Table of contents
TOC
Свернуть оглавление
Развернуть оглавление

Политики проверки подлинности и хранилищ политики проверки подлинности

Corey Plett|Последнее обновление: 13.01.2017
|
1 Участник

Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе для ИТ-специалистов, описаны ресурсы политики проверки подлинности и политики, которые можно ограничить учетных записей для этих хранилищ данных. В нем также описывается, как политики проверки подлинности можно использовать для ограничения учетных записей.

Ресурсы политики проверки подлинности и соответствующей политики позволяют содержат высоким уровнем привилегий учетные данные для систем, которые подходят только для выбранных пользователей, компьютеров или служб. Ресурсы могут быть определены и управляемых в доменных службах Active Directory (AD DS), используя Центр администрирования Active Directory и командлеты Active Directory Windows PowerShell.

Хранилищ политики проверки подлинности — это контейнеры, к которым администраторы могут назначать учетным записям пользователей, учетные записи компьютеров и службы. Наборы учетных записей можно затем управляется политики проверки подлинности, которые были применены для этого контейнера. Это уменьшает необходимость отслеживание доступа к ресурсам, для отдельных учетных записей администратора и позволяет предотвратить доступ к другим ресурсам через кражи учетных данных злоумышленников.

Возможности, появившиеся в Windows Server 2012 R2 позволяют создавать политики хранилищ данных, содержащих набор высоким уровнем привилегий пользователи проверки подлинности. Затем можно назначить политики проверки подлинности для этого контейнера для ограничения использования привилегированных учетных записей в домене. При учетных записей находятся в группе безопасности защищенного пользователей, применяются дополнительные элементы управления, например использовать протокол Kerberos.

Эти возможности можно ограничить использование учетной записи ценных ценных узлам. Например можно создать контейнере Администраторы новый лес, содержащий предприятия, схемы и Администраторы домена. Затем можно настроить контейнере с помощью политики проверки подлинности, чтобы завершится ошибкой, пароль и проверки подлинности с помощью смарт-карты из систем, отличных от контроллеров домена и консоли администратора домена.

Сведения о настройке хранилищ политики проверки подлинности и политики проверки подлинности см. в разделе как настроить учетные записи защищены.

О хранилищ политики проверки подлинности

Контейнере политики проверки подлинности определяет, какие учетные записи может быть ограничено контейнере и определяет политики проверки подлинности, чтобы применить к элементам. Вы можете создать контейнере, в соответствии с требованиями вашей организации. Хранилищ — это объекты Active Directory для пользователей, компьютеров и служб, как определено схемы в следующей таблице.

Схема Active Directory для хранилищ политики проверки подлинности

Отображаемое имяОписание
Контейнере политики проверки подлинностиЭкземпляр этого класса определяет политики проверки подлинности и связанные функции ограниченного пользователей, компьютеров и служб.
Хранилищ политики проверки подлинностиКонтейнер этого класса может содержать объекты контейнере политики проверки подлинности.
Контейнере политики проверки подлинности принудительноУказывает, будет ли принудительно контейнере политики проверки подлинности.

Если не применяется, политики по умолчанию находится в режиме аудита. События, которые указывают потенциальных успехов и отказов создаются, но средства защиты, не применяются к системе.
Наследуемым контейнере политики ограниченного проверки подлинностиЭтот атрибут является обратная связь для msDS-AssignedAuthNPolicySilo.
Члены контейнере политики проверки подлинностиУказывает, какие субъекты назначены AuthNPolicySilo.
Наследуемым членам контейнере политики проверки подлинностиЭтот атрибут является обратная связь для msDS-AuthNPolicySiloMembers.

Хранилищ политики проверки подлинности можно настроить, используя консоль администрирования Active Directory и Windows PowerShell. Дополнительные сведения см. в разделе как настроить учетные записи защищены.

О политики проверки подлинности

Политики проверки подлинности определяет свойства срок жизни билетов (TGT) для получения билетов Kerberos протокола и проверки подлинности условий управления доступом для типа учетной записи. Политика построен на и управляет контейнер AD DS, известные как контейнере политики проверки подлинности.

