分享方式:

Protected Users 安全性群組

Protected Users 為 Active Directory (AD) 的全域安全性群組之一,旨在防範認證竊取攻擊。 該群組會在裝置和主機電腦上觸發不可設定的保護,以避免認證在群組成員登入時遭到快取。

必要條件

您的系統必須符合下列必要條件,才能部署 Protected Users 群組:

  • 主機必須執行下列其中一種作業系統:

    • Windows 8.1 或更新版本
    • 已安裝最新安全性更新的 Windows Server 2012 R2 或更新版本

  • 網域功能等級必須是 Windows Server 2012 R2 或更新版本。 如需功能等級的詳細資訊,請參閱樹系和網域功能等級

注意

內建網域系統管理員 (S-1-5-<domain>-500) 一律豁免驗證原則,即使指派給驗證原則定址接收器也一樣。 如需詳細資訊,請參閱如何設定受保護的帳戶

  • Protected Users 全域安全性群組成員資格會限制成員僅能使用使用於 Kerberos 的進階加密標準 (AES)。 受保護使用者群組的成員必須要能使用 AES 進行驗證。

Active Directory 套用的保護

成為受保護使用者群組的成員,意味著 AD 會自動套用特定預先設定的控制項,除非使用者不再是群組成員,否則,他們將無法變更這些控制項。

已登入之受保護使用者的裝置保護

當登入的使用者為受保護使用者群組的成員時,群組就會提供下列保護:

  • 認證委派 (CredSSP) 不會快取使用者的純文字認證,即使使用者啟用 [允許委派預設認證] 群組原則設定也一樣。

  • 針對 Windows 8.1 和更新版本以及 Windows Server 2012 R2 和更新版本,Windows 摘要不會快取使用者的純文字認證,即使他們已啟用 Windows 摘要也一樣。

  • NTLM 會停止快取使用者的純文字認證,或 NT 單向功能 (NTOWF)。

  • Kerberos 會停止建立資料加密標準 (DES) 或 RC4 金鑰。 在取得初始票證授權票證 (TGT) 後,Kerberos 也不會快取使用者的純文字認證。

  • 系統不會在使用者登入或解除鎖定時建立快取的驗證器,因此,成員系統將不再支援離線登入。

將新的使用者帳戶新增至 Protected Users 群組後,這些保護將於新的受保護使用者登入其裝置時啟用。

受保護使用者的網域控制器保護

對執行 Windows Server 2012 R2 或更新版本的網域進行驗證的受保護使用者,將無法進行下列操作:

  • 使用 NTLM 驗證進行驗證。

  • 在 Kerberos 預先驗證中使用 DES 或 RC4 加密類型。

  • 使用非限制或限制委派方式進行委派。

  • Kerberos TGT 需要在超過其初始的四小時存留期後才可更新。

Protected Users 群組會將不可設定的設定套用至每個成員帳戶的 TGT 到期上。 通常,網域控制器會根據下列兩個網域原則來設定 TGT 存留期和更新:

  • 使用者票證最長存留期
  • 使用者票證更新的最長存留期

針對 Protected Users 成員,群組會自動將這些存留期限制設為 600 分鐘。 除非使用者離開群組,否則,他們將無法變更這項限制。

Protected Users 群組如何運作

您可以透過下列方法,將使用者新增至 Protected Users 群組:

重要

  • 請不要將服務和電腦的帳戶新增至 Protected Users 群組。 針對這些帳戶,由於主機上的密碼或憑證一律可供使用,因此,成員資格並不會提供本機保護。

  • 請勿新增已是高度權限群組 (例如 Enterprise Admins 或 Domain Admins 群組) 成員的帳戶,除非您可以保證新增這些成員將不會造成負面的後果。 Protected Users 中具有高度權限的使用者,會受到與一般使用者相同的相關限制,而這些設定將無法獲得解決或進行變更。 如果將這些群組的所有成員新增至 Protected Users 群組,即有可能意外鎖定其帳戶。 請務必測試您的系統,以確保必要的設定變更不會對這些特殊權限使用者帳戶的帳戶存取造成干擾。

Protected Users 群組的成員僅能使用具備進階加密標準 (AES) 的 Kerberos 進行驗證。 此方法需要 Active Directory 中帳戶的 AES 金鑰。 除非執行 Windows Server 2008 或更新版本的網域密碼發生變更,否則,內建 Administrator 不會具備 AES 金鑰。 凡是使用執行舊版 Windows Server 之網域控制器變更其密碼的帳戶,都會遭到驗證鎖定。

