Protected Users 安全性群組
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
Protected Users 是 Active Directory (AD) 的全域安全組,旨在防範認證竊取攻擊。 群組會在裝置和主計算機上觸發無法設定的保護,以防止群組成員登入時快取認證。
必要條件
您的系統必須符合下列必要條件,您才能部署受保護的使用者群組:
主機必須執行下列其中一個作業系統:
- Windows 8.1 或更新版本
- 已安裝最新安全性更新的 Windows Server 2012 R2 或更新版本
網域功能等級必須是 Windows Server 2012 R2 或更新版本。 如需功能等級的詳細資訊,請參閱 樹系和網域功能等級。
注意
內建網域 管理員 istrator S-1-5-<domain>-500一律會豁免驗證原則,即使指派給驗證原則尋址接收器也一樣。 如需詳細資訊,請參閱如何設定受保護的帳戶。
- 受保護的使用者全域安全組成員資格會限制成員僅針對 Kerberos 使用進階加密標準 (AES)。 受保護的使用者群組成員必須使用 AES 進行驗證。
Active Directory 所套用的保護
成為受保護使用者群組的成員表示 AD 會自動套用使用者無法變更的特定預先設定控件,除非他們停止為群組成員。
已登入 Protected Users 的裝置保護
當登入的使用者是 Protected Users 群組的成員時,群組會提供下列保護:
認證委派 (CredSSP) 不會快取使用者的純文字認證,即使使用者啟用 [允許委派預設認證 ] 組策略設定。
針對 Windows 8.1 和更新版本和 Windows Server 2012 R2 和更新版本,即使已啟用 Windows Digest,Windows Digest 也不會快取使用者的純文本認證。
NTLM 會停止快取使用者的純文本認證或 NT 單向函式 (NTOWF)。
Kerberos 會停止建立數據加密標準 (DES) 或 RC4 金鑰。 在取得初始票證授與票證 (TGT) 之後,Kerberos 也不會快取使用者的純文本認證或長期密鑰。
系統不會在使用者登入或解除鎖定時建立快取驗證程式,因此成員系統不再支持離線登入。
將新的用戶帳戶新增至受保護的使用者群組之後,當新的受保護使用者登入其裝置時,這些保護將會啟動。
Protected User 的網域控制站保護
對執行 Windows Server 2012 R2 或更新版本的網域進行驗證的受保護使用者帳戶無法執行下列動作:
使用 NTLM 驗證進行驗證。
在 Kerberos 預先驗證中使用 DES 或 RC4 加密類型。
具有不受限制或限制委派的委派。
更新 Kerberos TGT 超過其初始四小時的存留期。
受保護的使用者群組會將無法設定的設定套用至每個成員帳戶的 TGT 到期日。 一般而言,域控制器會根據下列兩個網域原則來設定 TGT 存留期和更新:
- 使用者票證最長存留期
- 使用者票證更新的最長存留期
針對受保護的用戶成員,群組會自動將這些存留期限制設定為 600 分鐘。 除非使用者離開群組,否則無法變更此限制。
受保護的使用者群組的運作方式
您可以使用下列方法,將使用者新增至受保護的使用者群組:
- UI 工具,例如 Active Directory 管理員 istrative Center (ADAC) 或 Active Directory 使用者和電腦。
- 命令行工具,例如 PowerShell。
- 使用 PowerShell,使用 Add-ADGroupMember Cmdlet。
重要
絕對不要將服務和計算機的帳戶新增至受保護的使用者群組。 針對這些帳戶,成員資格不會提供本機保護,因為主機上一律提供密碼和憑證。
請勿新增已是高度特殊許可權群組成員的帳戶,例如 Enterprise 管理員 或 Domain 管理員 群組,直到您可以保證新增這些帳戶不會產生負面後果。 受保護使用者中的高許可權使用者受限於與一般使用者相同的 限制和限制 ,因此無法解決或變更這些設定。 如果您將這些群組的所有成員新增至受保護的使用者群組,可能會不小心鎖定其帳戶。 請務必測試您的系統,以確保強制設定變更不會干擾這些特殊許可權使用者群組的帳戶存取。
受保護的使用者群組成員只能使用 Kerberos 搭配進階加密標準 (AES) 進行驗證。 此方法需要 Active Directory 中帳戶的 AES 金鑰。 除非執行 Windows Server 2008 或更新版本的網域密碼變更,否則內建 管理員 istrator 沒有 AES 密鑰。 執行舊版 Windows Server 的域控制器變更其密碼的任何帳戶,都遭到鎖定而無法進行驗證。
