Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Korumalı Kullanıcılar, kimlik bilgisi hırsızlığı saldırılarına karşı koruma sağlamak üzere tasarlanmış bir Active Directory (AD) genel güvenlik grubudur. Grup, grup üyeleri oturum açarken kimlik bilgilerinin önbelleğe alınmasını önlemek için cihazlarda ve konak bilgisayarlarda yapılandırılamaz koruma tetikler.
Önkoşullar
Korumalı Kullanıcılar grubunu dağıtabilmeniz için önce sisteminizin aşağıdaki önkoşulları karşılaması gerekir:
Konaklar aşağıdaki işletim sistemlerinden birini çalıştırıyor olmalıdır:
- Windows 10 veya Windows 11
- En son güvenlik güncelleştirmelerinin yüklü olduğu Windows Server 2012 R2 veya üzeri
Etki alanı işlev düzeyi Windows Server 2012 R2 veya üzeri olmalıdır. İşlev düzeyleri hakkında daha fazla bilgi için bkz. Orman ve etki alanı işlev düzeyleri.
Uyarı
Yerleşik etki alanı Yöneticisi, S-1-5-<domain>-500, herhangi bir Kimlik Doğrulama İlkesi Silosuna atanmış olsalar bile, her zaman Kimlik Doğrulama İlkeleri'nden muaftır. Daha fazla bilgi için bkz. Korumalı Hesapları Yapılandırma.
- Korumalı Kullanıcılar genel güvenlik grubu üyelikleri üyeleri yalnızca Kerberos için Gelişmiş Şifreleme Standartlarını (AES) kullanacak şekilde kısıtlar. Korumalı Kullanıcılar grubunun üyelerinin AES kullanarak kimlik doğrulaması yapabilmesi gerekir.
Active Directory tarafından uygulanan korumalar
Korumalı Kullanıcılar grubunun üyesi olmak, AD'nin kullanıcıların grup üyesi olmayı durdurmadığı sürece değiştiremeyeceği önceden yapılandırılmış bazı denetimleri otomatik olarak uyguladığı anlamına gelir.
Oturum açmış Korumalı Kullanıcılar için cihaz korumaları
Oturum açmış kullanıcı Korumalı Kullanıcılar grubunun üyesi olduğunda, grup aşağıdaki korumaları sağlar:
Kimlik bilgisi temsilcisi (CredSSP), kullanıcı Varsayılan kimlik bilgilerini devretmeye izin ver Grup İlkesi ayarını etkinleştirdiğinde bile kullanıcının düz metinle yazılan kimlik bilgilerini önbelleğe almaz.
Windows Özet, Windows Özet'i etkinleştirmiş olsalar bile kullanıcının düz metin kimlik bilgilerini önbelleğe almaz.
NTLM, kullanıcının düz metin kimlik bilgilerini veya NT tek yönlü işlevini (NTOWF) önbelleğe almayı durdurur.
Kerberos, Veri Şifreleme Standardı (DES) veya RC4 anahtarları oluşturmayı durdurur. Kerberos ayrıca kullanıcının düz metin kimlik bilgilerini veya ilk Anahtar Verme Anahtarını (TGT) aldıktan sonra uzun süreli anahtarları önbelleğe almaz.
Sistem, kullanıcı oturum açma veya kilidini açma sırasında önbelleğe alınmış bir doğrulayıcı oluşturmaz, bu nedenle üye sistemler artık çevrimdışı oturum açmayı desteklemez.
Korumalı Kullanıcılar grubuna yeni bir kullanıcı hesabı ekledikten sonra, yeni Korumalı Kullanıcı cihazında oturum açtığında bu korumalar etkinleştirilir.
Korumalı Kullanıcılar için etki alanı denetleyicisi korumaları
Windows Server çalıştıran bir etki alanında kimlik doğrulaması yapabilen Korumalı Kullanıcı hesapları aşağıdakileri yapamaz:
NTLM kimlik doğrulaması kullanarak doğrulayın.
Kerberos ön kimlik doğrulamasında DES veya RC4 şifreleme türlerini kullanın.
