Ochrona poświadczeń i zarządzanie nimi

Dotyczy: Windows Server 2012 R2

W tym temacie przeznaczonym dla specjalistów IT omówiono funkcje i metody wprowadzone w systemach Windows Server 2012 R2 oraz Windows 8.1 w przypadku opcji kontroli ochrony poświadczeń i uwierzytelniania domen w celu ograniczenia kradzieży poświadczeń.

Tryb administratora z ograniczonym dostępem dla usługi Podłączanie pulpitu zdalnego

Tryb administratora z ograniczonym dostępem zapewnia metodę interakcyjnego logowania się do serwera hosta zdalnego bez przekazywania poświadczeń na serwer. Uniemożliwia to przechwycenie poświadczeń podczas procesu połączenia początkowego, jeśli naruszono bezpieczeństwo serwera.

Jeśli ten tryb jest używany z poświadczeniami administratora, klient usług pulpitu zdalnego próbuje interakcyjnie zalogować się do hosta, który również obsługuje ten tryb, bez wysyłania poświadczeń. Gdy host zweryfikuje, że konto użytkownika nawiązujące połączenie ma uprawnienia administratora i obsługuje tryb administratora z ograniczonym dostępem, połączenie powiedzie się. W przeciwnym razie próba połączenia nie powiedzie się. W trybie administracji z ograniczeniami poświadczenia w postaci zwykłego tekstu lub w innej formie umożliwiającej ponowne użycie nie są w żadnym momencie wysyłane do komputerów zdalnych.

Aby uzyskać więcej informacji, zobacz temat Co nowego w usługach pulpitu zdalnego w systemie Windows Server.

Ochrona LSA

Urząd zabezpieczeń lokalnych (Local Security Authority, LSA), będący częścią usługi zabezpieczeń urzędu zabezpieczeń lokalnych (Local Security Authority Security Service, LSASS) sprawdza operacje logowania lokalnego i zdalnego użytkowników oraz wymusza zasady zabezpieczeń lokalnych. System operacyjny Windows 8.1 udostępnia dodatkową ochronę urzędu LSA zapobiegającą wstrzyknięciu kodu przez niechronione procesy. Zwiększa to bezpieczeństwo poświadczeń przechowywanych i zarządzanych przez proces LSA. To ustawienie chronionego procesu dla urzędu LSA można skonfigurować w systemie Windows 8.1, ale w systemie Windows RT 8.1 jest włączone domyślnie i nie można go zmienić.

Aby uzyskać informacje o konfigurowaniu ochrony urzędu LSA, zobacz Konfigurowanie dodatkowej ochrony LSA.

Grupa zabezpieczeń Chronieni użytkownicy

Ta nowa globalna grupa domen wyzwala niemożliwą do skonfigurowania ochronę na urządzeniach i komputerach hostach z systemem Windows Server 2012 R2 i Windows 8.1. Grupa Chronieni użytkownicy umożliwia stosowanie dodatkowych zabezpieczeń dla kontrolerów domeny i domen w domenach z systemem Windows Server 2012 R2. Gdy użytkownicy są zalogowani na komputerach w sieci z niezagrożonego komputera, znacznie ogranicza to typy dostępnych poświadczeń.

Członkowie grupy Chronieni użytkownicy mają kolejne ograniczenia wynikające z następujących metod uwierzytelniania:

• Członek grupy Chronieni użytkownicy może się zarejestrować tylko przy użyciu protokołu Kerberos. Konta nie można uwierzytelnić przy użyciu technologii NTLM, uwierzytelniania szyfrowanego lub CredSSP. W przypadku urządzenia z systemem Windows 8.1 hasła nie są buforowane, dlatego urządzenie korzystające z dowolnego spośród dostawców obsługi zabezpieczeń nie będzie mogło uwierzytelnić domeny, jeśli konto jest członkiem grupy Chronieni użytkownicy.

• Protokół Kerberos nie będzie używać słabszych typów szyfrowania DES czy RC4 w procesie wstępnego uwierzytelniania. Oznacza to, że domena musi być skonfigurowana do obsługi co najmniej pakietu szyfrowania AES.

• Nie można delegować konta użytkownika za pomocą ograniczonego lub nieograniczonego delegowania protokołu Kerberos. Oznacza to, że wcześniejsze połączenia z innymi systemami mogą zakończyć się niepowodzeniem, jeśli użytkownik należy do grupy Chronieni użytkownicy.

• Domyślne ustawienie okresu istnienia biletu uprawniającego do przyznania biletu Kerberos wynoszące 4 godziny można skonfigurować za pomocą zasad uwierzytelniania i silosów dostępnych za pośrednictwem centrum administracyjnego usługi Active Directory (Active Directory Administrative Center, ADAC). Oznacza to, że po upływie czterech godzin użytkownik musi uwierzytelnić się ponownie.

Aby uzyskać więcej informacji na temat tej grupy, zobacz Grupa zabezpieczeń Chronieni użytkownicy.

Zasady uwierzytelniania i silos zasad uwierzytelniania

Wprowadzane są oparte na lasach zasady usługi Active Directory, które można zastosować do kont w domenie na funkcjonalnym poziomie domeny systemu Windows Server 2012 R2. Te zasady uwierzytelniania pozwalają na kontrolowanie, których hostów użytkownik może używać do logowania. Działają one w połączeniu z grupą zabezpieczeń Chronieni użytkownicy, a administratorzy mogą stosować warunki kontroli dostępu powiązanej z uwierzytelnianiem do kont. Te zasady uwierzytelniania izolują powiązane konta, aby ograniczyć zakres sieci.

Nowa klasa obiektów usługi Active Directory — Zasady uwierzytelniania — umożliwia stosowanie konfiguracji uwierzytelniania do klas kont w domenach z funkcjonalnym poziomem domeny z systemem Windows Server 2012 R2. Zasady uwierzytelniania są wymuszane podczas wymiany protokołu Kerberos AS lub TGS. Występują następujące klasy kont usługi Active Directory:

• Użytkownik

• Komputer

• Zarządzane konto usługi

• Konto usługi zarządzane przez grupę

Aby uzyskać więcej informacji, zobacz temat Zasady uwierzytelniania i silosy zasad uwierzytelniania.

Aby uzyskać więcej informacji o konfigurowaniu kont chronionych, zobacz Konfigurowanie kont chronionych.

Zobacz też

Aby uzyskać więcej informacji o urzędzie LSA i usłudze LSASS, zobacz Logowanie do systemu Windows i jego uwierzytelnianie — omówienie.

Aby uzyskać więcej informacji o zarządzaniu poświadczeniami w systemie Windows, zobacz Omówienie techniczne zbuforowanych i przechowywanych poświadczeń.