Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Skyddade användare är en global säkerhetsgrupp för Active Directory som är utformad för att skydda mot stöld av autentiseringsuppgifter. Gruppen utlöser ett icke-konfigurerbart skydd på enheter och värddatorer för att förhindra att autentiseringsuppgifter cachelagras när gruppmedlemmar loggar in.
Prerequisites
Systemet måste uppfylla följande krav innan du kan distribuera en grupp med skyddade användare:
Värdar måste köra något av följande operativsystem:
- Windows 10 eller Windows 11
- Windows Server 2012 R2 eller senare med de senaste säkerhetsuppdateringarna installerade
Domänfunktionsnivån måste vara Windows Server 2012 R2 eller senare. Mer information om funktionsnivåer finns i Funktionsnivåer för skog och domän.
Note
Den inbyggda domänadministratören, S-1-5-<domain>-500, är alltid undantagen från autentiseringsprinciper, även när de har tilldelats en silo för autentiseringsprinciper. Mer information finns i Konfigurera skyddade konton.
- Medlemskap i globala säkerhetsgrupper för skyddade användare begränsar medlemmar till att endast använda Advanced Encryption Standard (AES) för Kerberos. Medlemmar i gruppen Skyddade användare måste kunna autentisera med hjälp av AES.
Skydd som tillämpas av Active Directory
Att bli medlem i gruppen Skyddade användare innebär att Active Directory automatiskt tillämpar vissa förkonfigurerade kontroller som användarna inte kan ändra om de inte slutar vara gruppmedlemmar.
Enhetsskydd för inloggade skyddade användare
När den inloggade användaren är medlem i gruppen Skyddade användare ger gruppen följande skydd:
CredSSP cachelagrar inte användarens okrypterade autentiseringsuppgifter, även när användaren aktiverar grupprincipinställningen Tillåt delegering av standardautentiseringsuppgifter.
Windows Digest cachelagr inte användarens autentiseringsuppgifter i klartext även när de har aktiverat Windows Digest.
NTLM slutar att cachelagra användarens autentiseringsuppgifter i klartext eller den NT-enkelriktade funktionen (NTOWF).
Kerberos slutar skapa DES-nycklar (Data Encryption Standard) eller RC4-nycklar. Kerberos cachelagrar inte heller användarens autentiseringsuppgifter i klartext eller långsiktiga nycklar efter att ha hämtat den första biljettbeviljande biljetten (TGT).
Systemet skapar inte en cachelagrad kontrollant vid användarens inloggning eller upplåsning, så medlemssystemen stöder inte längre offlineinloggning.
När du har lagt till ett nytt användarkonto i gruppen Skyddade användare aktiveras dessa skydd när den nya skyddade användaren loggar in på sin enhet.
Domänkontrollantskydd för skyddade användare
Skyddade användarkonton som autentiserar till en domän som kör Windows Server kan inte göra följande:
Autentisera med NTLM-autentisering.
Använd DES- eller RC4-krypteringstyper i Kerberos-förautentisering.
Delegera med obegränsad eller begränsad delegering.
Förnya Kerberos-TGT:er efter deras ursprungliga fyratimmarslivslängd.
Gruppen Skyddade användare tillämpar icke-konfigurerbara inställningar på TGT-förfallodatum för varje medlemskonto. Normalt anger domänkontrollanten TGT-livslängden och förnyelsen baserat på följande två domänprinciper:
- Maximal livslängd för användarbiljett
- Maximal livslängd för förnyelse av användarbiljett
För medlemmar i skyddade användare anger gruppen automatiskt dessa livslängdsgränser till 240 minuter. Användaren kan inte ändra den här gränsen om de inte lämnar gruppen.
Så här fungerar gruppen Skyddade användare
Du kan lägga till användare i gruppen Skyddade användare med hjälp av följande metoder:
- Gränssnittsverktyg, till exempel Active Directory Administrationscenter eller Active Directory Användare och datorer.
- För att använda PowerShell, använd cmdleten Add-ADGroupMember.
Important
Lägg aldrig till konton för tjänster och datorer i gruppen Skyddade användare. För de kontona ger medlemskap inga lokala skydd eftersom lösenordet och certifikatet alltid är tillgängliga på värdenheten.
