Protected Users 為 Active Directory (AD) 的全域安全性群組之一,旨在防範認證竊取攻擊。 群組會在裝置和主計算機上觸發無法設定的保護,以防止群組成員登入時快取認證。
必要條件
您的系統必須符合下列必要條件,才能部署 Protected Users 群組:
主機必須執行下列其中一種作業系統:
- Windows 10 或 Windows 11
- 已安裝最新安全性更新的 Windows Server 2012 R2 或更新版本
網域功能等級必須是 Windows Server 2012 R2 或更新版本。 如需功能等級的詳細資訊,請參閱樹系和網域功能等級。
注意
內建網域系統管理員 (S-1-5-<domain>-500) 一律豁免驗證原則,即使指派給驗證原則定址接收器也一樣。 如需詳細資訊,請參閱如何設定受保護的帳戶。
- Protected Users 全域安全性群組成員資格會限制成員僅能使用使用於 Kerberos 的進階加密標準 (AES)。 受保護使用者群組的成員必須要能使用 AES 進行驗證。
Active Directory 所套用的保護措施
成為受保護使用者群組的成員表示 AD 會自動套用使用者無法變更的特定預先設定控件,除非他們停止為群組成員。
已登入之受保護使用者的裝置保護
當登入的使用者為受保護使用者群組的成員時,群組就會提供下列保護:
認證委派 (CredSSP) 不會快取使用者的純文字認證,即使使用者啟用 [允許委派預設認證] 群組原則設定也一樣。
即使已啟用 Windows Digest,Windows Digest 也不會快取使用者的純文本認證。
NTLM 停止快取使用者的純文字憑證,或 NT 單向函數 (NTOWF)。
Kerberos 會停止建立資料加密標準 (DES) 或 RC4 金鑰。 Kerberos 也不會在取得初始票證授與票證 (TGT) 之後快取使用者的純文本認證或長期密鑰。
系統不會在使用者登入或解除鎖定時產生快取的驗證器,因此,成員系統將無法再支援離線登入。
將新的用戶帳戶新增至受保護的使用者群組之後,當新的受保護使用者登入其裝置時,這些保護就會啟動。
受保護使用者的網域控制器保護
對執行 Windows Server 之網域進行驗證的受保護使用者帳戶無法執行下列動作:
使用 NTLM 驗證進行驗證。
在 Kerberos 預先驗證中使用 DES 或 RC4 加密類型。
使用非限制或限制委派方式進行委派。
在 Kerberos TGT 初始四小時期限到期之前,應進行更新。
Protected Users 群組會將不可設定的設定套用至每個成員帳戶的 TGT 到期上。 通常,網域控制器會根據下列兩個網域原則來設定 TGT 存留期和更新:
- 使用者票證最長存留期
- 使用者票證更新的最長存留期
針對 Protected Users 成員,群組會自動將這些存留期限制設為 600 分鐘。 除非使用者離開群組,否則,他們將無法變更這項限制。
Protected Users 群組如何運作
您可以透過下列方法,將使用者新增至 Protected Users 群組:
- UI 工具,例如Active Directory 管理中心 (ADAC) 或 Active Directory 使用者和電腦。
- PowerShell,使用 Add-ADGroupMember cmdlet。
重要
請不要將服務和電腦的帳戶新增至 Protected Users 群組。 針對這些帳戶,由於密碼與憑證總是存在於主機上,因此會員資格無法提供本地保護。
請勿新增已是高度特殊許可權群組成員的帳戶,例如 Enterprise Admins 或 Domain Admins 群組,直到您可以保證新增這些帳戶不會產生負面影響為止。 Protected Users 中具有高度權限的使用者,會受到與一般使用者相同的相關限制,而這些設定將無法獲得解決或進行變更。 如果將這些群組的所有成員新增至 Protected Users 群組,即有可能意外鎖定其帳戶。 請務必測試您的系統,以確保必要的設定變更不會對這些特殊權限使用者帳戶的帳戶存取造成干擾。
