Beveiliging en beheer van referenties
Van toepassing op: Windows Server 2012 R2
In dit onderwerp voor IT-professionals worden nieuwe functies en methoden voor referentiebescherming en domeinverificatiebeheer ter beperking van referentiediefstal, die zijn geïntroduceerd in Windows Server 2012 R2 en Windows 8.1, besproken.
Beperkte Administrator-modus voor Extern bureaublad-verbindingen
De Beperkte Administrator-modus biedt een manier om u interactief aan te melden bij een externe hostserver zonder uw referenties naar de server te verzenden. Hiermee voorkomt u dat uw referenties tijdens het eerste verbindingsproces worden verkregen als er inbreuk is gemaakt op de server.
Als deze modus met beheerdersreferenties wordt gebruikt, probeert de extern-bureaubladclient zich interactief aan te melden bij een host die deze modus ook ondersteunt en zonder referenties te verzenden. Als de host bevestigt dat het gebruikersaccount beheerdersbevoegdheden heeft en de Beperkte Administrator-modus ondersteunt, wordt de verbinding tot stand gebracht. Anders mislukt de verbindingspoging. In de modus RestrictedAdmin wordt nooit platte tekst of andere vormen van referenties die opnieuw kunnen worden gebruikt, naar externe computers verzonden.
Zie Wat is er nieuw in Extern bureaublad-services in Windows Server voor meer informatie.
LSA-beveiliging
De lokale beveiligingsautoriteit (LSA; Local Security Authority), die deel uitmaakt van het LSASS-proces (Local Security Authority Security Service), valideert gebruikers tijdens lokale en externe aanmeldingen en dwingt lokale beveiligingsbeleidsregels af. Het besturingssysteem Windows 8.1 biedt aanvullende LSA-beveiliging waarmee wordt voorkomen dat code kan worden ingevoegd via niet-beveiligde processen. Dit biedt extra beveiliging voor de referenties die door de LSA worden opgeslagen en beheerd. U kunt deze instelling voor beveiligde processen voor LSA configureren in Windows 8.1. In Windows RT 8.1 is de instelling standaard ingeschakeld en kan de instelling niet worden gewijzigd.
Zie Aanvullende LSA-beveiliging configureren voor meer informatie over het configureren van LSA-beveiliging.
Beveiligingsgroep Beveiligde gebruikers
Deze nieuwe algemene domeingroep maakt nieuwe, niet-configureerbare bescherming mogelijk op apparaten en hostcomputers met Windows Server 2012 R2 en Windows 8.1. De groep Beveiligde gebruikers biedt aanvullende bescherming voor domeincontrollers en domeinen in Windows Server 2012 R2-domeinen. Hierdoor worden de beschikbare soorten referenties sterk verminderd wanneer een gebruiker bij een netwerkcomputer is aangemeld vanaf een computer waarop inbreuk is gemaakt.
Leden van de groep Beveiligde gebruikers worden verder beperkt door de volgende authenticatiemethoden:
Leden van de groep Beveiligde gebruikers kunnen zich alleen aanmelden via het Kerberos-protocol. Het account kan niet worden geauthenticeerd via NTLM, Samenvattingsauthenticatie of CredSSP. Op een apparaat met Windows 8.1 worden wachtwoorden niet in de cache opgeslagen. Dit betekent dat als voor het apparaat een van deze SSP's (providers van beveiligingsondersteuning) wordt gebruikt, het apparaat niet bij een domein kan worden geverifieerd wanneer het account lid is van de groep Beveiligde gebruikers.
Het Kerberos-protocol gebruikt geen zwakkere DES- of RC4-versleutelingstype in het proces van verificatie. Dit betekent dat het domein ten minste de AES-coderingssuite moet ondersteunen.
Het gebruikersaccount kan niet worden overgedragen door een overdracht met Kerberos-beperkingen of een overdracht zonder beperkingen. Dit betekent dat eerdere verbindingen met andere systemen kunnen mislukken als de gebruiker lid is van de groep met beveiligde gebruikers.
De standaardlevensduur voor Kerberos Ticket Granting Tickets (TGT's) is vier uur, maar u kunt deze instelling configureren met behulp van Authenticatiebeleid en -silo's in het Active Directory-beheercentrum (ADAC). Dit betekent dat de gebruiker na vier uur opnieuw moet worden geverifieerd.
Waarschuwing
Accounts voor services en computers mogen niet lid zijn van de groep met beveiligde gebruikers. Deze groep biedt geen lokale bescherming omdat het wachtwoord of certificaat altijd op de host beschikbaar is. De authenticatie mislukt met de fout 'de gebruikersnaam of het wachtwoord is onjuist' voor elke service of computer die is toegevoegd aan de groep met beveiligde gebruikers.
Zie Beveiligingsgroep Beveiligde gebruikers voor meer informatie over deze groep.
Authenticatiebeleid en authenticatiebeleidssilo's
Active Directory-beleidsregels in een forest zijn nieuw. U kunt deze toepassen op accounts in een domein met het domeinfunctionaliteitsniveau van Windows Server 2012 R2. Met deze verificatiebeleidsregels kan worden bepaald welke hosts een gebruiker kan gebruiken om zich aan te melden. De beleidsregels worden gebruikt in combinatie met de beveiligingsgroep Beveiligde gebruikers. Beheerders kunnen toegangsbeheervoorwaarden voor verificatie toepassen op de accounts. Met de authenticatiebeleidsregels worden gerelateerde accounts geïsoleerd om het bereik van een netwerk te beperken.
Met de nieuwe Active Directory-objectklasse voor verificatiebeleid kunt u verificatieconfiguraties toepassen op accountklassen in domeinen met het domeinfunctionaliteitsniveau van Windows Server 2012 R2. Authenticatiebeleidsregels worden afgedwongen tijdens de uitwisseling van Kerberos AS of TGS. De Active Directory-accountklassen zijn als volgt:
Gebruiker
Computer
Beheerd serviceaccount
Door groep beheerd serviceaccount
Zie Authenticatiebeleidsregels en authenticatiebeleidssilo's voor meer informatie.
Zie Beveiligde accounts configureren voor meer informatie over het configureren van beveiligde accounts.
Zie ook
Zie Windows Logon and Authentication Technical Overview (Technisch overzicht voor aanmelding en verificatie in Windows) voor meer informatie over LSA en LSASS.
Zie Technisch overzicht van referenties in cache en opgeslagen referenties voor meer informatie over de wijze waarop referenties worden beheerd in Windows.