Kısıtlanmamış veya kısıtlanmış temsili olan temsilci.
Kerberos TGT'lerini ilk dört saatlik ömründen sonrasında yenileyin.
Korumalı Kullanıcılar grubu, her üye hesabı için TGT süre sonu için yapılandırılamayan ayarlar uygular. Normalde, etki alanı denetleyicisi TGT ömrünü ve yenilemesini aşağıdaki iki etki alanı ilkesine göre ayarlar:
- Kullanıcı bileti için maksimum yaşam süresi
- Kullanıcı bileti yenileme için maksimum yaşam süresi
Korumalı Kullanıcılar üyeleri için grup bu yaşam süresi sınırlarını otomatik olarak 240 dakikaya ayarlar. Kullanıcı gruptan ayrılmadığı sürece bu sınırı değiştiremez.
Korumalı Kullanıcılar grubu nasıl çalışır?
Aşağıdaki yöntemleri kullanarak Korumalı Kullanıcılar grubuna kullanıcı ekleyebilirsiniz:
- Active Directory Yönetim Merkezi (ADAC) veya Active Directory Kullanıcıları ve Bilgisayarlarıgibi UI araçları.
- Add-ADGroupMember cmdlet'ini kullanarak PowerShell.
Önemli
Hizmetler ve bilgisayarlar için hiçbir zaman Korumalı Kullanıcılar grubuna hesap eklemeyin. Bu hesaplar için, parola ve sertifika her zaman konakta kullanılabildiğinden üyelik yerel koruma sağlamaz.
Zaten Kurumsal Yöneticiler veya Etki Alanı Yöneticileri gibi yüksek ayrıcalıklı grupların üyeleri olan hesapları eklemeyin; eklemenin olumsuz sonuçları olmayacağını garanti edene kadar bekleyin. Korumalı Kullanıcılar'daki yüksek ayrıcalıklı kullanıcılar, normal kullanıcılarla aynı sınırlamalara ve kısıtlamalara tabidir ve bu ayarları aşmak veya değiştirmek mümkün değildir. Bu grupların tüm üyelerini Korumalı Kullanıcılar grubuna eklerseniz, hesaplarını yanlışlıkla kilitlemek mümkündür. Zorunlu ayar değişikliklerinin bu ayrıcalıklı kullanıcı grupları için hesap erişimini engellemediğinden emin olmak için sisteminizi test etmek önemlidir.
Korumalı Kullanıcılar grubunun üyeleri yalnızca Gelişmiş Şifreleme Standartları (AES) ile Kerberos kullanarak kimlik doğrulaması yapabilir. Bu yöntem Active Directory'deki hesap için AES anahtarları gerektirir. Windows Server 2008 veya üzerini çalıştıran etki alanının parolası değişmediği sürece yerleşik Yöneticinin AES anahtarı yoktur. Windows Server'ın önceki bir sürümünü çalıştıran bir etki alanı denetleyicisi tarafından parolası değiştirilen herhangi bir hesap kimlik doğrulama yapamaz hale gelir.
Kilitlenmeleri ve eksik AES anahtarlarını önlemek için şu yönergeleri izlemenizi öneririz:
Tüm etki alanı denetleyicileri Windows Server 2008 veya üzerini çalıştırmadığı sürece, etki alanlarında testleri çalıştırmayın.
Diğer etki alanlarından hesaplardan hesaplara geçiş yaptıysanız, hesapların AES karmaları olması için parolayı sıfırlamanız gerekir. Aksi takdirde, bu hesaplar kimlik doğrulaması yapabilir.
Kullanıcıların Windows Server 2008 veya sonraki sürümlerin etki alanı işlev düzeyine geçtikten sonra parolaları değiştirmeleri gerekir. Bu, Korumalı Kullanıcılar grubuna üye olduktan sonra AES parola karmalarına sahip olmalarını sağlar.