Контролировать следующие политики проверки подлинности.

  • Время существования TGT для учетной записи, которое равно-невоспроизводимые.

  • Условия, которые учетные записи устройства необходимо выполнить вход с помощью пароля или сертификата.

  • Условия, которые пользователи и устройства должны соответствовать, чтобы выполнить проверку подлинности службам, запущенным как часть учетной записи.

Тип учетной записи Active Directory определяет роль вызывающего как одно из следующих действий:

  • Пользователь

    Пользователи всегда должны иметь члены группы безопасности защищенного пользователей, который по умолчанию отклоняет попытки проверки подлинности с помощью NTLM.

    Политики можно настроить так, чтобы задать время существования TGT учетной записи пользователя меньшее значение или ограничения устройства, на которых можно Вход учетной записи пользователя. Можно настроить форматированного выражениями в политики проверки подлинности для управления с критериями, которым должны соответствовать для проверки подлинности в службе пользователей и устройств.

    Дополнительные сведения см. защищенные группы безопасности пользователи.

  • Службы

    Автономные управляемых учетных записей служб, учетные записи служб группы управляемых или объект пользовательской учетной записи, который является производным от этих двух типов службы, в которых используются учетные записи. Можно настроить политики доступа к устройству управления условия, которые используются для ограничения управляемую службу учетные данные учетной записи для конкретных устройств с удостоверением Active Directory. Никогда не должны быть члены группы безопасности защищенного пользователи службы, так как все входящие проверку подлинности не удастся.

  • Компьютер

    Используется объект учетной записи компьютера или пользовательской учетной записи объект, который является производным от объекта учетной записи компьютера. Можно настроить политики доступа условий управления, которые необходимо разрешить проверку подлинности на основе пользователя и устройства свойства учетной записи. Компьютеры не должны быть члены группы безопасности защищенного пользователей, так как все входящие проверку подлинности не удастся. По умолчанию попытки использовать проверку подлинности NTLM будут отклонены. Время существования TGT не должны быть настроены для учетных записей компьютеров.

Примечание

Можно настроить политику проверки подлинности на набор записей без сопоставления политики в контейнере политики проверки подлинности. Можно использовать эту стратегию при наличии одной учетной записи для защиты.

Схема Active Directory для политики проверки подлинности

Схемы в следующей таблице определяются политики для объектов Active Directory для пользователей, компьютеров и служб.

ТипОтображаемое имяОписание
ПолитикиПолитика проверки подлинностиЭкземпляр этого класса определяет поведение политики проверки подлинности для ограниченного участников.
ПолитикиПолитики проверки подлинностиКонтейнер этого класса может содержать объекты политики проверки подлинности.
ПолитикиПрименяется политика проверки подлинностиУказывает, является ли политика проверки подлинности.

