Različica Active Directory, uvedena v Windows Server 2012 R2, uvaja novo globalno varnostno skupino za povečanje stopnje varnosti privilegiranih računov. - Zaščiteni uporabniki (Zaščiteni uporabniki) Pričakuje se, da bodo člani te skupine med postopkom preverjanja pristnosti prejeli dodatno plast zaščite, ki ni prilagojena uporabnikom, pred kompromitiranjem poverilnic..
Za člane te skupine veljajo naslednje omejitve:
- Člani te skupine se lahko potrdijo samo s protokolom Kerberos. Preverjanje pristnosti z uporabo NTLM, Digest Authentication ali CredSSP ne uspe.
- Za uporabnike te skupine protokol Kerberos med predhodno overitvijo ne more uporabiti šibkih algoritmov šifriranja, kot sta DES ali RC4 (potrebna je vsaj podpora AES) .
- Teh računov ni mogoče prenesti prek omejene ali neomejene prenose Kerberos.
- Dolgoročne tipke Kerberos niso shranjene v pomnilniku, kar pomeni, da se mora uporabnik ob izteku TGT (4 ure privzeto) ponovno overiti.
- Za uporabnike te skupine se podatki za prijavo v predpomnjeno domeno ne shranijo. I.e. kadar krmilniki domen niso na voljo, ti uporabniki ne bodo mogli overiti na svojih računalnikih prek predpomnjenih poverilnic.
Skupina zaščitenih uporabnikov je na voljo samo, kadar Funkcionalna raven domene Windows Server 2012 R2 (in zgoraj). Skupina se bo na konzoli AD pojavila šele po tem, ko se bo domena zvišala in se je končalo kopiranje podatkov med upravljavci domen. Omejitve zaščitenih uporabnikov delujejo v sistemih Windows Server 2012 R2 in Windows 8.1 (glejte druge informacije o OS spodaj)
Skupina zaščitenih uporabnikov je privzeto prazna in Microsoft priporoča, da vanjo dodate kritične uporabniške račune (skrbnike domen, strežnike itd.)..
Namig. Funkcionalnost zaščitene skupine uporabnikov zahteva strogo testiranje pred uvedbo v produktivnem okolju. V to skupino nemudoma ne vključite edinega skrbniškega računa domene 🙂 .Za primer bomo tej skupini dodali akademski zapis upravitelja domene in poskusili dostopati do krmilnika domene preko ip naslova (v tem primeru bo namesto Kerberosa za preverjanje pristnosti uporabljen protokol NTLM). Tak dostop bo zavrnjen..
Na krmilniku domene v razdelku dnevnika Dnevniki aplikacij in storitev -> Microsoft -> Windows -> Preverjanje pristnosti mora biti zapis:
ID dogodka: 100, Vir: NTLM
Preverjanje pristnosti NTLM ni uspelo, ker je bil račun član zaščitene uporabniške skupine.
S Kerberosom bo avtentikacija mogoča na istem viru, tj. NTLM ni dovoljen za člane skupine zaščitenih uporabnikov.
Enako se zgodi, ko se poskusite povezati z istim računom na krmilniku domene po ip naslovu odjemalca sistema Windows 8.1.
Za podporo tehnologije varne skupine uporabnikov v sistemih Windows 7, Windows 8, Windows Server 2008R2 in Windows Server 2012 je treba namestiti posodobitev KB2871997. V drugih OS-jih ta zaščita ne bo uporabljena..
Opomba. Računi storitev in / ali računalniki ne smejo biti vključeni v skupino zaščitenih uporabnikov. Ta skupina ne nudi lokalne zaščite, ker geslo za račun je vedno na voljo na gostitelju.