Zásady ověřování a izolované skupiny zásad ověřování
Toto téma pro IT profesionály popisuje oddíly zásad ověřování a zásady, které můžou omezit používání účtů na tyto oddíly. Vysvětluje také, jak se dají zásady ověřování použít k omezení rozsahu účtů.
Sila zásad ověřování a doprovodné zásady poskytují způsob, jak obsahovat přihlašovací údaje s vysokými oprávněními k systémům, které se týkají jenom vybraných uživatelů, počítačů nebo služeb. Silos lze definovat a spravovat ve službě Active Directory Domain Services (AD DS) pomocí Centra správy služby Active Directory a rutin prostředí Windows PowerShell.
Sila zásad ověřování jsou kontejnery, ke kterým můžou správci přiřazovat uživatelské účty, účty počítačů a účty služeb. Sady účtů je pak možné spravovat pomocí zásad ověřování, které byly použity v daném kontejneru. To snižuje potřebu správce sledovat přístup k prostředkům pro jednotlivé účty a pomáhá zabránit škodlivým uživatelům v přístupu k jiným prostředkům prostřednictvím krádeže přihlašovacích údajů.
Funkce představené ve Windows Serveru 2012 R2 umožňují vytvářet sila zásad ověřování, která hostují sadu uživatelů s vysokými oprávněními. Zásady ověřování pro tento kontejner pak můžete přiřadit, abyste omezili, kde se privilegované účty dají používat v doméně. Když jsou účty zařazeny do skupiny zabezpečení chráněných uživatelů, používají se další ovládací prvky, jako je výhradní použití protokolu Kerberos.
Díky těmto možnostem můžete omezit využívání účtů s vysokou hodnotou na hostitele s vysokou prioritou. Například můžete vytvořit nové silo správců lesní struktury, které obsahuje podnikové, schématické a doménové správce. Pak můžete silo nakonfigurovat pomocí zásady ověřování tak, aby ověřování heslem a ověření pomocí čipové karty selhalo u systémů, které nejsou řadiči domény ani konzolami pro správu domény.
Informace o konfiguraci sila zásad ověřování a zásad ověřování naleznete v sekci Konfigurace chráněných účtů.
O sile zásad ověřování
Silo zásad ověřování určuje, které účty mohou být omezeny, a definuje zásady ověřování, které se vztahují na členy. Silo můžete vytvořit na základě požadavků vaší organizace. Sila jsou objekty služby Active Directory pro uživatele, počítače a služby definované schématem v následující tabulce.
Schéma Active Directory pro zásadová sila ověřování
| Zobrazovaný název | Popis |
|---|---|
| Silo pro zásady ověřování | Instance této třídy definuje zásady ověřování a související chování přiřazených uživatelů, počítačů a služeb. |
| Sila zásad ověřování | Kontejner této třídy může obsahovat objekty sil zásad ověřování. |
| Vynucené silo zásad ověřování | Určuje, jestli se vynucuje silo zásad ověřování. Pokud se zásady nevynucují, ve výchozím nastavení jsou v režimu auditu. Vygenerují se události, které indikují potenciální úspěch a selhání, ale ochrana se v systému nepoužije. |
| Zpětný odkaz přiřazeného silo zásad ověřování | Tento atribut je zpětný odkaz pro msDS-AssignedAuthNPolicySilo. |
| Členové skupiny zásad ověřování | Určuje, které prvky zabezpečení jsou přiřazeny k AuthNPolicySilo. |
| Zpětný odkaz pro členy sila zásad ověřování | Tento atribut je zpětný odkaz pro msDS-AuthNPolicySiloMembers. |
Je možné nakonfigurovat silos zásad ověřování pomocí konzole pro správu služby Active Directory nebo prostředí Windows PowerShell. Další informace najdete v tématu Konfigurace chráněných účtů.
Informace o zásadách ověřování
Zásady ověřování definují vlastnosti životnosti lístku TGT (Kerberos Protocol Ticket-Grant) a podmínky řízení přístupu ověřování pro typ účtu. Tato zásada je postavena na kontejneru služby AD DS a řídí jej, přičemž se tento kontejner označuje jako silo zásad ověřování.
Zásady ověřování řídí následující:
Doba životnosti TGT pro účet, která je nastavená tak, aby nebyla obnovitelná.
