如何分析Protected Users 安全組

這篇文章將為大家詳細(xì)講解有關(guān)如何分析Protected Users 安全組，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

Protected Users 安全組可以避免那些高度敏感的賬戶身份憑據(jù)被本地緩存在域成員計(jì)算機(jī)中。它

會(huì)要求當(dāng)這些在這個(gè)組中的高度敏感賬戶每一次登錄時(shí)，都需要由域控制器來驗(yàn)證才可以登錄。

Protected Users 是一個(gè)新的組，用來讓你放置這些高度敏感的賬戶。你可以在 AD DS 中的 Users

container 找到它。要啟用受保護(hù)用戶，管理者只需要很簡(jiǎn)單的將這些高度敏感的賬戶加到 Protected

Users 這個(gè)安全組中即可。

這個(gè)受保護(hù)用戶的功能是一種客戶端的功能，它用在域中的成員計(jì)算機(jī)中來保護(hù)域賬戶。受保護(hù)用戶功能

只有域成員計(jì)算機(jī)是下列的操作系統(tǒng)才支持：

Windows 8.1 或更新版本

Windows Server 2012 R2 或更新版本

較舊的操作系統(tǒng)版本不支持這個(gè)功能，所以就無法避免在 Protected Users 組中的用戶帳戶被緩存在本

地計(jì)算機(jī)中。在舊的操作系統(tǒng)中，要確保在 Protected Users 組中的用戶帳戶不被危害，得使用其他方

式來做保護(hù)比較恰當(dāng)，例如：拒絕本地登錄 ( Deny log on locally ) 的安全配置。

受保護(hù)用戶如果使用有支持此功能操作系統(tǒng)的域成員計(jì)算機(jī)登錄時(shí)，將不可以使用下列協(xié)議：

默認(rèn)身份憑據(jù)委派 ( Default credential delegation ) 或身份憑據(jù)安全支持提供程序

( Credential Security Support Provider ) ( CredSSP )

摘要式驗(yàn)證 ( Digest authentication )

NTLM

當(dāng)用戶是 Protected Users 安全組的成員時(shí)，下列會(huì)被應(yīng)用：

用戶必須可以使用基于 AES 加密方式來進(jìn)行身份驗(yàn)證，因此所有的域控制器必須是 Windows Server

2008 級(jí)別或更新的版本。

在 Protected Users 組中的任何帳戶要變更密碼時(shí)，必須和 Windows Server 2008 或更新版本的域

控制器互動(dòng)，以確保密碼是使用 AES 的加密方式。

在支持的域成員計(jì)算機(jī)，例如：Windows 10 和 Windows Server 2016，用戶的身份憑據(jù)是不會(huì)被緩

存在這些成員計(jì)算機(jī)中的。

用戶只能在與域控制器可以互動(dòng)的狀況下，才可以登錄域中的成員計(jì)算機(jī)。對(duì)這些賬戶而言，脫機(jī)登

錄是辦不到的。當(dāng)域成員計(jì)算機(jī)是脫機(jī)時(shí)，如果是使用 Protected Users 組中的成員來啟動(dòng)的服

務(wù)，都會(huì)無法啟動(dòng)。

頒發(fā)的 Kerberos TGT 票證的最長(zhǎng)存留期和用戶票證更新的最長(zhǎng)存留期是被限制為 240 分鐘 ( 4 小

時(shí) )。雖然管理員使用域策略配置所有其他帳戶時(shí)，默認(rèn)值票證的最長(zhǎng)存留期為 10 小時(shí)，票證更新

的最長(zhǎng)存留期為 7 天，但受保護(hù)用戶的硬式編碼 ( hard-coded ) 就是為 4 小時(shí)。

受保護(hù)用戶這個(gè)功能在一個(gè)域范圍之內(nèi)是一種全局型的安全配置。這樣的配置并沒有辦法讓你只在特定的

設(shè)備保護(hù)特定的用戶。因此，請(qǐng)小心的使用這個(gè)受保護(hù)用戶功能，并且在依賴這個(gè)功能之前要進(jìn)行測(cè)試。

關(guān)于如何分析Protected Users 安全組就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。