Защита учетных данных и управление ими

  • Статья

 

Применимо к:Windows Server 2012 R2

В этом разделе для ИТ-специалистов рассматриваются функции и методы, появившиеся в Windows Server 2012 R2 и Windows 8.1 и обеспечивающие защиту учетных данных и проверку подлинности с целью уменьшения риска кражи данных.

Ограниченный административный режим для подключения к удаленному рабочему столу

Ограниченный административный режим позволяет устанавливать интерактивное подключение к удаленному серверу без передачи на него своих учетных данных. В случае взлома сервера это предотвращает раскрытие учетных данных при изначальном подключении.

Используя этот режим для защиты учетных данных администратора, клиент удаленного рабочего стола предпринимает попытку интерактивного подключения к главному компьютеру, также поддерживающему этот режим. После успешной проверки прав администратора и поддержки ограниченного административного режима для учетной записи подключающегося пользователя происходит установка соединения. В противном случае попытка подключения терпит неудачу. При использовании ограниченного административного режима ни при каких условиях не происходит отправка на удаленные компьютеры учетных данных в виде обычного текста или в других доступных для использования формах.

Дополнительные сведения см. в разделе Новые возможности служб удаленных рабочих столов в Windows Server.

Защита LSA

Локальная система безопасности (LSA), входящая в службу LSASS, проверяет пользователей во время локального и удаленного входа и применяет локальные политики безопасности. Операционная система Windows 8.1 обеспечивает дополнительную защиту для LSA, предотвращая внедрение кода незащищенными процессами. Это усиливает безопасность учетных данных, которые хранит LSA и которыми управляет LSA. Защиту LSA можно настроить в Windows 8.1, в то время как в Windows RT 8.1 она по умолчанию активна и не может быть выключена.

Сведения о настройке брандмауэра см. в разделе Настройка дополнительной защиты LSA.

Группа безопасности "Защищенные пользователи"

Эта новая глобальная группа домена позволяет включить дополнительную ненастраиваемую защиту для устройств и главных компьютеров под управлением Windows Server 2012 R2 и Windows 8.1. При помощи группы "Защищенные пользователи" можно расширить защиту доменных контроллеров и доменов на базе Windows Server 2012 R2. Это позволяет существенно уменьшить количество типов учетных данных, доступных при подключении пользователей к компьютерам сети с помощью устройства, которое не было взломано.

На членов группы "Защищенные пользователи" накладываются ограничения следующих методов проверки подлинности.

  • Члены группы "Защищенные пользователи" могут устанавливать подключение только при помощи протокола Kerberos. Учетная запись не может пройти проверку подлинности с помощью NTLM, дайджест-проверки или CredSSP. На устройстве под управлением Windows 8.1 пароли не кэшируются, поэтому устройство, использующее какой-либо из этих поставщиков поддержки безопасности (SSP), не сможет пройти проверку подлинности в домене, если учетная запись входит в группу защищенных пользователей.

  • В процессе предварительной проверки подлинности протоколом Kerberos не будут использоваться менее надежные способы шифрования DES и RC4. Это означает, что домен должен как минимум быть настроен на поддержку наборов шифров AES.

  • Для учетной записи пользователя не может использоваться ограниченное или неограниченное делегирование Kerberos. Это означает, что если компьютер входит в группу "Защищенные пользователи", старые подключения к другим системам могут выйти из строя.

  • Время действия билетов предоставления билетов Kerberos по умолчанию, составляющее 4 часа, можно изменить в настройках политик проверки подлинности и приемников команд в центре администрирования Active Directory. Настройки по умолчанию означают, что по прошествии четырех часов пользователь должен снова пройти проверку подлинности.

Предупреждение

Учетные записи служб и компьютеров не должны входить в группу защищенных пользователей. Это группа не предоставляет локальной защиты, поскольку пароль или сертификат всегда доступен на узле. Проверка подлинности завершится с ошибкой "Неверное имя пользователя или пароль" для службы или компьютера, добавленных в группу защищенных пользователей.

Дополнительные сведения об этой группе см. в разделе Группа безопасности "Защищенные пользователи".

Политика проверки подлинности и приемники команд политик проверки подлинности

В этих версиях добавлены политики Active Directory на основе леса, которые могут применяться к учетным записям доменов, работающих в режиме Windows Server 2012 R2. Эти политики проверки подлинности могут управлять тем, какие узлы используют пользователи для входа. Политики функционируют совместно с группой безопасности "Защищенные пользователи", и для проверки подлинности этих учетных записей администраторы могут применить условия контроля доступа. Эти политики проверки подлинности изолируют соответствующие учетные записи и ограничивают для них доступную область сети.

Новый класс объектов Active Directory — "Политика проверки подлинности" — позволит применить определенную конфигурацию проверки подлинности к различным классам учетных записей, принадлежащих доменам, которые работают в режиме Windows Server 2012 R2. Политики проверки подлинности применяются при обмене Kerberos типа AS и TGS. Классы учетных записей Active Directory.

  • User

  • Компьютер

  • Управляемая учетная запись службы

  • Групповая управляемая учетная запись службы

Дополнительные сведения см. в разделе Политики проверки подлинности и приемники команд политик проверки подлинности.

Дополнительные сведения о настройке защиты учетных записей см. в разделе Настройка защищенных учетных записей.

См. также:

Дополнительные сведения о соглашениях LSA и LSASS см. в разделе Обзор входа в Windows и проверки подлинности.

Дополнительные сведения о том, как Windows управляет учетными записями, см. в разделе Технический обзор кэширования и хранения учетных данных.