Kritéria, která musí účty zařízení splňovat pro přihlášení pomocí hesla nebo certifikátu.
Kritéria, která musí uživatelé a zařízení splnit, aby se ověřili ve službách spuštěných jako součást účtu.
Typ účtu služby Active Directory určuje roli volajícího jako jednu z těchto věcí:
uživatel
Uživatelé by vždy měli být členy skupiny zabezpečení Protected Users, která ve výchozím nastavení odmítne pokusy o ověření pomocí ntLM.
Zásady je možné nakonfigurovat tak, aby nastavovaly dobu životnosti TGT uživatelského účtu na kratší hodnotu nebo omezily zařízení, na která se může uživatelský účet přihlásit. V zásadách ověřování je možné nakonfigurovat bohaté výrazy, které řídí kritéria, která uživatelé a jejich zařízení potřebují k ověření ve službě.
Další informace naleznete v tématu Skupina zabezpečení chránění uživatelé.
Služba
Používají se samostatné účty spravované služby, účty spravované služby skupiny nebo objekt vlastního účtu, který je odvozen z těchto dvou typů účtů služeb. Zásady můžou nastavit podmínky řízení přístupu zařízení, které slouží k omezení přihlašovacích údajů účtu spravované služby na konkrétní zařízení s identitou služby Active Directory. Nikdy by služby neměly být členy bezpečnostní skupiny Chránění uživatelé, neboť všechno příchozí ověřování selže.
počítač
Používá se objekt účtu počítače nebo objekt vlastního účtu odvozený z objektu účtu počítače. Zásady můžou nastavit podmínky řízení přístupu, které jsou potřeba k povolení ověřování účtu na základě vlastností uživatele a zařízení. Počítače by nikdy neměly být členy skupiny zabezpečení Protected Users, protože všechno příchozí ověřování selže. Ve výchozím nastavení se pokusy o použití ověřování NTLM zamítnou. Životnost TGT by neměla být nakonfigurovaná pro účty počítačů.
Poznámka
Zásady ověřování je možné nastavit u sady účtů, aniž by byly spojeny se silem ověřování. Tuto strategii můžete použít, když máte k ochraně jeden účet.
schéma služby Active Directory pro zásady autentizace
Zásady pro objekty služby Active Directory pro uživatele, počítače a služby jsou definovány schématem v následující tabulce.
| Typ | Zobrazovaný název | Popis |
|---|---|---|
| Politika | Zásady ověřování | Instance této třídy definuje chování zásady autentizace pro přiřazené subjekty. |
| Politika | Zásady ověřování | Kontejner této třídy může obsahovat objekty zásad ověřování. |
| Politika | Vynucení politiky autentizace | Určuje, jestli se zásady ověřování vynucují. Pokud se zásady nevynucují, ve výchozím nastavení jsou v režimu auditu a události, které indikují potenciální úspěch a selhání, se vygenerují, ale ochrana se v systému nepoužije. |
| Politika | Zpětný odkaz přiřazené zásady autentizace | Tento atribut je zpětný odkaz pro msDS-AssignedAuthNPolicy. |
| Politika | Přiřazené zásady ověřování | Určuje, které zásady AuthNPolicy se mají použít pro tohoto subjektu. |
| Uživatel | Zásady ověřování uživatelů | Určuje, která zásada AuthNPolicy by se měla uplatnit na uživatele přiřazené k tomuto objektu typu silo. |
| Uživatel | Zpětný odkaz zásad ověřování uživatelů | Tento atribut je zpětný odkaz pro msDS-UserAuthNPolicy. |
| Uživatel | ms-DS-Uživatel-Smí-Authenticate-To | Tento atribut slouží k určení sady objektů zabezpečení, které se můžou ověřit ve službě spuštěné v rámci uživatelského účtu. |
| Uživatel | ms-DS-User-Allowed-To-Authenticate-From | Tento atribut slouží k určení sady zařízení, ke kterým má uživatelský účet oprávnění k přihlášení. |