Protected Users 群組的成員僅能使用具備進階加密標準 (AES) 的 Kerberos 進行驗證。 此方法需要 Active Directory 中帳戶的 AES 金鑰。 除非執行 Windows Server 2008 或更新版本的網域密碼發生變更,否則,內建 Administrator 不會具備 AES 金鑰。 凡是使用執行舊版 Windows Server 之網域控制器變更其密碼的帳戶,都會遭到驗證鎖定。
若要避免鎖定和遺失 AES 金鑰等情況,建議您遵循下列指導方針:
請不要在網域中執行測試,除非所有網域控制站都執行 Windows Server 2008 或更新版本。
如果您移轉來自其他網域的帳戶,就須重設密碼,好讓帳戶具有 AES 雜湊。 否則,這些帳戶將可進行驗證。
在切換至 Windows Server 2008 或更新版本的網域功能等級後,使用者需要變更密碼。 這可確保他們在成為 Protected Users 群組成員後,將會具有 AES 密碼雜湊。
Protected Users 群組 Active Directory(活躍目錄)屬性
下表指定 Protected Users 群組的 Active Directory 屬性。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-21-<域>-525 |
| 類型 | 全球網域 |
| 預設容器 | CN=Users, DC=<domain>, DC= |
| 預設成員 | 無 |
| 下列群組的預設成員 | 無 |
| 是否受到 ADMINSDHOLDER 保護? | 沒有 |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | 否 |
| 預設使用者權限 | 沒有預設使用者權限 |
事件記錄檔
有兩個操作系統管理記錄檔可用來協助排解 Protected Users 相關事件的疑難。 這些新的記錄檔位於事件檢視器中,並依預設停用,而且位於 Applications and Services Logs\Microsoft\Windows\Authentication 之下。
若要啟用擷取這些記錄:
以滑鼠右鍵按一下 [開始],然後選取 [事件檢視器]。
開啟 [應用程式及服務記錄檔\Microsoft\Windows\Authentication]。
針對想要啟用的每個記錄,以滑鼠右鍵按一下記錄名稱,然後選取 [啟用記錄]。
| 事件識別碼和記錄檔 | 描述 |
|---|---|
| 104 ProtectedUser-Client |
原因:用戶端上的安全性套件不包含認證。 當帳戶是 Protected Users 安全性群組的成員時,錯誤會記錄在用戶端電腦上。 此事件表示安全套件不會快取用於向伺服器進行驗證所需的憑證。 會顯示封裝名稱、使用者名稱、網域名稱及伺服器名稱。 |
| 304 ProtectedUser-Client |
原因:安全性套件不會儲存受保護的用戶認證。 資訊事件會記錄在用戶端中,指出安全性套件不會快取使用者的登入認證。 預期 Digest (WDigest)、認證委派 (CredSSP) 和 NTLM 無法擁有受保護使用者的登入認證。 如果應用程式提示輸入認證,則仍然可以登入成功。 會顯示封裝名稱、使用者名稱及網域名稱。 |
| 100 受保護用戶失敗-域控制器 |
原因:Protected Users 安全性群組中的帳戶發生 NTLM 登入失敗。 錯誤會記錄在網域控制站中,指出因為帳戶是 Protected Users 安全性群組的成員,所以 NTLM 驗證失敗。 會顯示帳戶名稱和裝置名稱。 |
| 104 ProtectedUserFailures-DomainController |
原因:使用 DES 或 RC4 加密類型進行 Kerberos 驗證,而 Protected User 安全性群組中的使用者發生登入失敗。 Kerberos 預先驗證失敗,因為當帳戶是受保護使用者安全組的成員時,無法使用 DES 和 RC4 加密類型。 (AES 可接受) |
| 303 ProtectedUserSuccesses-DomainController |
原因:已成功為 Protected Users 群組的成員發出 Kerberos 票證授權票證 (TGT)。 |