Tags: Active Directory, Authentifizierung
Mit Windows Server 2012 R2 führte Microsoft die Sicherheitsgruppe Geschützte Benutzer ("Protected Users") ein. Die Mitgliedschaft in dieser Gruppe blockiert automatisch Legacy-Technologien und Funktionen, die Angreifern den Diebstahl von Identitäten erleichtern. Dieser Schutz lässt sich nicht entfernen.
Die Gruppe Protected Users ist standardmäßig im Container Users vorhanden, wenn als Funktionsebene der Domäne mindestens Server 2012 R2 konfiguriert wurde. Clients und Mitglied-Server sollten unter Windows 8.1. bzw. Server 2012 R2 laufen, damit die Eigenschaften dieser Gruppe greifen.
Die Gruppe schützt Benutzerkonten mit besonderen Berechtigungen vor Angriffen. Die betreffenden Maßnahmen werden aktiviert, sobald sich eines der Mitglieder an Workstations oder Server anmeldet, die ein unterstütztes Betriebssystem ausführen.
Die in Protected Users enthaltenen Benutzer können sich nicht mehr mit folgenden Mitteln authentifizieren bzw. unterliegen nach erfolgreicher Anmeldung folgenden Einschränkungen:
- NTLM, Digest Authentication und CredSSP.
Nur-Text-Passwörter werden nicht zwischengespeichert, so dass sich keines der Geräte, welches diese Protokolle verwendet, bei der Domäne authentifizieren kann. - Kerberos-Langzeitschlüssel werden nicht mehr zwischengespeichert. Kerberos führt bei jeder Anforderung eine Authentifizierung durch.
- Die maximale Lebensdauer für das Kerberos-Ticket des Benutzers liegt bei 240 Minuten.
- Kerberos verwendet die schwache Verschlüsselung mit DES oder RC4 nicht mehr. Die Domäne muss daher für die Unterstützung von AES konfiguriert sein.
- Die Offline-Anmeldung an einem Gerät ist nicht mehr möglich.
- Weder constrained noch unconstrained Kerberos-Delegation werden unterstützt. Dies kann zu Einschränkungen bei der Administration führen ("Second Hop-Problem")
Grundsätzlich könnte man einige dieser Einschränkungen auch per Gruppenrichtlinien konfigurieren. Durch die Mitgliedschaft in der Gruppe der geschützten Benutzer werden diese aber automatisch wirksam und es besteht keine Gefahr, sie durch eine Fehlkonfiguration wieder aufzuheben.
Effekt der Mitgliedschaft prüfen
Um zu testen, ob die Einschränkungen durch die Sicherheitsgruppe auf einem System greifen, eignet sich das Hacking-Tool Mimikatz. Solange ein Konto nicht Mitglied in Protected Users ist, zeigt es etwa den NTLM-Hash an.
Nach Aufnahme des Administrators in die Protected Users sieht das Ergebnis so aus, wie auf der nächsten Abbildung zu sehen.
Die Kerberos-Tickets kann man mit klist analysieren. Hier erkennt man, dass die Gültigkeitsdauer 240 Minuten beträgt.
Troubleshooting
Im Ereignisprotokoll finden sich unter Anwendungs- und Dienstprotokolle => Microsoft => Windows => Authentication alle Einträge für ein eventuell notwendiges Troubleshooting.
Die Protokolle sind standardmäßig deaktiviert und man muss sie daher erst einschalten, damit die Ereignisse mitgeschrieben werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Ähnliche Beiträge
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- MFA, FIDO2, Authenticator App, Hello for Business: Methoden zur Authentifizierung am (hybriden) Azure Active Directory
- Privilegierte Konten mit Azure PIM schützen
- Mit der Authenticator App an M365 oder Azure AD ohne Kennwort anmelden
- Multifaktor-Authentifizierung (MFA) für Azure und Office 365 konfigurieren