本主題適用於 IT 專業人員來討論 Windows Server 2012 R2 和 Windows 8.1 中介紹的功能和方法,以進行認證保護和網域驗證控制,以減少認證竊取。
遠端桌面連線的受限制系統管理員模式
受限制的系統管理員模式提供互動式登入遠端主機伺服器而不需要將認證傳送到伺服器的方法。 如果伺服器已經被破壞,這個方法可以在初始連線程序期間防止別人蒐集到您的認證。
使用此模式搭配系統管理員認證時,遠端桌面用戶端會嘗試以互動方式登入也支援這種模式的主機,而不傳送認證。 當主機確認與它連線的使用者帳戶具有系統管理員權限並支援受限制的系統管理員模式時,連線就會成功。 否則,嘗試連線會失敗。 受限制的系統管理員模式任何時候都不會傳送純文字或其他可重複使用形式的認證給遠端電腦。
LSA 保護
本機安全性授權 (LSA) 位於本機安全性授權安全服務 (LSASS) 的處理程序中,負責驗證使用者的本機和遠端登入,並強制執行本機安全性政策。 Windows 8.1 作業系統為 LSA 提供額外的保護,以避免未受保護的處理程序插入程式碼。 這為 LSA 儲存和管理的認證提供了額外的安全性。 這個 LSA 的受保護處理程序設定可在 Windows 8.1 中設定,但是在 Windows RT 8.1 中則預設開啟,而且無法變更。
如需相關資訊以了解如何設定 LSA 保護,請參閱 Configuring Additional LSA Protection。
Protected Users 安全性群組
這個新的網域全域群組會在執行 Windows Server 2012 R2 和 Windows 8.1 的裝置及主機電腦上觸發新的不可設定的保護。 Protected Users 群組為 Windows Server 2012 R2 網域中的網域控制站和網域提供額外的保護。 這將大幅減少從未受入侵的電腦上登入網路電腦的使用者可用的憑證類型。
Protected Users 群組的成員進一步受到下列驗證方法的限制:
Protected Users 群組的成員只能使用 Kerberos 通訊協定登入。 帳戶無法使用 NTLM、摘要式驗證或 CredSSP 進行驗證。 在執行 Windows 8.1 的裝置上,系統不會快取密碼,因此當帳戶是 Protected User 群組的成員時,使用任一安全性支援提供者 (SSP) 的裝置將無法向網域進行驗證。
Kerberos 通訊協定不會在預先驗證處理程序中使用較弱的 DES 或 RC4 加密類型。 這表示網域必須設定為至少支援 AES 加密套件。
使用者的帳戶無法使用 Kerberos 的限制或非限制委派進行授權。 這表示如果使用者是 Protected Users 群組的成員,先前連到其他系統的連線可能會失敗。
預設的 Kerberos 票證授與票證 (TGT) 存留期為四個小時,可以透過 Active Directory 管理中心 (ADAC) 訪問的驗證原則和隔離區進行設定。 這表示經過四小時之後,使用者就必須再驗證一次。
警告
服務和電腦的帳戶不應該是 Protected Users 群組的成員。 此群組不提供本機保護,因為密碼或憑證一律會在主機上。 對於任何新增到 Protected Users 群組的服務或電腦,會發生「使用者名稱或密碼不正確」的錯誤,導致驗證失敗。
如需此群組的詳細資訊,請參閱 Protected Users Security Group。
驗證原則和驗證原則隔離區
已引進以樹系為基礎的 Active Directory 原則,它們可以套用至具有 Windows Server 2012 R2 網域功能等級的網域中的帳戶。 這些驗證原則能控制使用者可以使用哪些主機來登入。 這些原則與 Protected Users 安全性群組搭配運作,且系統管理員可以套用存取控制條件來驗證帳戶。 這些驗證原則會隔離相關的帳戶來限制網路的範圍。
驗證原則是新的 Active Directory 物件類別,可讓您將驗證設定套用至具有 Windows Server 2012 R2 網域功能等級的網域中的帳戶類別。 Kerberos AS 或 TGS 交換期間會強制執行驗證原則。 Active Directory 帳戶類別包括:
使用者
電腦
受管理的服務帳戶
群組受控服務帳戶
如需詳細資訊,請參閱 Authentication Policies and Authentication Policy Silos。
如需詳細資訊以了解如何設定受保護帳戶,請參閱 How to Configure Protected Accounts。
其他參考
如需 LSA 與 LSASS 的詳細資訊,請參閱 Windows Logon and Authentication Technical Overview (Windows 登入及驗證技術概觀)。