| Uživatel | Životnost TGT uživatele | Určuje maximální stáří lístku TGT protokolu Kerberos vydaného uživateli (vyjádřeno v sekundách). Výsledné TGT nejsou obnovitelné. |
| Počítač | Zásady ověřování počítače | Určuje, které zásady AuthNPolicy se mají použít na počítače, které jsou přiřazeny k objektu tohoto sila. |
| Počítač | Zásady autentizace počítačů zpětný odkaz | Tento atribut je zpětný odkaz pro msDS-ComputerAuthNPolicy. |
| Počítač | ms-DS-Počítač-povoleno-Authenticate-To | Tento atribut slouží k určení sady objektů zabezpečení, které jsou povolené k ověření ve službě spuštěné pod účtem počítače. |
| Počítač | Životnost TGT počítače | Určuje maximální stáří lístku TGT protokolu Kerberos vydaného počítači (vyjádřeno v sekundách). Toto nastavení se nedoporučuje měnit. |
| Služba | Zásady ověřování služby | Určuje, které AuthNPolicy se mají použít na služby přiřazené k tomuto objektu sila. |
| Služba | Zpětný odkaz na zásady ověřování služby | Tento atribut je zpětný odkaz pro msDS-ServiceAuthNPolicy. |
| Služba | ms-DS-Služba-Povoleno-Na-Authenticate-To | Tento atribut se používá k určení sady subjektů, které se můžou ověřit ke službě běžící pod účtem služby. |
| Služba | ms-DS-Služba-Povoleno-Pro-Authenticate-From | Tento atribut slouží k určení sady zařízení, ke kterým má účet služby oprávnění k přihlášení. |
| Služba | Životnost služby TGT | Určuje maximální stáří Kerberos TGT lístku, který je vydán službě (vyjádřeno v sekundách). |
Zásady ověřování je možné nakonfigurovat pro každé silo pomocí konzoly pro správu služby Active Directory nebo prostředí Windows PowerShell. Další informace najdete v tématu Konfigurace chráněných účtů.
Jak to funguje
Tato část popisuje, jak fungují izolace zásad ověřování a samotné zásady ověřování ve spolupráci se skupinou zabezpečení Protected Users a se způsobem implementace protokolu Kerberos v systému Windows.
chráněné účty
Skupina zabezpečení Protected Users aktivuje nekonfigurovatelnou ochranu na zařízeních a hostitelských počítačích se systémem Windows Server 2012 R2 a Windows 8.1 a na řadičích domény v doménách s primárním řadičem domény se systémem Windows Server 2012 R2 . V závislosti na funkční úrovni domény účtu jsou členové skupiny zabezpečení Protected Users dále chráněni kvůli změnám metod ověřování podporovaných ve Windows.
Člen skupiny zabezpečení Protected Users se nemůže ověřit prostřednictvím protokolu NTLM, ověřováním Digest nebo výchozím delegováním přihlašovacích údajů CredSSP. Na zařízení s Windows 8.1, které používá některého z těchto zprostředkovatelů podpory zabezpečení (SSP), ověřování do domény selže, když je účet členem skupiny zabezpečení Protected Users.
Protokol Kerberos nebude v procesu předběžného ověření používat slabší typy šifrování DES nebo RC4. To znamená, že doména musí být nakonfigurovaná tak, aby podporovala alespoň typ šifrování AES.
Účet uživatele nelze delegovat pomocí omezeného nebo nekontrénovaného delegování protokolu Kerberos. To znamená, že dřívější připojení k jiným systémům mohou přestat fungovat, pokud je uživatel členem bezpečnostní skupiny Chránění uživatelé.
Výchozí nastavení životnosti TGT protokolu Kerberos je čtyři hodiny a jeho úpravu je možné provést pomocí zásad ověřování a sil, ke kterým je možné přistupovat prostřednictvím Centra pro správu služby Active Directory. To znamená, že když uplynuly čtyři hodiny, musí se uživatel znovu ověřit.
Další informace o této skupině zabezpečení naleznete v tématu Jak funguje skupina chráněných uživatelů.
