Protected Users 是 Active Directory 的全域安全組,其設計目的是要防範認證竊取攻擊。 群組會在裝置和主計算機上觸發無法設定的保護,以防止群組成員登入時快取認證。
Prerequisites
您的系統必須符合下列必要條件,才能部署 Protected Users 群組:
主機必須執行下列其中一種作業系統:
- Windows 10 或 Windows 11
- 已安裝最新安全性更新的 Windows Server 2012 R2 或更新版本
網域功能等級必須是 Windows Server 2012 R2 或更新版本。 如需功能等級的詳細資訊,請參閱樹系和網域功能等級。
Note
內建網域系統管理員 S-1-5-<domain>-500 一律豁免於驗證政策,即使指派給驗證政策孤島也是如此。 如需詳細資訊,請參閱如何設定受保護的帳戶。
- 受保護的使用者全域安全組成員資格會限制成員僅針對 Kerberos 使用進階加密標準 (AES)。 受保護的使用者群組成員必須使用 AES 進行驗證。
Active Directory 所套用的保護措施
成為受保護使用者群組的成員表示 Active Directory 會自動套用使用者無法變更的特定預先設定控制項,除非使用者停止為群組成員。
已登入之受保護使用者的裝置保護
當登入的使用者為受保護使用者群組的成員時,群組就會提供下列保護:
認證委派 (CredSSP) 不會快取使用者的純文字認證,即使使用者啟用 [允許委派預設認證] 群組原則設定也一樣。
即使已啟用 Windows Digest,Windows Digest 也不會快取使用者的純文本認證。
NTLM 停止快取使用者的純文字憑證,或 NT 單向函數 (NTOWF)。
Kerberos 會停止建立資料加密標準 (DES) 或 RC4 金鑰。 Kerberos 也不會在取得初始票證授與票證 (TGT) 之後快取使用者的純文本認證或長期密鑰。
系統不會在使用者登入或解除鎖定時產生快取的驗證器,因此,成員系統將無法再支援離線登入。
將新的用戶帳戶新增至受保護的使用者群組之後,當新的受保護使用者登入其裝置時,這些保護就會啟動。
受保護使用者的網域控制器保護
對執行 Windows Server 之網域進行驗證的受保護使用者帳戶無法執行下列動作:
使用 NTLM 驗證進行驗證。
在 Kerberos 預先驗證中使用 DES 或 RC4 加密類型。
使用非限制或限制委派方式進行委派。
在 Kerberos TGT 初始四小時期限到期之前,應進行更新。
受保護的使用者群組會將不可設定的設定套用至每個成員帳戶的 TGT 到期日。 通常,網域控制器會根據下列兩個網域原則來設定 TGT 存留期和更新:
- 使用者票證最長存留期
- 使用者票證更新的最長存留期
針對受保護的用戶成員,群組會自動將這些存留期限制設定為240分鐘。 除非使用者離開群組,否則,他們將無法變更這項限制。
Protected Users 群組如何運作
您可以使用下列方法,將使用者新增至受保護的使用者群組:
- UI 工具,例如 Active Directory 管理中心 或 Active Directory 使用者和計算機。
- PowerShell, by using the Add-ADGroupMember cmdlet.
Important
請不要將服務和電腦的帳戶新增至 Protected Users 群組。 針對這些帳戶,由於密碼與憑證總是存在於主機上,因此會員資格無法提供本地保護。
請勿新增已是高度特殊許可權群組成員的帳戶,例如 Enterprise Admins 或 Domain Admins 群組,直到您可以保證新增這些帳戶不會產生負面後果。 受保護使用者中的高特殊許可權使用者受限於與一般使用者相同的 限制和限制 ,因此無法解決或變更這些設定。 如果將這些群組的所有成員新增至 Protected Users 群組,即有可能意外鎖定其帳戶。 請務必測試您的系統,以確保必要的設定變更不會對這些特殊權限使用者帳戶的帳戶存取造成干擾。
受保護的使用者群組成員只能使用 Kerberos 搭配 AES 進行驗證。 此方法需要 Active Directory 中帳戶的 AES 金鑰。 除非執行 Windows Server 2008 或更新版本的網域密碼發生變更,否則,內建 Administrator 不會具備 AES 金鑰。 執行舊版 Windows Server 的域控制器變更其密碼的任何帳戶,都遭到鎖定而無法驗證。
若要避免鎖定和遺漏 AES 金鑰,建議您遵循下列指導方針:
請不要在網域中執行測試,除非所有網域控制站都執行 Windows Server 2008 或更新版本。
如果您移轉來自其他網域的帳戶,就須重設密碼,好讓帳戶具有 AES 雜湊。 否則,這些帳戶將無法進行驗證。
用戶必須在切換至 Windows Server 2008 或更新版本的網域功能等級之後變更密碼。 這麼做可確保在成為受保護使用者群組的成員之後,他們具有 AES 密碼哈希。
受保護的使用者群組 Active Directory 屬性
下表指定 Protected Users 群組的 Active Directory 屬性。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-21-<域>-525 |
| 類型 | Domain Global |
| Default container | CN=Users,DC=<domain,DC>= |
| Default members | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | 沒有預設使用者權限 |
Event logs
有兩個操作系統管理記錄檔可用來協助排解 Protected Users 相關事件的疑難。 這些新的記錄檔位於 [事件檢視器] 中,且預設為停用。 它們位於 [應用程式和服務記錄] 底下,Microsoft\Windows\Authentication。
若要啟用擷取這些記錄:
Right-click Start and then select Event Viewer.
開啟 [應用程式及服務記錄檔\Microsoft\Windows\Authentication]。
For each log that you want to enable, right-click the log name and then select Enable Log.
| 事件標識碼和記錄檔 | Description |
|---|---|
| 104 ProtectedUser-Client |
原因:用戶端上的安全性套件不包含認證。 當帳戶是 Protected Users 安全性群組的成員時,錯誤會記錄在用戶端電腦上。 此事件表示安全套件不會快取用於向伺服器進行驗證所需的憑證。 會顯示封裝名稱、使用者名稱、網域名稱及伺服器名稱。 |
| 304 ProtectedUser-Client |
原因:安全性套件不會儲存受保護的用戶認證。 資訊事件會記錄在用戶端中,指出安全性套件不會快取使用者的登入認證。 預期 Digest (WDigest)、認證委派 (CredSSP) 和 NTLM 無法擁有受保護使用者成員的登入認證。 如果應用程式提示輸入認證,則仍然可以登入成功。 會顯示封裝名稱、使用者名稱及網域名稱。 |
| 100 ProtectedUserFailures-DomainController |
原因:受保護使用者安全組中的帳戶發生 NTLM 登入失敗。 錯誤會記錄在網域控制站中,指出因為帳戶是 Protected Users 安全性群組的成員,所以 NTLM 驗證失敗。 會顯示帳戶名稱和裝置名稱。 |
| 104 ProtectedUserFailures-DomainController |
原因:DES 或 RC4 加密類型用於 Kerberos 驗證,且受保護使用者安全組中的用戶發生登入失敗。 Kerberos 預先驗證失敗,因為當帳戶是受保護使用者安全組的成員時,無法使用 DES 和 RC4 加密類型。 (AES 可接受) |
| 303 ProtectedUserSuccesses-DomainController |
原因:Kerberos TGT 已成功為受保護使用者群組(Protected Users)的成員發出。 |