Privilegierte AD-Konten durch Mitgliedschaft in Protected Users schützen


    Tags: ,

    Active Directory GruppeMit Windows Server 2012 R2 führte Microsoft die Sicher­heits­gruppe Geschützte Benutzer ("Protec­ted Users") ein. Die Mitglied­schaft in dieser Gruppe blockiert auto­matisch Legacy-Techno­logien und Funk­tionen, die Angreifern den Dieb­stahl von Iden­titäten erleichtern. Dieser Schutz lässt sich nicht entfernen.

    Die Gruppe Protected Users ist standard­mäßig im Container Users vorhanden, wenn als Funktions­ebene der Domäne mindestens Server 2012 R2 konfiguriert wurde. Clients und Mitglied-Server sollten unter Windows 8.1. bzw. Server 2012 R2 laufen, damit die Eigenschaften dieser Gruppe greifen.

    Die Gruppe Geschützte Benutzer befindet sich im Container Users.

    Die Gruppe schützt Benutzer­konten mit besonderen Berechtigungen vor Angriffen. Die betreffenden Maßnahmen werden aktiviert, sobald sich eines der Mitglieder an Workstations oder Server anmeldet, die ein unterstütztes Betriebs­system ausführen.

    Die in Protected Users enthaltenen Benutzer können sich nicht mehr mit folgenden Mitteln authen­tifizieren bzw. unterliegen nach erfolgreicher Anmeldung folgenden Einschränkungen:

    • NTLM, Digest Authentication und CredSSP.
      Nur-Text-Passwörter werden nicht zwischen­gespeichert, so dass sich keines der Geräte, welches diese Protokolle verwendet, bei der Domäne authentifizieren kann.
    • Kerberos-Langzeitschlüssel werden nicht mehr zwischen­gespeichert. Kerberos führt bei jeder Anforderung eine Authentifizierung durch.
    • Die maximale Lebensdauer für das Kerberos-Ticket des Benutzers liegt bei 240 Minuten.
    • Kerberos verwendet die schwache Verschlüsselung mit DES oder RC4 nicht mehr. Die Domäne muss daher für die Unterstützung von AES konfiguriert sein.
    • Die Offline-Anmeldung an einem Gerät ist nicht mehr möglich.
    • Weder constrained noch unconstrained Kerberos-Delegation werden unterstützt. Dies kann zu Einschränkungen bei der Administration führen ("Second Hop-Problem")

    Grundsätzlich könnte man einige dieser Einschränkungen auch per Gruppen­richtlinien konfigurieren. Durch die Mitgliedschaft in der Gruppe der geschützten Benutzer werden diese aber automatisch wirksam und es besteht keine Gefahr, sie durch eine Fehlkonfiguration wieder aufzuheben.

    Effekt der Mitgliedschaft prüfen

    Um zu testen, ob die Einschränkungen durch die Sicherheitsgruppe auf einem System greifen, eignet sich das Hacking-Tool Mimikatz. Solange ein Konto nicht Mitglied in Protected Users ist, zeigt es etwa den NTLM-Hash an.

    Ausgabe von Mimikatz nach Anmeldung des Administrators ohne Mitgliedschaft in Geschützte Benutzer.

    Nach Aufnahme des Administrators in die Protected Users sieht das Ergebnis so aus, wie auf der nächsten Abbildung zu sehen.

    Der NTLM-Hash wird nicht mehr gespeichert, wenn der User Mitglied der geschützten Gruppe ist.

    Die Kerberos-Tickets kann man mit klist analysieren. Hier erkennt man, dass die Gültigkeitsdauer 240 Minuten beträgt.

    Eigenschaften des Kerberos-Tickets für ein Konto aus der Gruppe Protected Users

    Troubleshooting

    Im Ereignisprotokoll finden sich unter Anwendungs- und Dienstprotokolle => Microsoft => Windows => Authentication alle Einträge für ein eventuell notwendiges Troubleshooting.

    Protokollierung für die Authentifizierung aktivieren

    Die Protokolle sind standardmäßig deaktiviert und man muss sie daher erst einschalten, damit die Ereignisse mitgeschrieben werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.
    Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).

    // Kontakt: E-Mail //

    Ähnliche Beiträge

    Weitere Links