Lägg inte till konton som redan är medlemmar i grupper med hög behörighet, till exempel grupperna Företagsadministratörer eller Domänadministratörer, förrän du kan garantera att tillägg av dem inte får negativa konsekvenser. Användare med hög behörighet i skyddade användare omfattas av samma begränsningar och begränsningar som vanliga användare, och det går inte att kringgå eller ändra inställningarna. Om du lägger till alla medlemmar i dessa grupper i gruppen Skyddade användare kan du oavsiktligt låsa deras konton. Det är viktigt att testa systemet för att se till att de obligatoriska inställningsändringarna inte stör kontoåtkomsten för dessa privilegierade användargrupper.
Medlemmar i gruppen Skyddade användare kan bara autentisera med Kerberos med AES. Den här metoden kräver AES-nycklar för kontot i Active Directory. Den inbyggda administratören har ingen AES-nyckel om inte lösenordet för domänen som kör Windows Server 2008 eller senare ändras. Alla konton som har ändrat sitt lösenord av en domänkontrollant som kör en tidigare version av Windows Server är utelåst från autentisering.
För att undvika utelåsningar och saknade AES-nycklar rekommenderar vi att du följer dessa riktlinjer:
Kör inte tester i domäner om inte alla domänkontrollanter kör Windows Server 2008 eller senare.
Om du har migrerat konton från andra domäner måste du återställa lösenordet så att kontona har AES-hashvärden. Annars kan dessa konton inte autentiseras.
Användare måste ändra lösenord när de har bytt till en domänfunktionsnivå i Windows Server 2008 eller senare. Detta säkerställer att de har AES-lösenordshashvärden när de har blivit medlemmar i gruppen Skyddade användare.
Active Directory-egenskaper för gruppen Skyddade användare
I följande tabell anges Active Directory-egenskaperna för gruppen Skyddade användare.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-525<> |
| Type | Domänen global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | Inga standardanvändarrättigheter |
Händelseloggar
Det finns två administrativa loggar för drift som hjälper dig att felsöka händelser som är relaterade till skyddade användare. Dessa nya loggar finns i Händelseloggaren och är inaktiverade som förvalt. De finns under Program- och tjänstloggar\Microsoft\Windows\Authentication.
Så här aktiverar du insamling av loggarna:
Högerklicka på Start och välj sedan Händelseloggen.
Öppna Program- och tjänstloggar\Microsoft\Windows\Authentication.
Högerklicka på loggnamnet för varje logg som du vill aktivera och välj sedan Aktivera logg.
| Händelse-ID och logg | Description |
|---|---|
| 104 ProtectedUser-Client |
Orsak: Säkerhetspaketet på klienten innehåller inte autentiseringsuppgifterna. Felet loggas på klientdatorn när kontot är medlem i säkerhetsgruppen Skyddade användare. Den här händelsen anger att säkerhetspaketet inte cachelagrar de autentiseringsuppgifter som behövs för att autentisera mot servern. Visar paketnamnet, användarnamnet, domännamnet och servernamnet. |
| 304 ProtectedUser-Client |
Orsak: Säkerhetspaketet lagrar inte den skyddade användarens autentiseringsuppgifter. En informationshändelse loggas i klienten för att indikera att säkerhetspaketet inte cachelagrar användarens inloggningsuppgifter. Det förväntas att WDigest, CredSSP och NTLM inte har inloggningsuppgifter för medlemmar av gruppen Skyddade användare. Program kan fortfarande lyckas om de frågar efter autentiseringsuppgifter. Visar paketnamnet, användarnamnet och domännamnet. |
| 100 ProtectedUserFailures-DomainController |
Orsak: Ett NTLM-inloggningsfel inträffar för ett konto i säkerhetsgruppen Skyddade användare. Ett fel loggas i domänkontrollanten för att indikera att NTLM-autentiseringen misslyckades eftersom kontot var medlem i säkerhetsgruppen Skyddade användare. Visar kontonamnet och enhetsnamnet. |
| 104 ProtectedUserFailures-DomainController |
Orsak: DES- eller RC4-krypteringstyper används för Kerberos-autentisering och ett inloggningsfel inträffar för en användare i säkerhetsgruppen Skyddade användare. Kerberos-förautentiseringen misslyckades eftersom DES- och RC4-krypteringstyper inte kan användas när kontot är medlem i säkerhetsgruppen Skyddade användare. (AES är acceptabelt.) |
| 303 ProtectedUserSuccesses-DomainController |
Orsak: En Kerberos TGT har framgångsrikt utfärdats för en medlem i gruppen Skyddade Användare. |