Table of contents
TOC
Sbalit obsah
Rozbalit obsah

Skupina zabezpečení Chránění uživatelé

Corey Plett|Poslední aktualizace: 06.12.2016
|
1 Přispěvatel

Platí pro: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Toto téma určené pro IT profesionály popisuje skupinu zabezpečení Protected Users služby Active Directory a vysvětluje, jak funguje. Tato skupina bylo zavedeno v systému Windows Server 2012 R2.

U členů této skupiny se během procesů ověřování používají další ochranná opatření proti úniku přihlašovacích údajů.

Uvedení této skupiny zabezpečení je součástí strategie zaměřené na účinnou ochranu a správu přihlašovacích údajů v podniku. Členům této skupiny se na účtech automaticky nastaví ochranné prvky, které se nedají konfigurovat. Členství ve skupině Protected Users je pojaté jako restriktivní a proaktivně zaměřené na bezpečnost. Tyto ochranné prvky používané u účtu se dají změnit jedině odebráním účtu z této skupiny zabezpečení.

Upozornění

Členy skupiny Protected Users nesmí být účty služeb a počítačů. Tato skupina neposkytuje žádnou místní ochranu, protože heslo nebo certifikát jsou vždycky dostupné u hostitele. Ověření se nezdaří s chybou??? uživatelské jméno nebo heslo je nesprávné??? pro službu nebo počítač, který se přidá do skupiny chráněn Users.

Tuto doménových, globální skupinu aktivuje, které se nedají konfigurovat ochranu na zařízení a hostitelského počítače se systémem Windows Server 2012 R2 a Windows 8.1 a řadičích domény v doménách s primární řadič domény systémem Windows Server 2012 R2. Když se uživatelé přihlašují k počítačům v síti z dobře zabezpečeného počítače, výrazně se tím snižují nároky na paměť pro přihlašovací údaje.

V závislosti na úroveň funkčnosti domény na účet jsou členové skupiny chráněn Users dále chráněný kvůli změnám chování v metody ověřování, které jsou podporované ve Windows.

  • Člen skupiny Protected Users nemůže při ověřování používat protokol NTLM, algoritmus Digest ani protokol CredSSP. Na zařízení s Windows 8.1 hesla nejsou uložené v mezipaměti, takže zařízení, které používá k jedné z těchto zabezpečení podporu zprostředkovatele nebude moct ověřit k doméně, v případě, že účet je členem skupiny chráněný uživatelů.

  • Protokol Kerberos nebude při procesu předběžného ověření používat slabší šifrování typu DES nebo RC4. Z toho vyplývá, že doménu je potřeba nakonfigurovat tak, aby podporovala aspoň sadu šifer AES.

  • Uživatelského účtu nemůžete přidělena Kerberos omezeným nebo neomezená delegování. To znamená, že pokud je uživatel členem skupiny Protected Users, dřív používaná připojení k jiným systémů nemusí fungovat.

  • Výchozí nastavení doby platnosti lístků TGT protokolu Kerberos (čtyři hodiny) se dá změnit pomocí sil a zásad ověřování, ke kterým se dostanete z Centra správy služby Active Directory. To znamená, že když čtyřhodinové období uplyne, musí uživatel provést ověření znovu.

Další informace najdete v tomto tématu v části Jak to funguje.

Vlastnosti skupiny Protected Users uvádí tato tabulka.

AtributHodnota
Známý identifikátor SID/RIDS-1-5-21 --525
Do vyhledávacího pole na hlavním panelu napišteGlobální doména
Výchozí kontejnerCN = Uživatelé, DC =, DC =
Výchozí členovéŽádné
Výchozí člen skupinyŽádné
Chráněno objektem ADMINSDHOLDER?Ne
Dá se bezpečně přesunout mimo výchozí kontejner?Ano
Dá se správa této skupiny bezpečně delegovat na jiné správce než správce služeb?Ne
Výchozí uživatelská právaŽádná výchozí uživatelská práva

Jak skupina Protected Users funguje

Tato část vysvětluje, jak skupina Protected Users funguje, když:

  • Zařízení s Windows 8.1 se připojujete, Windows Server 2012 R2 je hostitelem ovládacího prvku.

  • Účet je umístěna na úroveň funkčnosti domény systému Windows Server 2012 R2.

Když se zařízení s Windows 8.1 připojujete k systému Windows Server 2012 R2 je hostitelem ovládacího prvku

Když uživatelé chráněný??? skupiny účet se upgradoval na úroveň funkčnosti domény systému Windows Server 2012 R2, se automaticky provedou ochranu na základě řadič domény. Členové skupiny chráněný uživatelé, kteří Windows Server 2012 R2 doméně ověřit, můžete už ověřit pomocí:

  • Delegování výchozích přihlašovacích údajů (CredSSP): Přihlašovací údaje ve formátu prostého textu se neukládají do mezipaměti, a to ani v případě, že je zapnuté nastavení zásad skupiny Povolit delegování výchozích pověření.

  • Algoritmus Digest ve Windows: Přihlašovací údaje ve formátu prostého textu se neukládají do mezipaměti, a to ani v případě, že je ve Windows zapnutý algoritmus Digest.

  • Protokol NTLM: Výsledek jednosměrné funkce NT (NTOWF) se neukládá do mezipaměti.

  • Dlouhodobé klíče protokolu Kerberos: Klíče z počátečních žádostí protokolu Kerberos o lístky TGT se obvykle ukládají do mezipaměti, takže se žádosti o ověření nepřerušují. U účtů v této skupině provádí protokol Kerberos ověření při každé žádosti.

  • Přihlašování offline: Při přihlášení se nevytvoří ověřovací nástroj v mezipaměti.

