Schutz und Verwaltung von Anmeldeinformationen

  • Artikel

 

Betrifft: Windows Server 2012 R2

In diesem Thema für IT-Spezialisten werden in Windows Server 2012 R2 und Windows 8.1 eingeführte Features und Methoden zum Schützen von Anmeldeinformationen und Authentifizierungssteuerelemente für Domänen beschrieben, um Diebstahl von Anmeldeinformationen zu verringern.

Eingeschränkter Administratormodus für die Remotedesktopverbindung

Der eingeschränkte Administratormodus stellt eine Methode zum interaktiven Protokollieren auf einem Remotehostserver dar, bei dem Ihre Anmeldeinformationen nicht an den Server übermittelt werden. Dadurch wird verhindert, dass Ihre Anmeldeinformationen beim anfänglichen Verbindungsprozess abgefangen werden, wenn der Server gefährdet ist.

Durch die Verwendung dieses Modus mit Administratoranmeldeinformationen versucht der Remotedesktopclient, sich interaktiv auf einem Host anzumelden, der diesen Modus ebenfalls unterstützt, ohne Anmeldeinformationen zu senden. Die Verbindung wird erfolgreich hergestellt, wenn der Host bestätigt hat, dass das Benutzerkonto, das die Verbindung herstellt, über Administratorrechte verfügt und den eingeschränkten Administratormodus unterstützt. Andernfalls schlägt der Verbindungsversuch fehl. Beim eingeschränkten Administratormodus werden Anmeldeinformationen nie als Nur-Text oder in einer anderen wiederverwendbaren Form an Remotecomputer gesendet.

Weitere Informationen finden Sie unter Neues in den Remotedesktopdiensten in Windows Server.

LSA-Schutz

Mithilfe der lokalen Sicherheitsautorität (Local Security Authority, LSA), die sich im LSASS-Prozess (Local Security Authority Security Service, Sicherheitsdienst für die lokale Sicherheitsautorität) befindet, werden Benutzer für die lokale Anmeldung und Remoteanmeldung überprüft und lokale Sicherheitsrichtlinien erzwungen. Das Betriebssystem Windows 8.1 stellt zusätzlichen Schutz für die lokale Sicherheitsautorität bereit, um das Injizieren von Code durch ungeschützte Prozesse zu verhindern. Dies sorgt für eine erhöhte Sicherheit in Bezug auf Anmeldeinformationen, die von der lokalen Sicherheitsautorität gespeichert und verwaltet werden. Diese geschützte Prozesseinstellung für LSA kann in Windows 8.1 konfiguriert werden. Sie ist aber in Windows RT 8.1 standardmäßig aktiviert und kann nicht geändert werden.

Weitere Informationen zum Konfigurieren des LSA-Schutzes finden Sie unter Konfigurieren von zusätzlichem LSA-Schutz.

Sicherheitsgruppe "Geschützte Benutzer"

Diese neue globale Gruppe in der Domäne ruft auf Geräten und Hostcomputern, die Windows Server 2012 R2 und Windows 8.1 ausführen, neue nicht konfigurierbare Schutzmaßnahmen ab. Die Gruppe "Geschützte Benutzer" aktiviert für Domänencontroller und Domänen in Windows Server 2012 R2-Domänen einen zusätzlichen Schutz. Dadurch werden die Anmeldeinformationstypen erheblich verringert, die verfügbar sind, wenn Benutzer über einen nicht gefährdeten Computer auf Computern im Netzwerk angemeldet sind.

Mitglieder der Gruppe "Geschützte Benutzer" werden mithilfe der folgenden Authentifizierungsmethoden weiter eingeschränkt:

  • Ein Mitglied der Gruppe "Geschützte Benutzer" kann sich nur über das Kerberos-Protokoll anmelden. Das Konto kann nicht mithilfe von NTLM, Digestauthentifizierung oder CredSSP authentifiziert werden. Auf einem Gerät mit Windows 8.1 werden Kennwörter nicht zwischengespeichert. Daher schlägt die Authentifizierung auf dem Gerät, das einen dieser Security Support Provider (SSP) verwendet, gegenüber einer Domäne fehl, wenn das Konto Mitglied der Gruppe "Geschützte Benutzer" ist.