若要避免鎖定和遺失 AES 金鑰等情況,建議您遵循下列指導方針:

  • 請不要在網域中執行測試,除非所有網域控制站都執行 Windows Server 2008 或更新版本。

  • 如果您移轉來自其他網域的帳戶,就須重設密碼,好讓帳戶具有 AES 雜湊。 否則,這些帳戶將可進行驗證。

  • 在切換至 Windows Server 2008 或更新版本的網域功能等級後,使用者需要變更密碼。 這可確保他們在成為 Protected Users 群組成員後,將會具有 AES 密碼雜湊。

將 Protected User 全域安全性群組新增至下層網域

執行 Windows Server 2012 R2 之前作業系統的網域控制站可支援將成員新增至新的 Protected User 安全性群組。 這樣一來,這些成員就能在升級網域前,受惠於裝置提供的各項保護。

注意

執行舊版 Windows Server 2012 R2 的網域控制器,皆無法支援網域保護。

若要在執行舊版 Windows Server 的網域控制器上建立 Protected Users 群組:

  1. 將 PDC 模擬器角色轉移至執行 Windows Server 2012 R2 的網域控制器。

  2. 將群組物件複寫至其他網域控制器。

之後,使用者就能在升級網域前,受惠於裝置提供的各項保護。

Protected Users 群組 AD 屬性

下表指定 Protected Users 群組的 Active Directory 屬性。

屬性
已知的 SID/RID S-1-5-21-<domain>-525
類型 網域全域
預設容器 CN=Users, DC=<domain>, DC=
預設成員
下列群組的預設成員
是否受到 ADMINSDHOLDER 保護? No
是否可從預設容器放心地移出? Yes
是否可將此群組的管理放心地委派給非服務系統管理員? No
預設使用者權限 沒有預設使用者權限

事件記錄檔

有兩個操作系統管理記錄檔可用來協助排解 Protected Users 相關事件的疑難。 這些新的記錄檔位於事件檢視器中,並依預設停用,而且位於 Applications and Services Logs\Microsoft\Windows\Authentication 之下。

若要啟用這些記錄的擷取:

  1. 以滑鼠右鍵按一下 [開始],然後選取 [事件檢視器]

  2. 開啟 [應用程式及服務記錄檔\Microsoft\Windows\Authentication]

  3. 針對想要啟用的每個記錄,以滑鼠右鍵按一下記錄名稱,然後選取 [啟用記錄]

事件識別碼和記錄檔 描述
104

ProtectedUser-Client

 原因:在用戶端的安全性封裝沒有包含認證。
當帳戶是 Protected Users 安全性群組的成員時,錯誤會記錄在用戶端電腦上。 這個事件指出安全性封裝並未快取向伺服器驗證時所需的認證。

會顯示封裝名稱、使用者名稱、網域名稱及伺服器名稱。
304

ProtectedUser-Client

 原因:安全性封裝沒有儲存 Protected User 的認證。
參考事件會記錄在用戶端,指出安全性封裝並未快取使用者的登入認證。 預期摘要 (WDigest)、認證委派 (CredSSP) 及 NTLM 無法擁有 Protected Users 的登入認證。 如果應用程式提示輸入認證,則仍然可以登入成功。

會顯示封裝名稱、使用者名稱及網域名稱。
100

ProtectedUserFailures-DomainController

 原因:Protected Users 安全性群組中的帳戶發生 NTLM 登入失敗。
錯誤會記錄在網域控制站中,指出因為帳戶是 Protected Users 安全性群組的成員,所以 NTLM 驗證失敗。

會顯示帳戶名稱和裝置名稱。
104

ProtectedUserFailures-DomainController

 原因:使用 DES 或 RC4 加密類型進行 Kerberos 驗證,而 Protected User 安全性群組中的使用者發生登入失敗。
Kerberos 預先驗證失敗,因為當帳戶是 Protected Users 安全性群組的成員時,不能使用 DES 與 RC4 加密類型。

(可以接受 AES)。
303

ProtectedUserSuccesses-DomainController

 原因:已成功為 Protected Users 群組的成員發出 Kerberos 票證授權票證 (TGT)。

其他資源