Privilegierte AD-Konten durch Mitgliedschaft in Protected Users schützen

Mit Windows Server 2012 R2 führte Microsoft die Sicher­heits­gruppe Geschützte Benutzer ("Protec­ted Users") ein. Die Mitglied­schaft in dieser Gruppe blockiert auto­matisch Legacy-Techno­logien und Funk­tionen, die Angreifern den Dieb­stahl von Iden­titäten erleichtern. Dieser Schutz lässt sich nicht entfernen.

Die Gruppe Protected Users ist standard­mäßig im Container Users vorhanden, wenn als Funktions­ebene der Domäne mindestens Server 2012 R2 konfiguriert wurde. Clients und Mitglied-Server sollten unter Windows 8.1. bzw. Server 2012 R2 laufen, damit die Eigenschaften dieser Gruppe greifen.

Die Gruppe schützt Benutzer­konten mit besonderen Berechtigungen vor Angriffen. Die betreffenden Maßnahmen werden aktiviert, sobald sich eines der Mitglieder an Workstations oder Server anmeldet, die ein unterstütztes Betriebs­system ausführen.

Die in Protected Users enthaltenen Benutzer können sich nicht mehr mit folgenden Mitteln authen­tifizieren bzw. unterliegen nach erfolgreicher Anmeldung folgenden Einschränkungen:

• NTLM, Digest Authentication und CredSSP.
  Nur-Text-Passwörter werden nicht zwischen­gespeichert, so dass sich keines der Geräte, welches diese Protokolle verwendet, bei der Domäne authentifizieren kann.
• Kerberos-Langzeitschlüssel werden nicht mehr zwischen­gespeichert. Kerberos führt bei jeder Anforderung eine Authentifizierung durch.
• Die maximale Lebensdauer für das Kerberos-Ticket des Benutzers liegt bei 240 Minuten.
• Kerberos verwendet die schwache Verschlüsselung mit DES oder RC4 nicht mehr. Die Domäne muss daher für die Unterstützung von AES konfiguriert sein.
• Die Offline-Anmeldung an einem Gerät ist nicht mehr möglich.
• Weder constrained noch unconstrained Kerberos-Delegation werden unterstützt. Dies kann zu Einschränkungen bei der Administration führen ("Second Hop-Problem")

Grundsätzlich könnte man einige dieser Einschränkungen auch per Gruppen­richtlinien konfigurieren. Durch die Mitgliedschaft in der Gruppe der geschützten Benutzer werden diese aber automatisch wirksam und es besteht keine Gefahr, sie durch eine Fehlkonfiguration wieder aufzuheben.

Effekt der Mitgliedschaft prüfen

Um zu testen, ob die Einschränkungen durch die Sicherheitsgruppe auf einem System greifen, eignet sich das Hacking-Tool Mimikatz. Solange ein Konto nicht Mitglied in Protected Users ist, zeigt es etwa den NTLM-Hash an.

Nach Aufnahme des Administrators in die Protected Users sieht das Ergebnis so aus, wie auf der nächsten Abbildung zu sehen.

Die Kerberos-Tickets kann man mit klist analysieren. Hier erkennt man, dass die Gültigkeitsdauer 240 Minuten beträgt.

Troubleshooting

Im Ereignisprotokoll finden sich unter Anwendungs- und Dienstprotokolle => Microsoft => Windows => Authentication alle Einträge für ein eventuell notwendiges Troubleshooting.

Die Protokolle sind standardmäßig deaktiviert und man muss sie daher erst einschalten, damit die Ereignisse mitgeschrieben werden.