В версии Active Directory, представленной в Windows Server 2012 R2, с целью повышения уровня защищённости безопасности привилегированных учетных записей появилась новая глобальная группа безопасности — Защищенные пользователи (Protected Users). Предполагается, что члены этой группы получают дополнительный уровень «ненастраиваемой» защиты против компрометации учетных данных во время выполнения процедуры проверки подлинности.
На членов этой группы действуют следующие ограничения:
- Члены этой группы могут аутентифицироваться только по протоколу Kerberos. Аутентифицироваться с помощью NTLM, дайджест-проверки (Digest Authentication) или CredSSP не удастся.
- Для пользователей этой группы в протоколе Kerberos при предварительной проверке подлинности не могут использоваться слабые алгоритмы шифрования, такие как DES или RC4 (требуется поддержка как минимум AES) .
- Эти учетные записи не могут быть делегированы через ограниченную или неограниченную делегацию Kerberos
- Долгосрочные ключи Kerberos не сохраняются в памяти, а это значит, что при истечении TGT (по умолчанию 4 часа) пользователь должен повторно аутентифицироваться.
- Для пользователей данной группы не сохраняются данные для кэшированного входа в домен. Т.е. при недоступности контроллеров домена, эти пользователи не смогут аутентифицироваться на своих машинах через cached credential.
Группа Protected Users доступна только при функциональном уровне домена Windows Server 2012 R2 (и выше). Группа появится в консоли AD только после повышения уровня домена и окончания репликации данных между контроллерами домена. Ограничения Protected Users работают на Windows Server 2012 R2 и Windows 8.1 (информация о других ОС ниже)
По умолчанию группа Protected Users group пустая и Microsoft рекомендует добавить в нее учетные записи критичных пользователей (администраторов домена, серверов и т.п).
Совет. Функционал защищенной группы пользователей требует тщательного тестирования перед внедрением в продуктивной среде. Не стоит сразу включать в эту группу учетную запись единственного администратора домена.
Для примера добавим в эту группу ученую запись администратора домена и попытаемся получить доступ к контроллеру домена по ip адресу (в этом случае для аутентификации будет принудительно использоваться протокол NTLM вместо Kerberos). Такой доступ будет запрещен.
На контроллере домена в разделе журналов Aplication and Services Logs -> Microsoft -> Windows -> Authentication должна присутствовать запись:
Event Id: 100, Source: NTLM NTLM authentication failed because the account was a member of the Protected User group.
С помощью Kerberos на этом же ресурсе аутентифицироваться получится, т.е. NTLM для членов группы Protected Users запрещен.
То же самое произойдет при попытке подключиться с помощью этой же учетной записи к контроллеру домена по ip адресу с клиента Windows 8.1.
Для поддержки технологии защищенной группы пользователей в Windows 7, Windows 8, Windows Server 2008R2, and Windows Server 2012 необходимо установить обновление KB2871997. На других ОС данная защита применяться не будет.
Примечание. Служебные учетные записи и у/з компьютеров не следует включать в группу Protected Users. Данная группа не предоставляет локальной защиты, т.к. пароль учетной записи всегда доступен на узле.