Dela via

Hantering och skydd av autentiseringsuppgifter

  • Artikel

 

Gäller för: Windows Server 2012 R2

I det här avsnittet för IT-tekniker beskrivs funktioner och metoder som introduceras i Windows Server 2012 R2 och Windows 8,1 för skydd av autentiseringsuppgifter och domänautentiseringskontroller för att minska stöld av autentiseringsuppgifter.

Begränsat adminläge för anslutning till fjärrskrivbord

Begränsat adminläge ger en interaktiv inloggningsmetod på en fjärrvärdsserver utan att dina referenser överförs till servern. Detta förhindrar att dina autentiseringsuppgifter skördas under den första anslutningen om servern har komprometterats.

När det här läget används med administratörsautentiseringsuppgifter försöker fjärrskrivbordsklienten logga in interaktivt på en värddator som också stöder det här läget utan att skicka autentiseringsuppgifter. När värden har kontrollerat att användarkontot som ansluter har administratörsrättigheter och stöder begränsat adminläge, lyckas anslutningen. Annars misslyckas anslutningen. Klartext eller andra återanvändbara former av autentiseringsuppgifter skickas aldrig till fjärrdatorer i RestrictedAdmin-läge.

Mer information finns i Vad är nytt i Fjärrskrivbordstjänster i Windows Server?.

LSA-skydd

LSA-skydd bygger på en lokal auktoritet som befinner sig inom den lokala säkerhetsprocessen (LSASS) och som validerar användare i samband med lokala och fjärranslutna inloggningar och tillämpar lokala säkerhetsprinciper.Windows 8,1-operativsystemet ger ytterligare skydd för den lokala säkerhetskontrollen för att förhindra kodinmatning från oskyddade processer. Detta ger ökad säkerhet för de autentiseringsuppgifter som LSA lagrar och hanterar. Den här skyddade processinställningen för den lokala säkerhetskontrollen kan konfigureras i Windows 8,1 men är aktiverad som standard i Windows RT 8.1 och kan inte ändras.

Information om hur du konfigurerar skydd för den lokala säkerhetskontrollen finns i Konfigurera ytterligare LSA-skydd.

Säkerhetsgruppen skyddade användare

Den här nya globala domängruppen utlöser ett nytt okonfigurerbart skydd på enheter och värddatorer som kör Windows Server 2012 R2 och Windows 8,1. Gruppen Skyddade användare ger ytterligare skydd för domänkontrollanter och domäner i Windows Server 2012 R2-domäner. Detta minskar antalet typer av autentiseringsuppgifter som är tillgängliga när en användare loggar in på datorer i nätverket från en säker dator.

Medlemmar i gruppen skyddade användare är dessutom skyddade av följande autentiseringsmetoder:

  • En medlem av gruppen skyddade användare kan bara logga in med Kerberos-protokollet. Kontot kan inte autentiseras med hjälp av NTLM, sammanfattad autentisering eller CredSSP. På en enhet som kör Windows 8,1 cachelagras inte lösenord, så enheter som använder någon av dessa SSP:er kan inte att autentiseras till en domän när kontot ingår i gruppen Skyddade användare.

  • Kerberos-protokollet kommer inte använda de svagare DES- eller RC4-krypteringstyperna i förautentiseringen. Detta innebär att domänen måste vara konfigurerad för att minst stödja AES-kodsviten.

  • Användarens konto kan inte delegeras med begränsad eller obegränsad Kerberos-delegering. Detta innebär att tidigare anslutningar till andra system kan misslyckas om användaren är medlem i gruppen Skyddade användare.

  • Standardinställningen för livslängden för Kerberos-biljettilldelning (Ticket Granting Ticketes;TGT) på fyra timmar kan konfigureras med hjälp av principer för autentisering och silor som nås via Active Directory Administrative Center (ADAC). Detta innebär att när fyra timmar har passerat måste användaren autentisera sig igen.

Varning

Konton för tjänster och datorer ska inte ingå i gruppen Skyddade användare. Gruppen ger inget lokalt skydd eftersom lösenordet eller certifikatet alltid är tillgängligt på värddatorn. Autentiseringen misslyckas med felmeddelandet att användarnamnet eller lösenordet är felaktigt om tjänster eller datorer läggs till i gruppen Skyddade användare.

Mer information om den här gruppen finns i Säkerhetsgruppen skyddade användare.

Principer för autentisering och autentisering för silor

Skogsbaserade Active Directory-principer införs och kan tillämpas på konton i en domän med en Windows Server 2012 R2-domänfunktionsnivå. Med dessa autentiseringsprinciper kan du styra vilka värdar som en användare kan använda för att logga in. De fungerar tillsammans med säkerhetsgruppen Skydda användare och administratörer kan använda åtkomstkontrollvillkor för autentisering till kontona. Dessa autentiseringsprinciper isolerar relaterade konton om du vill begränsa omfattningen av ett nätverk.

Med Autentiseringsprincip, den nya Active Directory-objektklassen, kan du använda autentiseringskonfiguration till kontoklasser i domäner med en Windows Server 2012 R2-domänfunktionsnivå. Autentiseringsprinciper genomdrivs under Kerberos-AS- eller TGS exchange. Active Directory-konto-klasser är:

  • Användare

  • Dator

  • Hanterat tjänstkonto

  • Grupphanterat tjänstkonto

Mer information finns i Autentiseringsprinciper och silo för autentiseringsprinciper.

Mer information om hur du konfigurerar skyddade konton finns i Konfigurera skyddade konton.

Se även

Mer information om LSA och LSASS finns i Teknisk översikt över Windows-inloggning och autentisering.

Mer information om hur Windows hanterar autentiseringsuppgifter finns i Teknisk översikt för cachelagrade och lagrade autentiseringsuppgifter.