若要避免鎖定和遺漏 AES 金鑰,建議您遵循下列指導方針:
除非所有域控制器都執行 Windows Server 2008 或更新版本,否則請勿在網域中執行測試。
如果您已從其他網域移轉帳戶,則必須重設密碼,讓帳戶具有 AES 哈希。 否則,這些帳戶就能夠進行驗證。
在切換至 Windows Server 2008 或更新版本的網域功能等級之後,用戶必須變更密碼。 這可確保他們一旦成為受保護使用者群組的成員,就會有 AES 密碼哈希。
將受保護的使用者全域安全組新增至下層網域
執行 Windows Server 2012 R2 之前作業系統的網域控制站可支援將成員新增至新的 Protected User 安全性群組。 如此一來,這些成員就可以在升級網域之前受益於裝置保護。
注意
執行舊版 Windows Server 2012 R2 的域控制器不支援網域保護。
若要在執行舊版 Windows Server 的域控制器上建立受保護的使用者群組:
將 PDC 模擬器角色 傳送至執行 Windows Server 2012 R2 的域控制器。
將群組物件複寫至其他域控制器。
之後,使用者可以先從裝置保護中受益,再升級網域。
Protected Users 群組 AD 屬性
下表指定 Protected Users 群組的 Active Directory 屬性。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-21-<domain>-525 |
| 類型 | 網域全域 |
| 預設容器 | CN=Users, DC=<domain>, DC= |
| 預設成員 | 無 |
| 下列群組的預設成員 | 無 |
| 是否受到 ADMINSDHOLDER 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | 沒有預設使用者權限 |
事件記錄檔
有兩個操作系統管理記錄檔可用來協助排解 Protected Users 相關事件的疑難。 這些新的記錄檔位於「事件檢視器」中且預設為停用,而且位於 Applications and Services Logs\Microsoft\Windows\Authentication 之下。
若要啟用擷取這些記錄:
以滑鼠右鍵按兩下 [開始],然後選取 [事件檢視器]。
開啟 應用程式與服務記錄\Microsoft\Windows\Authentication。
針對您想要啟用的每個記錄檔,以滑鼠右鍵按下記錄名稱,然後選取 [ 啟用記錄]。
| 事件識別碼和記錄檔 | 描述 |
|---|---|
| 104 ProtectedUser-Client |
原因:在用戶端的安全性封裝沒有包含認證。 當帳戶是 Protected Users 安全性群組的成員時,錯誤會記錄在用戶端電腦上。 這個事件指出安全性封裝並未快取向伺服器驗證時所需的認證。 會顯示封裝名稱、使用者名稱、網域名稱及伺服器名稱。 |
| 304 ProtectedUser-Client |
原因:安全性封裝沒有儲存 Protected User 的認證。 參考事件會記錄在用戶端,指出安全性封裝並未快取使用者的登入認證。 預期摘要 (WDigest)、認證委派 (CredSSP) 及 NTLM 無法擁有 Protected Users 的登入認證。 如果應用程式提示輸入認證,則仍然可以登入成功。 會顯示封裝名稱、使用者名稱及網域名稱。 |
| 100 ProtectedUserFailures-DomainController |
原因:Protected Users 安全性群組中的帳戶發生 NTLM 登入失敗。 錯誤會記錄在網域控制站中,指出因為帳戶是 Protected Users 安全性群組的成員,所以 NTLM 驗證失敗。 會顯示帳戶名稱和裝置名稱。 |
| 104 ProtectedUserFailures-DomainController |
原因:使用 DES 或 RC4 加密類型進行 Kerberos 驗證,而 Protected User 安全性群組中的使用者發生登入失敗。 Kerberos 預先驗證失敗,因為當帳戶是 Protected Users 安全性群組的成員時,不能使用 DES 與 RC4 加密類型。 (可以接受 AES)。 |
| 303 ProtectedUserSuccesses-DomainController |
原因:已成功為 Protected Users 群組的成員發出 Kerberos 票證授權票證 (TGT)。 |