Verzija Active Directory predstavljena u sustavu Windows Server 2012 R2 uvodi novu globalnu sigurnosnu skupinu radi povećanja razine sigurnosti povlaštenih računa. - Zaštićeni korisnici (Zaštićeni korisnici). Očekuje se da će članovi ove skupine dobiti dodatni sloj neprilagođene sigurnosti protiv kompromisnih vjerodajnica tijekom postupka provjere autentičnosti..
Sljedeća ograničenja vrijede za članove ove skupine:
- Članovi ove grupe mogu se autentificirati samo pomoću Kerberos protokola. Autentifikacija pomoću NTLM, Digest Authentication ili CredSSP ne uspijeva.
- Za korisnike ove grupe, Kerberos protokol ne može koristiti slabe algoritme šifriranja poput DES ili RC4 tijekom preliminarne provjere autentičnosti (potrebna je barem podrška AES-a) .
- Ovi računi ne mogu se delegirati putem ograničene ili neograničene Kerberos delegacije.
- Dugoročne Kerberos tipke nisu spremljene u memoriji, što znači da kada TGT istekne (zadano 4 sata), korisnik se mora ponovno autentificirati.
- Korisnici ove grupe ne pohranjuju se podaci za prijavu u predmemoriranu domenu. tj kada kontroleri domena nisu dostupni, ovi korisnici neće moći provjeriti autentičnost na svojim računalima putem predmemorirane vjerodajnice.
Grupa Zaštićeni korisnici dostupna je samo kada Funkcionalna razina domene Windows Server 2012 R2 (i iznad). Grupa će se u AD konzoli pojaviti tek nakon što se razina domene poveća i završi replikacija podataka između kontrolera domena. Ograničenja zaštićenih korisnika rade na Windows Server 2012 R2 i Windows 8.1 (pogledajte ostale informacije o OS-u u nastavku)
Grupa zaštićenih korisnika prema zadanim postavkama je prazna i Microsoft preporučuje da joj se dodaju kritični korisnički računi (administratori domene, poslužitelji itd.)..
vijeće. Funkcionalnost zaštićene skupine korisnika zahtijeva stroga testiranja prije primjene u produktivnom okruženju. Nemojte odmah uključiti jedini administratorski račun domene u ovu skupinu 🙂 .Kao primjer, ovoj ćemo grupi dodati akademski zapis administratora domene i pokušati pristupiti kontroleru domene putem ip adrese (u ovom slučaju umjesto autentičnosti Kerberos će se koristiti protokol NTLM). Takav će pristup biti odbijen..
Na kontroleru domene u odjeljku dnevnika Dnevnici prijave i usluga -> Microsoft -> Windows -> Provjera autentičnosti mora postojati zapis:
ID događaja: 100, izvor: NTLM
Provjera identiteta NTLM nije uspjela jer je račun bio član zaštićene korisničke skupine.
Uz Kerberos, autentifikacija će biti moguća na istom resoru, tj. NTLM nije dopušten za članove grupe zaštićenih korisnika.
Ista stvar se događa kada se pokušate povezati pomoću istog računa s kontrolorom domene putem ip adrese klijenta sustava Windows 8.1.
Za podršku tehnologije sigurne grupe korisnika u sustavima Windows 7, Windows 8, Windows Server 2008R2 i Windows Server 2012 mora se instalirati ažuriranje KB2871997. Na ostalim OS-ovima ova se zaštita neće primjenjivati..
primjedba. Računi usluga i / ili računala ne bi trebali biti uključeni u skupinu zaštićenih korisnika. Ova grupa ne pruža lokalnu zaštitu jer lozinka računa uvijek je dostupna na host.