Перейти к основному содержанию

Protected Users — группа защищённых пользователей Active Directory

Windows Server

Начиная с контроллеров домена Windows Server 2012 R2 в Active Directory появилась новая глобальная группа безопасности — Protected Users (Защищенные пользователи). В Windows 7, Windows Server 2008 R2 и Windows Server 2012 поддержку новой стратегии безопасности можно добавить.

Члены этой группы дополнительно защищены против компрометации учетных данных во время проверки подлинности, и эта защита не настраивается, единственный способ снять дополнительные ограничения с учётной записи — удалить её из группы.

Учётные записи служб и компьютеров никогда не должны входить в группу Protected Users.

win

Для членов Protected Users, которые вошли в систему, применяются следующие средства защиты:

  • Аутентификация только по протоколу Kerberos. NTLM и CredSSP не работают.
  • Алгоритмы шифрования DES или RC4 не используются. Допускается AES.
  • Делегирование этих учётных записей запрещено.
  • Долгосрочные ключи Kerberos не сохраняются в памяти. После истечения срока жизни TGT пользователи должны выполнить аутентификацию повторно. Срок жизни TGP настраивается в GPO, если он не установлен, то для пользователей группы Protected Users он составляет 4 часа.
  • При недоступности контроллеров домена пользователи не смогут аутентифицироваться на своих машинах, поскольку данные для кэшированного входа в домен не сохраняются.

В группу Protected Users рекомендуется добавлять учётные записи привилегированных пользователей: администраторов домена. При этом не рекомендуется засовывать туда ВСЕХ администраторов. Хотя бы одну учётную запись с правами администратора домена не включайте в эту группу, задайте ей сложный пароль, распечатайте его и положите в сейф. На всякий случай.

Настройка срока жизни TGT

ad

А ещё эту группу очень удобно использовать для тестирования перехода на Kerberos аутентификацию.

Ссылки

https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group

Теги

 

Похожие материалы

Уязвимость SigRed в DNS сервере Windows

В DNS сервере Windows обнаружена критическая уязвимость семнадцатилетней давности. Уязвимость получила 10 баллов из 10 возможных по шкале CVSSv3, это плохо, так как эксплуатация уязвимости не требует особого ума. Патчи уже есть, так что не откладываем обновление.

Теги

Windows — поддержка работы сайтов с российскими сертификатами

Многие учреждения начинают переходить на использование российских сертификатов. Такие сертификаты не поддерживаются обычными браузерами, сайты с таким сертификатом не будут открываться.

Windows 11 — посмотреть сохранённый пароль от Wi-Fi

При подключении к Wi-Fi сети пароль от неё сохраняется и при последующих подключениях его не нужно вводить. Этот пароль легко посмотреть.