При не применяется политика по умолчанию находится в режиме аудита и события, которые указывают потенциальных успехов и отказов создаются, но средства защиты, не применяются к системе.
ПолитикиНаследуемым политики ограниченного проверки подлинностиЭтот атрибут является обратная связь для msDS-AssignedAuthNPolicy.
ПолитикиПолитика ограниченного проверки подлинностиУказывает, что AuthNPolicy должен быть применен к участника.
ПользовательПолитика проверки подлинности пользователяОпределяет, какое значение должно быть AuthNPolicy применения пользователями, которым назначены этот объект в контейнере.
ПользовательНаследуемым политики проверки подлинности пользователяЭтот атрибут является обратная связь для msDS-UserAuthNPolicy.
ПользовательMs-DS - User - разрешено-к-проверки подлинности — дляЭтот атрибут используется для определения набора субъектов проходить проверку подлинности для службы, выполняемые под учетной записью пользователя.
ПользовательMs-DS - User - разрешено-к-проверки подлинности-изЭтот атрибут используется для определения набор устройств, к которым имеет разрешения для входа учетную запись пользователя.
ПользовательВремя существования TGT пользователяЗадает максимальный срок хранения TGT Kerberos, выданный пользователю (выраженное в секундах). Результирующие TGTs-невоспроизводимые.
КомпьютерПолитика проверки подлинности компьютераОпределяет, какие AuthNPolicy должны быть применены к компьютерам, которые назначаются для этого объекта в контейнере.
КомпьютерНаследуемым политики проверки подлинности компьютераЭтот атрибут является обратная связь для msDS-ComputerAuthNPolicy.
КомпьютерMs-DS - компьютер - разрешено-к-проверки подлинности — дляЭтот атрибут используется для определения набора участников, которые разрешены для проверки подлинности службы, выполняемые под учетной записью компьютера.
КомпьютерВремя существования TGT компьютераЗадает максимальный срок хранения TGT Kerberos, выданный на компьютере (выраженное в секундах). Не рекомендуется изменять этот параметр.
СлужбыСлужбы политики проверки подлинностиУказывает, что AuthNPolicy должен быть применен к службам, которые назначаются для этого объекта в контейнере.
СлужбыСлужба наследуемым политики проверки подлинностиЭтот атрибут является обратная связь для msDS-ServiceAuthNPolicy.
СлужбыMs-DS - службы - разрешено-к-проверки подлинности — дляЭтот атрибут используется для определения набора участников, которые разрешены для проверки подлинности службы, выполняемые под учетной записью службы.
СлужбыMs-DS - службы - разрешено-к-проверки подлинности-изЭтот атрибут используется для определения набор устройств, к которым имеет разрешения для входа учетную запись службы.
СлужбыTGT срок обслуживанияЗадает максимальный срок хранения TGT Kerberos, отправленные в службу (выраженное в секундах).

Политики проверки подлинности можно настроить для каждого контейнере, используя консоль администрирования Active Directory и Windows PowerShell. Дополнительные сведения см. в разделе как настроить учетные записи защищены.

Принцип работы

В этом разделе описаны работе хранилищ политики проверки подлинности и политики проверки подлинности в сочетании с группы безопасности защищенного пользователи и реализации протокола Kerberos, в Windows.

Защищенных учетных записей

Группы безопасности защищенного пользователи триггеры-настраиваемые защиты для устройств и главных компьютеров под управлением Windows Server 2012 R2 и Windows 8.1, а также на контроллерах домена в домене с основного контроллера домена под управлением Windows Server 2012 R2. В зависимости от функциональный уровень домена учетной записи из-за изменений в методы проверки подлинности, которые поддерживаются в Windows дальнейшего защищены члены группы безопасности защищенного пользователей.

  • Член группы безопасности защищенного пользователи не пройдет проверку подлинности с помощью NTLM, дайджест-проверку подлинности или делегирование учетных данных CredSSP по умолчанию. На устройстве под управлением Windows 8.1, которое использует один из этих поставщики поддержки безопасности (SSP) когда учетная запись является членом группы безопасности защищенного пользователи пройдет проверку подлинности в домен.

  • Протокол Kerberos не будет использовать более слабые типы шифрования DES или RC4 в процессе предварительной проверки подлинности. Это означает, что домена должен быть настроен для поддержки по крайней мере тип шифрования AES.

  • Учетной записи пользователя не может делегировать с Kerberos определенные и произвольные делегирования. Это означает, что первый подключений в других системах, могут возникнуть, если пользователь является членом группы безопасности защищенного пользователи.

  • Значение по умолчанию Kerberos TGTs жизненным циклом 4 часа настраивается с помощью политики проверки подлинности и хранилищ данных, которые можно получить доступ через Центр администрирования Active Directory. Это означает, что при прошло 4 часа, пользователь должен пройти проверку подлинности еще раз.

Дополнительные сведения об этой группы безопасности см. в разделе как защищенные группы "пользователи" работает.

