Защита учетных данных и управление ими
Применимо к:Windows Server 2012 R2
В этом разделе для ИТ-специалистов рассматриваются функции и методы, появившиеся в Windows Server 2012 R2 и Windows 8.1 и обеспечивающие защиту учетных данных и проверку подлинности с целью уменьшения риска кражи данных.
Ограниченный административный режим для подключения к удаленному рабочему столу
Ограниченный административный режим позволяет устанавливать интерактивное подключение к удаленному серверу без передачи на него своих учетных данных. В случае взлома сервера это предотвращает раскрытие учетных данных при изначальном подключении.
Используя этот режим для защиты учетных данных администратора, клиент удаленного рабочего стола предпринимает попытку интерактивного подключения к главному компьютеру, также поддерживающему этот режим. После успешной проверки прав администратора и поддержки ограниченного административного режима для учетной записи подключающегося пользователя происходит установка соединения. В противном случае попытка подключения терпит неудачу. При использовании ограниченного административного режима ни при каких условиях не происходит отправка на удаленные компьютеры учетных данных в виде обычного текста или в других доступных для использования формах.
Дополнительные сведения см. в разделе Новые возможности служб удаленных рабочих столов в Windows Server.
Защита LSA
Локальная система безопасности (LSA), входящая в службу LSASS, проверяет пользователей во время локального и удаленного входа и применяет локальные политики безопасности. Операционная система Windows 8.1 обеспечивает дополнительную защиту для LSA, предотвращая внедрение кода незащищенными процессами. Это усиливает безопасность учетных данных, которые хранит LSA и которыми управляет LSA. Защиту LSA можно настроить в Windows 8.1, в то время как в Windows RT 8.1 она по умолчанию активна и не может быть выключена.
Сведения о настройке брандмауэра см. в разделе Настройка дополнительной защиты LSA.
Группа безопасности "Защищенные пользователи"
Эта новая глобальная группа домена позволяет включить дополнительную ненастраиваемую защиту для устройств и главных компьютеров под управлением Windows Server 2012 R2 и Windows 8.1. При помощи группы "Защищенные пользователи" можно расширить защиту доменных контроллеров и доменов на базе Windows Server 2012 R2. Это позволяет существенно уменьшить количество типов учетных данных, доступных при подключении пользователей к компьютерам сети с помощью устройства, которое не было взломано.
На членов группы "Защищенные пользователи" накладываются ограничения следующих методов проверки подлинности.
Члены группы "Защищенные пользователи" могут устанавливать подключение только при помощи протокола Kerberos. Учетная запись не может пройти проверку подлинности с помощью NTLM, дайджест-проверки или CredSSP. На устройстве под управлением Windows 8.1 пароли не кэшируются, поэтому устройство, использующее какой-либо из этих поставщиков поддержки безопасности (SSP), не сможет пройти проверку подлинности в домене, если учетная запись входит в группу защищенных пользователей.
В процессе предварительной проверки подлинности протоколом Kerberos не будут использоваться менее надежные способы шифрования DES и RC4. Это означает, что домен должен как минимум быть настроен на поддержку наборов шифров AES.
Для учетной записи пользователя не может использоваться ограниченное или неограниченное делегирование Kerberos. Это означает, что если компьютер входит в группу "Защищенные пользователи", старые подключения к другим системам могут выйти из строя.
Время действия билетов предоставления билетов Kerberos по умолчанию, составляющее 4 часа, можно изменить в настройках политик проверки подлинности и приемников команд в центре администрирования Active Directory. Настройки по умолчанию означают, что по прошествии четырех часов пользователь должен снова пройти проверку подлинности.
Предупреждение
Учетные записи служб и компьютеров не должны входить в группу защищенных пользователей. Это группа не предоставляет локальной защиты, поскольку пароль или сертификат всегда доступен на узле. Проверка подлинности завершится с ошибкой "Неверное имя пользователя или пароль" для службы или компьютера, добавленных в группу защищенных пользователей.
Дополнительные сведения об этой группе см. в разделе Группа безопасности "Защищенные пользователи".
Политика проверки подлинности и приемники команд политик проверки подлинности
В этих версиях добавлены политики Active Directory на основе леса, которые могут применяться к учетным записям доменов, работающих в режиме Windows Server 2012 R2. Эти политики проверки подлинности могут управлять тем, какие узлы используют пользователи для входа. Политики функционируют совместно с группой безопасности "Защищенные пользователи", и для проверки подлинности этих учетных записей администраторы могут применить условия контроля доступа. Эти политики проверки подлинности изолируют соответствующие учетные записи и ограничивают для них доступную область сети.
Новый класс объектов Active Directory — "Политика проверки подлинности" — позволит применить определенную конфигурацию проверки подлинности к различным классам учетных записей, принадлежащих доменам, которые работают в режиме Windows Server 2012 R2. Политики проверки подлинности применяются при обмене Kerberos типа AS и TGS. Классы учетных записей Active Directory.
User
Компьютер
Управляемая учетная запись службы
Групповая управляемая учетная запись службы
Дополнительные сведения см. в разделе Политики проверки подлинности и приемники команд политик проверки подлинности.
Дополнительные сведения о настройке защиты учетных записей см. в разделе Настройка защищенных учетных записей.
См. также:
Дополнительные сведения о соглашениях LSA и LSASS см. в разделе Обзор входа в Windows и проверки подлинности.
Дополнительные сведения о том, как Windows управляет учетными записями, см. в разделе Технический обзор кэширования и хранения учетных данных.