Pro každý účet ve skupině Protected Users se nastaví hodnota vypršení platnosti lístků TGT, která se nedá konfigurovat. Za normálních okolností nastaví dobu platnosti a obnovení lístků TGT řadič domény na základě zásad domény Maximální doba života lístku uživatele a Maximální doba života pro obnovení lístku uživatele. Pro skupinu Protected Users je v těchto zásadách domény nastavená hodnota 600minut.

Po přidání uživatelského účtu do skupiny Protected Users se u něj při přihlášení k doméně hned začne používat ochrana.

Když řadiče domény, než systém Windows Server 2012 R2 vyžadují skupiny zabezpečení chráněn Users

Na řadiče domény, které dřív než Windows Server 2012 R2 spusťte operační systém je možné použít skupiny chráněn Users. To umožňuje zvýšit úroveň zabezpečení, které se dosáhne použitím skupiny Protected Users u všech řadičů domény. Skupiny chráněn Users vytvořením HYPERTEXTOVÝ ODKAZ "http://technet.microsoft.com/library/cc816944 (v=ws.10).aspx" přenosu roli emulátoru operační primární domény do řadiče domény, se systémem Windows Server 2012 R2. Až se objekt skupiny replikuje na ostatní řadiče domény, může se role emulátoru PDC hostovat na řadiči domény, kde běží starší verze Windows Serveru.

Další informace najdete v tématu Jak konfigurovat chráněné účty.

Předdefinovaná omezení ve skupině zabezpečení Protected Users

Účty, které jsou členové skupiny Uživatelé chráněný, které systém Windows Server 2012 R2 doméně ověřit, nejde:

  • Používat ověřování NTLM

  • Používat při předběžném ověření protokolem Kerberos šifrování typu DES nebo RC4

  • Být delegované s použitím neomezeného nebo omezeného delegování

  • Obnovit platnost lístků TGT protokolu Kerberos nad rámec původní čtyřhodinové doby platnosti

Upozornění

Členy skupiny Protected Users nesmí být účty služeb a počítačů. Tato skupina neposkytuje žádnou místní ochranu, protože heslo nebo certifikát jsou vždycky dostupné u hostitele.

Informace v protokolu událostí

Při odstraňování problémů s událostmi souvisejícími se skupinou Protected Users vám můžou pomoct dva operační protokoly pro správu, které jsou dostupné. Tyto nové protokoly se nacházejí v Prohlížeči událostí a ve výchozím nastavení jsou vypnuté. Najdete je ve složce Protokoly aplikací a služeb\Microsoft\Windows\Microsoft\Authentication.

ID a protokol událostiPopis
104

ProtectedUser-Client
Důvod: Balíček zabezpečení v klientovi neobsahuje pověření.

Tato chyba se do protokolu v klientském počítač zaznamená v případě, že je účet členem skupiny zabezpečení Protected Users. Tato událost označuje, že balíček zabezpečení neukládá do mezipaměti přihlašovací údaje, která jsou potřebné k ověření na serveru.

Zobrazí se název balíčku, uživatelské jméno, název domény a název serveru.
304

ProtectedUser-Client
Důvod: Balíček zabezpečení neukládá chráněný uživatelské přihlašovací údaje.

Informační událost se zaznamená klient označuje, že balíček zabezpečení neukládá do mezipaměti uživatele přihlašovací pověření. Očekává se, že při ověřování algoritmem Digest (WDigest), metodou delegování přihlašovacích údajů (CredSSP) a protokolem NTLM nebudou dostupné přihlašovací údaje pro skupinu Protected Users. Aplikace ale můžou v případě výzvy k zadání přihlašovacích údajů přesto uspět.

Zobrazí se název balíčku, uživatelské jméno a název domény.
100

ProtectedUserFailures-DomainController
Důvod: Pro účet, který je ve skupině zabezpečení chráněný uživatelé dojde k NTLM přihlášení selhání.

Do protokolu řadiče domény se zaznamená chyba, která označuje, že se ověření protokolem NTLM nepovedlo, protože účet je členem skupiny zabezpečení Protected Users.

Zobrazí se název účtu a název zařízení.
104

ProtectedUserFailures-DomainController
Důvod: DES nebo RC4 typy šifrování se používají pro ověřování Kerberos a pro uživatele ve skupině zabezpečení chráněný uživatelů dojde k chybě při přihlašování.

Předběžné ověření protokolem Kerberos se nepovedlo, protože u účtu, který je členem skupiny zabezpečení Protected Users, se nemůže používat šifrování typu DES a RC4.

(Typ AES se použít dá.)
303

ProtectedUserSuccesses-DomainController
Důvod: Kerberos lístek dáte lístku (TGT) úspěšně vystaven pro členem skupiny chráněný uživatelů.

Požadavky na nasazení

Aby šlo zajistit ochranu členů skupiny Protected Users na straně klienta, musí být splněné tyto požadavky:

  • Globální skupina zabezpečení Protected Users se musí replikovat na všechny řadiče domény v doméně účtu.

  • Zařízení a je hostitelem ovládacího prvku se systémem Windows 8.1 nebo Windows Server 2012 R2.

Aby šlo zajistit ochranu členů skupiny Protected Users na straně řadiče domény, musí být splněné tyto požadavky:

  • Úroveň funkčnosti domény v doménách účtů nastavený na Windows Server 2012 R2.

Chcete-li ochrana systému Windows Server 2012 R2 a Windows 8.1 pro klienty v doménách s před Windows Server 2012 R2 úrovní funkčnosti domény, po skupině chráněn Users replikována v celé doméně, uživatel přihlásí do pomocí účtu, který je členem skupiny chráněn Users.

Další zdroje informací

© 2017 Microsoft