Ресурсы и политики проверки подлинности

Ресурсы политики проверки подлинности и политики проверки подлинности использовать существующую инфраструктуру проверки подлинности Windows. Использование протокола NTLM отклоняется и использовать протокол Kerberos с новые типы шифрования. Политики проверки подлинности дополняют группе безопасности защищенного пользователей, предоставляя способ применяется настраиваемые ограничения к учетным записям, помимо ограничения для учетных записей для компьютеров и служб. Во время работы службы проверки подлинности протокола Kerberos (AS) или для получения билетов (TGS) службы exchange применяются политики проверки подлинности. Дополнительные сведения о том, как Windows использует протокол Kerberos и какие изменения были внесены для поддержки хранилищ политики проверки подлинности и политики проверки подлинности см. в разделе:

Как используется протокол Kerberos хранилищ политики проверки подлинности и политики

Когда пользователь входит в контейнере политики проверки подлинности связана учетная запись домена, диспетчер учетных записей безопасности добавляет тип утверждений контейнере политики проверки подлинности, который включает контейнере как значение. Это утверждение в учетной записи предоставляет доступ к целевому контейнере.

Когда применяется политику проверки подлинности и получен запрос службы проверки подлинности для учетной записи домена на контроллере домена, контроллер домена возвращает-невоспроизводимые TGT с настроенным существования (если меньше времени жизни TGT домена).

Примечание

Учетной записи домена должен быть установленного времени жизни TGT и должны быть либо непосредственно связаны политики или косвенно друг с другом через членство в контейнере.

Когда политики проверки подлинности в режиме аудита и получен запрос службы проверки подлинности для учетной записи домена на контроллере домена, контроллер домена проверяет, если разрешено проверки подлинности для устройства, чтобы он войти предупреждение, если происходит сбой. Политику аудита проверки подлинности не изменяет процесс, поэтому все запросы проверки подлинности не произойдет, если они не соответствуют требованиям политики.

Примечание

Учетная запись домена необходимо напрямую связан с политики или косвенно друг с другом через членство в контейнере.

Когда применяется политику проверки подлинности и защищена службы проверки подлинности, получен запрос службы проверки подлинности для учетной записи домена на контроллере домена, контроллер домена проверяет, если разрешено проверки подлинности для устройства. Если не удается, контроллер домена возвращает сообщение об ошибке и записывает в журнал события.

Примечание

Учетная запись домена необходимо напрямую связан с политики или косвенно друг с другом через членство в контейнере.

Если политики проверки подлинности находится в режиме аудита и получает запрос на обслуживание для получения билетов контроллер домена для учетной записи домена, контроллер домена проверяет Если разрешено проверки подлинности запроса билета данных сертификата атрибут привилегий (PAC) на основе и входе предупреждающее сообщение, если не удается. PAC содержит различные типы данных авторизации, включая группы, которые пользователь является членом, права пользователя, и политики применяются к пользователю. Эта информация используется для создания маркера доступа пользователя. Если политики проверки подлинности Принудительная, который позволяет проверку подлинности пользователя, устройства или службы, контроллер домена проверки допустимости проверки подлинности на основании запроса билета PAC данных. Если не удается, контроллер домена возвращает сообщение об ошибке и записывает в журнал события.

Примечание

Учетной записи домена должен быть непосредственно связан или друг с другом через членства в контейнере политику аудита проверки подлинности, который позволяет проверку подлинности пользователя, устройства или службы,

Можно использовать политики проверки подлинности одного для всех членов контейнере или отдельные политики можно использовать для пользователей, компьютеров и управляемых учетных записей.

Политики проверки подлинности можно настроить для каждого контейнере, используя консоль администрирования Active Directory и Windows PowerShell. Дополнительные сведения см. в разделе как настроить учетные записи защищены.