  • Das Kerberos-Protokoll verwendet die schwächeren Verschlüsselungstypen DES oder RC4 nicht im Vorauthentifizierungsprozess. Daher muss die Domäne so konfiguriert werden, dass mindestens die Verschlüsselungssammlung AES unterstützt wird.

  • Das Konto des Benutzers kann nicht mit der eingeschränkten und uneingeschränkten Kerberos-Delegierung delegiert werden. Das bedeutet, dass frühere Verbindungen mit anderen Systemen fehlschlagen, wenn der Benutzer Mitglied der Gruppe "Geschützte Benutzer" ist.

  • Die Standardeinstellung für die Lebensdauer von Kerberos-TGTs (Ticket Granting Tickets) von vier Stunden kann mit Authentifizierungsrichtlinien und -silos konfiguriert werden, auf die über das Active Directory-Verwaltungscenter zugegriffen werden kann. Das heißt, dass sich der Benutzer nach Ablauf von vier Stunden erneut authentifizieren muss.

Warnung

Konten für Dienste und Computer sollten nicht Mitglieder der Benutzergruppe "Geschützte Benutzer" sein. Diese Gruppe bietet keinen lokalen Schutz, da das Kennwort oder Zertifikat immer auf dem Host verfügbar ist. Die Authentifizierung schlägt für alle Dienste oder Computer, die der Gruppe der geschützten Benutzer hinzugefügt werden, mit dem Fehler "Der Benutzername oder das Kennwort ist falsch" fehl.

Weitere Informationen zu dieser Gruppe finden Sie unter Sicherheitsgruppe "Geschützte Benutzer".

Authentifizierungsrichtlinie und Authentifizierungsrichtliniensilos

Es werden gesamtstrukturbasierte Active Directory-Richtlinien eingeführt, die auf Konten in einer Domäne mit Windows Server 2012 R2-Domänenfunktionsebene angewendet werden können. Mit diesen Authentifizierungsrichtlinien kann gesteuert werden, welche Hosts ein Benutzer zum Anmelden verwenden kann. Sie werden in Verbindung mit der Sicherheitsgruppe „Geschützte Benutzer“ verwendet, und Administratoren können auf die Konten Zugriffssteuerungsbedingungen zur Authentifizierung anwenden. Diese Authentifizierungsrichtlinien isolieren zugehörige Konten, um den Gültigkeitsbereich eines Netzwerks zu beschränken.

Mithilfe der neuen Active Directory-Objektklasse „Authentifizierungsrichtlinie“ können Sie die Authentifizierungskonfiguration auf Kontoklassen in Domänen mit einer Windows Server 2012 R2-Domänenfunktionsebene anwenden. Authentifizierungsrichtlinien werden während des Austauschs des Authentifizierungsdiensts (Authentication Service, AS) und des Ticket-Granting Service (TGS) des Kerberos-Protokolls erzwungen. Es existieren die folgenden Active Directory-Kontoklassen:

  • User

  • Computer

  • Verwaltetes Dienstkonto

  • Gruppenverwaltetes Dienstkonto

Weitere Informationen finden Sie unter Authentifizierungsrichtlinien und Authentifizierungsrichtliniensilos.

Weitere Informationen zum Konfigurieren geschützter Konten finden Sie unter Konfigurieren geschützter Konten.

Siehe auch

Weitere Informationen zu LSA und LSASS finden Sie unter Technische Übersicht über die Windows-Anmeldung und -Authentifizierung.

Weitere Informationen zur Verwaltung von Anmeldeinformationen in Windows finden Sie unter Technische Übersicht zu zwischengespeicherten und gespeicherten Anmeldeinformationen.