Versi Active Directory yang diperkenalkan di Windows Server 2012 R2 memperkenalkan grup keamanan global baru untuk meningkatkan tingkat keamanan akun istimewa. - Pengguna yang Dilindungi (Pengguna yang dilindungi) Anggota grup ini diharapkan menerima lapisan keamanan non-kustom tambahan terhadap kompromi kredensial selama proses otentikasi..
Batasan berikut berlaku untuk anggota grup ini:
- Anggota grup ini hanya dapat mengautentikasi menggunakan protokol Kerberos. Otentikasi menggunakan NTLM, Otentikasi Digest atau CredSSP gagal.
- Untuk pengguna grup ini, protokol Kerberos tidak dapat menggunakan algoritma enkripsi yang lemah seperti DES atau RC4 selama otentikasi awal (setidaknya diperlukan dukungan AES) .
- Akun ini tidak dapat didelegasikan melalui delegasi Kerberos terbatas atau tidak terbatas.
- Kunci Kerberos jangka panjang tidak disimpan dalam memori, yang berarti bahwa ketika TGT kedaluwarsa (secara default 4 jam), pengguna harus mengautentikasi ulang.
- Untuk pengguna grup ini, data untuk logon domain cache tidak disimpan. Yaitu ketika pengontrol domain tidak tersedia, pengguna ini tidak akan dapat mengautentikasi pada mesin mereka melalui kredensial cache.
Grup Pengguna yang Dilindungi hanya tersedia jika Tingkat fungsional domain Windows Server 2012 R2 (dan di atas). Grup akan muncul di konsol AD hanya setelah tingkat domain meningkat dan replikasi data antara pengontrol domain telah berakhir. Pembatasan Pengguna yang Dilindungi bekerja pada Windows Server 2012 R2 dan Windows 8.1 (lihat informasi OS lainnya di bawah)
Secara default, grup Pengguna yang Dilindungi kosong dan Microsoft merekomendasikan untuk menambahkan akun pengguna penting (administrator domain, server, dll.) Ke sana..
Kiat. Fungsionalitas kelompok pengguna yang dilindungi memerlukan pengujian yang ketat sebelum implementasi dalam lingkungan yang produktif. Jangan langsung sertakan satu-satunya akun administrator domain dalam grup ini 🙂 .Sebagai contoh, kami akan menambahkan catatan akademik dari administrator domain ke grup ini dan mencoba untuk mengakses pengontrol domain dengan alamat ip (dalam hal ini, protokol NTLM akan digunakan untuk otentikasi dan bukan Kerberos). Akses seperti itu akan ditolak..
Pada pengontrol domain di bagian log Log Aplikasi dan Layanan -> Microsoft -> Windows -> Otentikasi harus ada catatan:
Id Peristiwa: 100, Sumber: NTLM
Otentikasi NTLM gagal karena akun tersebut adalah anggota grup Pengguna yang Dilindungi.
Dengan Kerberos, autentikasi akan dimungkinkan pada sumber daya yang sama, mis. NTLM tidak diperbolehkan untuk anggota grup Pengguna yang Dilindungi.
Hal yang sama terjadi ketika Anda mencoba terhubung menggunakan akun yang sama ke pengontrol domain dengan alamat ip dari klien Windows 8.1.
Untuk mendukung teknologi kelompok pengguna yang aman di Windows 7, Windows 8, Windows Server 2008R2, dan Windows Server 2012, pembaruan KB2871997 harus diinstal. Pada OS lain, perlindungan ini tidak akan diterapkan..
Catatan. Akun layanan dan / atau komputer tidak boleh dimasukkan dalam kelompok Pengguna yang Dilindungi. Grup ini tidak menyediakan perlindungan lokal karena kata sandi akun selalu tersedia di host.