Как ограничения входа пользователя в систему работает

Так как эти политики проверки подлинности, применяются к учетной записи, это также относится к учетным записям, которые используются службы. Этот параметр полезен, если необходимо ограничить использование пароля для службы к определенным узлам. Например группа управляемые учетные записи которых узлов разрешено получить пароль в доменных службах Active Directory. Однако этот пароль используется от любого узла для начальной проверки подлинности. Применение условие управления доступом, дополнительный уровень защиты может быть достигнута путем ограничения пароль, чтобы только набор узлов, которые могут получить пароль.

При подключении службы, которые работают как системы, сетевой службы или другие учетные данные локальной службы к сетевым службам, они используют учетную запись компьютера узла. Учетные записи компьютеров не может быть ограничен. Поэтому даже если служба использует учетную запись компьютера, не предназначен для узла Windows, он не может быть ограниченным доступом.

Ограничение входа пользователя в систему к определенным узлам требуется контроллер домена для проверки удостоверения узла. При использовании проверки подлинности Kerberos с защиту Kerberos (который является частью динамического контроля доступа), центр распространения ключей предоставляется TGT узла, из которого проверки подлинности пользователя. Содержимое этого armored TGT используется для выполнения проверки доступа, чтобы определить, разрешено ли узла.

Когда пользователь входит в Windows или ввести свои учетные данные домена в запрос учетных данных для приложения, по умолчанию, Windows отправляет unarmored AS-REQ на контроллере домена. Если пользователь отправляет запрос на компьютере, который не поддерживает защиту, таких как компьютеры под управлением Windows 7 или Windows Vista, запрос завершится ошибкой.

В следующем списке описаны процесс:

  • Контроллер домена в домене под управлением Windows Server 2012 R2 запрашивает учетной записи пользователя и определяет, если он настроен с политику проверки подлинности, который ограничивает начальной проверки подлинности, который требует защищена запросы.

  • Контроллер домена не удастся запрос.

  • Так как требуется защиты, пользователь может попытаться вход с помощью компьютера под управлением Windows 8.1 или Windows 8, который можно включить для поддержки защиты Kerberos попытки процесса входа в систему.

  • Windows обнаруживает, что домена поддерживает защиту Kerberos и отправляет armored AS-REQ попытки запроса на вход.

  • Контроллер домена выполняет проверки доступа с помощью условий управления доступа и сведениями об удостоверении клиентской операционной системы в TGT, который использовался для armor запрос.

  • При проверке доступа происходит сбой, контроллер домена отклоняет запрос.

Даже если операционные системы поддерживают защиту Kerberos, требования к управлению доступом можно применять и должны быть выполнены перед предоставлением доступа. Пользователи входа Windows или ввести свои учетные данные домена в запрос учетных данных для приложения. По умолчанию Windows отправляет unarmored AS-REQ на контроллере домена. Если с компьютера, который поддерживает защиту, например Windows 8.1 или Windows 8, пользователь отправляет запрос проверки подлинности оцениваются следующим образом:

  1. Контроллер домена в домене под управлением Windows Server 2012 R2 запрашивает учетной записи пользователя и определяет, если он настроен с политику проверки подлинности, который ограничивает начальной проверки подлинности, который требует защищена запросы.

  2. Контроллер домена выполняет проверки доступа с помощью условий управления доступа и сведениями об удостоверении системы в TGT, используемый для armor запрос. Проверка доступа завершается успешно.

    Примечание

    Если настроены ограничения устаревших рабочей группы, также должны выполняться.

  3. Контроллер домена возвращает ответное armored (AS-Представителя), и продолжается проверки подлинности.

Как работает ограничение выдачи билета службы

Когда учетной записи не разрешен и пользователь, имеющий TGT пытается подключиться к службе (например, открыв приложение, которое требуется проверка подлинности службам, определяется по имени участника службы службы (SPN), возникают в следующем порядке:

  1. При попытке подключения к SPN1 от имени участника-СЛУЖБЫ Windows отправляет TGS-REQ контроллера домена, который запрашивает запрос в службу поддержки для SPN1.

