentication".

Идентификатор события и журнал Описание
104

ProtectedUser-Client

Причина. Пакет безопасности на клиенте не содержит учетные данные.

Эта ошибка попадает в журнал клиентского компьютера, когда учетная запись является членом группы безопасности "Защищенные пользователи". Это событие указывает, что пакет безопасности не кэширует учетные данные, необходимые для проверки подлинности на сервере.

Содержит имя пакета, имя пользователя, имя домена и имя сервера.

304

ProtectedUser-Client

Причина. Пакет безопасности не хранит учетные данные защищенного пользователя.

Информационное событие регистрируется в клиенте, чтобы указать, что пакет безопасности не кэширует учетные данные для входа пользователя. Ожидается, что такие механизмы проверки подлинности, как дайджест (WDigest), делегирование учетных данных (CredSSP) и NTLM, не могут иметь учетных данных защищенных пользователей для входа. Однако приложения могут выводить запрос на ввод учетных данных.

Содержит имя пакета, имя пользователя и имя домена.

100

ProtectedUserFailures-DomainController

Причина: сбой входа NTLM для учетной записи, которая находится в группе безопасности защищенных пользователей.

Ошибка регистрируется в журнале контроллера домена, указывая, что при проверке подлинности NTLM возникла ошибка в связи с тем, что учетная запись является членом группы безопасности "Защищенные пользователи".

Содержит имя учетной записи и имя устройства.

104

ProtectedUserFailures-DomainController

Причина. Типы шифрования DES или RC4 используются для проверки подлинности Kerberos, а сбой входа для пользователя в группе безопасности защищенных пользователей.

Предварительная проверка подлинности Kerberos завершилась сбоем, поскольку, если учетная запись является членом группы безопасности "Защищенные пользователи", использовать шифрование DES или RC4 нельзя.

(AES допускается.)

303

ProtectedUserSuccesses-DomainController

Причина: билет Kerberos с предоставлением билетов (TGT) успешно выдан для члена группы защищенных пользователей.

Дополнительные ресурсы