Sila a zásady ověřování
Izolační zásady ověřování a zásady ověřování využívají stávající infrastrukturu ověřování systému Windows. Použití protokolu NTLM je odmítnuto a používá se protokol Kerberos s novějšími typy šifrování. Zásady ověřování doplňují skupinu zabezpečení Protected Users tím, že poskytují způsob, jak použít konfigurovatelná omezení pro účty, a navíc poskytují omezení pro účty pro služby a počítače. Zásady ověřování se prosazují během autentizačního a vstupního procesu protokolu Kerberos (AS) nebo služby vydávání lístků (TGS). Další informace o tom, jak systém Windows používá protokol Kerberos a jaké změny byly provedeny na podporu izolovaných skupin zásad ověřování a zásad ověřování, najdete zde:
Změny v ověřování Kerberos (Windows Server 2008 R2 a Windows 7)
Jak se protokol Kerberos používá se silosy zásad ověřování a zásadami
Když je účet domény propojený se silo zásad ověřování a uživatel se přihlásí, správce účtů zabezpečení přidá jako hodnotu typ sila zásad ověřování, který obsahuje silo. Tento nárok na účtu poskytuje přístup k cílovému silu.
Při aplikaci zásady ověřování a přijetí žádosti ověřovací služby pro účet domény na řadiči domény vrátí řadič domény neobnovitelný TGT s předem nastavenou životností (pokud není životnost TGT domény kratší).
Poznámka
Účet domény musí mít nakonfigurovanou životnost TGT a musí být buď přímo propojený se zásadou, nebo nepřímo propojený prostřednictvím členství v izolované skupině.
Pokud je zásada ověřování v režimu auditu a v řadiči domény se obdrží žádost ověřovací služby pro účet domény, řadič domény zkontroluje, jestli je pro zařízení povolené ověřování, aby mohl v případě selhání protokolovat upozornění. Auditované zásady ověřování proces nemění, takže požadavky na ověření nebudou neúspěšné, pokud nesplňují požadavky zásad.
Poznámka
Účet domény musí být buď přímo propojený s politikou, nebo nepřímo propojený prostřednictvím členství v silu.
Když se vynucuje zásada ověřování a ověřovací služba je zabezpečená, je žádost ověřovací služby pro účet domény obdržena na řadiči domény, který zkontroluje, jestli je pro zařízení povoleno ověřování. Pokud selže, řadič domény vrátí chybovou zprávu a zaznamená událost.
Poznámka
Účet domény musí být buď přímo propojený se zásadou, nebo nepřímo propojený prostřednictvím členství v sila.
Pokud je zásada ověřování v režimu auditování a řadič domény přijme žádost o udělení lístku pro účet domény, zkontroluje, jestli je na základě dat Privilege Attribute Certificate (PAC) lístku požadavku ověřování povoleno, a pokud tomu tak není, zaprotokoluje varovnou zprávu. Pac obsahuje různé typy autorizačních dat, včetně skupin, ve které je uživatel členem, práv uživatele a zásad, které se vztahují na uživatele. Tyto informace slouží k vygenerování přístupového tokenu uživatele. Pokud se jedná o vynucené zásady ověřování, které umožňují ověřování pro uživatele, zařízení nebo službu, řadič domény zkontroluje, jestli je ověřování povoleno na základě dat PAC lístku požadavku. Pokud selže, řadič domény vrátí chybovou zprávu a zaznamená událost.
Poznámka
Účet domény musí být buď přímo propojený, nebo propojený prostřednictvím členství v silu s auditovanými zásadami ověřování, které umožňují ověřování pro uživatele, zařízení nebo službu.
Pro všechny členy sila můžete použít jednu zásadu ověřování nebo můžete použít samostatné zásady pro uživatele, počítače a účty spravovaných služeb.
Zásady ověřování je možné nakonfigurovat pro každé silo pomocí konzoly pro správu služby Active Directory nebo prostředí Windows PowerShell. Další informace najdete v tématu Konfigurace chráněných účtů.
Jak funguje omezení přihlašování uživatelů
Vzhledem k tomu, že se tyto zásady ověřování použijí na účet, platí také pro účty používané službami. Pokud chcete omezit použití hesla pro službu na konkrétní hostitele, je toto nastavení užitečné. Například účty spravované skupinou služeb jsou nakonfigurovány tak, že hostitelé mají povoleno načítat heslo z Active Directory Domain Services. Toto heslo se ale dá použít z libovolného hostitele k počátečnímu ověření. Použitím podmínky řízení přístupu lze další vrstvu ochrany dosáhnout omezením hesla pouze na sadu hostitelů, kteří můžou heslo načíst.