  2. Контроллер домена в домене под управлением Windows Server 2012 R2 ищет SPN1 найти учетную запись доменных служб Active Directory для службы и определяет, что учетная запись настроена с помощью политики проверки подлинности, который ограничивает выдачи билет службы.

  3. Контроллер домена выполняет проверку доступа с помощью условий управления доступа и сведениями об удостоверении пользователя в билет службы Проверке доступа происходит сбой.

  4. Контроллер домена отклоняет запрос.

Когда разрешено учетной записи, поскольку учетная запись соответствует условий управления доступом, заданные политики проверки подлинности, и пользователь, имеющий TGT пытается подключиться к службе (например, открыв приложение, который требует проверки подлинности к службе, определяется службы SPN), возникают в следующем порядке:

  1. При попытке подключения к SPN1 Windows отправляет TGS-REQ контроллера домена, который запрашивает запрос в службу поддержки для SPN1.

  2. Контроллер домена в домене под управлением Windows Server 2012 R2 ищет SPN1 найти учетную запись доменных служб Active Directory для службы и определяет, что учетная запись настроена с помощью политики проверки подлинности, который ограничивает выдачи билет службы.

  3. Контроллер домена выполняет проверку доступа с помощью условий управления доступа и сведениями об удостоверении пользователя в билет службы Проверка доступа завершается успешно.

  4. Контроллер домена ответ на запрос с ответ службы для получения билетов (TGS Представителя).

Связанные ошибки и информационные сообщения

Ниже перечислены события, связанные с защищенного пользователи группы безопасности и политики проверки подлинности, которые применяются к хранилищ политики проверки подлинности.

События записываются в журналы приложений и служб на Microsoft\Windows\Authentication.

Действиями по устранению неполадок, которые используют эти события, в разделе Устранение неполадок политики проверки подлинности и Устранение события, связанные с защищенного пользователи.

Код события и журналОписание
101

AuthenticationPolicyFailures-DomainController
Причина: Ошибка входа NTLM возникает так, как настроить политику проверки подлинности.

Событие регистрируется в контроллере домена, чтобы указать, что проверка подлинности NTLM сбой требуются ограничения контроля доступа, и эти ограничения не могут применяться к NTLM.

Отображает учетную запись, устройство, политики и контейнере имена.
105

AuthenticationPolicyFailures-DomainController
Причина: Ограничение отказа Kerberos возникает, поскольку не разрешен проверку подлинности от конкретного устройства.

Событие регистрируется в контроллере домена для указания того, что Kerberos TGT был отклонен, поскольку устройство не соответствует ограничения управления принудительную доступа.

Отображает учетной записи, устройства, политики, контейнере имена и время жизни TGT.
305

AuthenticationPolicyFailures-DomainController
Причина: Потенциальных ограничение отказа Kerberos может произойти, так как проверка подлинности с определенного устройства не разрешен.

В режиме аудита информационное событие регистрируется в контроллер домена, чтобы определить, если Kerberos TGT будет отклонен, поскольку устройство не соответствует управления ограничения доступа.

Отображает учетной записи, устройства, политики, контейнере имена и время жизни TGT.
106

AuthenticationPolicyFailures-DomainController
Причина: Ограничение отказа Kerberos возникает, поскольку пользователя или устройства не разрешено проверки подлинности на сервере.

Событие регистрируется в контроллере домена для указания того, что билет службы Kerberos запрещен, поскольку пользователь и устройство не соответствует ограничениям управления принудительную доступа.

Показывает устройства, политики и контейнере имена.
306

AuthenticationPolicyFailures-DomainController
Причина: Kerberos ограничения сбой может произойти, поскольку пользователя или устройства не разрешено проверки подлинности на сервере.

В режиме аудита информационное событие регистрируется на контроллере домена для указания того, что билет службы Kerberos будет отклонен, так как пользователя и устройства не соответствует ограничениям управления доступом.

Показывает устройства, политики и контейнере имена.

См. также:

Как настроить защищенных учетных записей

Защита учетных данных и управления ими

Защищенный группу пользователей

© 2017 Microsoft