Korumalı Kullanıcılar grubu Active Directory özellikleri
Aşağıdaki tablo, Korumalı Kullanıcılar grubunun Active Directory özelliklerini belirtir.
| Öznitelik | Değer |
|---|---|
| İyi bilinen SID/RID | S-1-5-21-<etki alanı>-525 |
| Türü | Etki Alanı Genel |
| Varsayılan kapsayıcı | CN=Users, DC=<etki alanı>, DC= |
| Varsayılan üyeler | Hiç kimse |
| varsayılan üyesi | Hiç kimse |
| ADMINSDHOLDER tarafından korunuyor mu? | Hayı |
| Varsayılan kapsayıcıdan çıkmak güvenli mi? | Evet |
| Bu grubun yönetimini hizmet dışı yöneticilere devretmek güvenli mi? | Hayı |
| Varsayılan kullanıcı hakları | Varsayılan kullanıcı hakları yok |
Olay günlükleri
Korumalı Kullanıcılarla ilgili olayların sorunlarını gidermeye yardımcı olmak için iki işletimsel yönetim günlüğü mevcuttur. Bu yeni günlükler Olay Görüntüleyicisi'nde bulunur ve varsayılan olarak devre dışı bırakılır ve Uygulama ve Hizmet Günlükleri\Microsoft\Windows\Authenticationaltında bulunur.
Bu günlüklerin kaydedilmesini etkinleştirmek için:
Başlangıç sağ tıklayın ve Olay Görüntüleyicisi seçin.
Uygulama ve Hizmet Günlükleri\Microsoft\Windows\Authenticationaçın.
Etkinleştirmek istediğiniz her günlük için, günlük adına sağ tıklayın ve Günlüğü Etkinleştirseçeneğini belirleyin.
| Olay ID'si ve Günlüğü | Açıklama |
|---|---|
| 104 ProtectedUser-Client |
Neden: İstemcideki güvenlik paketi kimlik bilgilerini içermiyor. Hesap, Korumalı Kullanıcılar güvenlik grubunun bir üyesi olduğunda, hata istemci bilgisayarda kaydedilir. Bu olay, güvenlik paketinin sunucuda kimlik doğrulaması için gereken kimlik bilgilerini önbelleğe almadığını gösterir. Paket adını, kullanıcı adını, etki alanı adını ve sunucu adını görüntüler. |
| 304 ProtectedUser-Client |
Neden: Güvenlik paketi Korumalı Kullanıcının kimlik bilgilerini depolamaz. Güvenlik paketinin kullanıcının oturum açma kimlik bilgilerini önbelleğe almadığını belirtmek için istemciye bir bilgilendirme olayı kaydedilir. Özet (WDigest), Kimlik Bilgisi Delegasyonu (CredSSP) ve NTLM'nin, Korumalı Kullanıcılar için oturum açma kimlik bilgilerini sağlayamaması beklenir. Kimlik bilgileri isteyen uygulamalar yine de başarılı olabilir. Paket adını, kullanıcı adını ve etki alanı adını görüntüler. |
| 100 KorumalıKullanıcıHataları-EtkiAlanıDenetleyicisi |
Neden: Korumalı Kullanıcılar güvenlik grubunda yer alan bir hesap için NTLM oturum açma hatası oluşuyor. Hesap Korumalı Kullanıcılar güvenlik grubunun bir üyesi olduğu için NTLM kimlik doğrulamasının başarısız olduğunu göstermek için etki alanı denetleyicisine bir hata kaydedilir. Hesap adını ve cihaz adını görüntüler. |
| 104 KorumalıKullanıcıHataları-EtkiAlanıDenetleyicisi |
Neden: Kerberos kimlik doğrulaması için DES veya RC4 şifreleme türleri kullanılır ve Korumalı Kullanıcı güvenlik grubundaki bir kullanıcı için oturum açma hatası oluşur. Hesap Korumalı Kullanıcılar güvenlik grubunun üyesi olduğunda DES ve RC4 şifreleme türleri kullanılamadığından Kerberos ön kimlik doğrulaması başarısız oldu. (AES kabul edilebilir.) |
| 303 ProtectedKullanıcıBaşarıları-EtkiAlanıDenetleyicisi |
Neden: Korumalı Kullanıcı grubunun bir üyesi için Kerberos bilet veren bilet (TGT) başarıyla verildi. |