Pokud se služby, které běží jako systém, síťová služba nebo jiná identita místní služby, připojují k síťovým službám, používají účet počítače hostitele. Účty počítačů nelze omezit. Takže i v případě, že služba používá účet počítače, který není určený pro hostitele systému Windows, nelze ji omezit.
Omezení přihlašování uživatelů na konkrétní hostitele vyžaduje, aby řadič domény ověřil identitu hostitele. Při použití ověřování protokolem Kerberos s ochranou protokolu Kerberos, který je součástí dynamického řízení přístupu, je centru distribuce klíčů poskytnut TGT hostitele, od kterého se uživatel ověřuje. Obsah tohoto obrněného TGT slouží k dokončení kontroly přístupu k určení, jestli je hostitel povolený.
Když se uživatel přihlásí do Windows nebo zadá přihlašovací údaje k doméně ve výzvě k zadání přihlašovacích údajů pro aplikaci, Windows ve výchozím nastavení odešle do řadiče domény nechráněný AS-REQ. Pokud uživatel odesílá požadavek z počítače, který nepodporuje obranu, například počítače se systémem Windows 7 nebo Windows Vista, požadavek selže.
Tento proces popisuje následující seznam:
Řadič domény v doméně se systémem Windows Server 2012 R2 se dotazuje na uživatelský účet a určí, jestli je nakonfigurován zásadami ověřování, které omezují počáteční ověřování vyžadující zabezpečené požadavky.
Řadič domény požadavek nezdaří.
Protože je vyžadována obrana, může se uživatel pokusit přihlásit pomocí počítače se systémem Windows 8.1 nebo Windows 8, který je vybaven podporou obrany Kerberos, aby zkusil znovu přihlášení.
Systém Windows zjistí, že doména podporuje obranu protokolu Kerberos a odešle obrněnou AS-REQ, aby zkusila žádost o přihlášení znovu.
Řadič domény provádí kontrolu přístupu pomocí nakonfigurovaných podmínek řízení přístupu a informací o identitě klientského operačního systému v TGT, které byly použity k obraně požadavku.
Pokud kontrola přístupu selže, řadič domény žádost odmítne.
I když operační systémy podporují obranu protokolu Kerberos, je možné použít požadavky na řízení přístupu a musí být splněny před udělením přístupu. Uživatelé se přihlásí k Windows nebo zadají přihlašovací údaje k doméně v výzvě k zadání přihlašovacích údajů pro aplikaci. Ve výchozím nastavení systém Windows odesílá nechráněný AS-REQ do řadiče domény. Pokud uživatel odesílá požadavek z počítače, který podporuje obranu, například Windows 8.1 nebo Windows 8, zásady ověřování se vyhodnotí takto:
Řadič domény v doméně se systémem Windows Server 2012 R2 dotazuje uživatelský účet a určí, zda je nakonfigurovaný s ověřovací politikou, která omezuje počáteční ověřování vyžadující obrněné požadavky.
Řadič domény provádí kontrolu přístupu pomocí nakonfigurovaných podmínek řízení přístupu a informací o identitě systému v TGT, které se používají k obraně požadavku. Kontrola přístupu je úspěšná.
Poznámka
Pokud jsou nakonfigurovaná starší omezení pracovní skupiny, je potřeba je splnit také.
Řadič domény odpoví zabezpečenou odpovědí (AS-REP) a ověřování pokračuje.
Jak funguje omezení vydávání servisních tiketů
Pokud účet není povolený a uživatel, který má TGT, se pokusí připojit ke službě (například otevřením aplikace, která vyžaduje ověření pro službu, která je identifikována hlavním názvem služby (SPN), dojde k následující sekvenci:
Při pokusu o připojení k SPN1 z SPN odešle Windows TGS-REQ řadiči domény, který žádá lístek služby do SPN1.
Řadič domény v doméně se systémem Windows Server 2012 R2 vyhledá SPN1 pro nalezení účtu služby Active Directory Domain Services a zjistí, že účet je nakonfigurován s zásadami ověřování, které omezují vydávání lístků služby.
Řadič domény provádí kontrolu přístupu pomocí nakonfigurovaných podmínek řízení přístupu a informací o identitě uživatele v TGT. Kontrola přístupu se nezdaří.
Řadič domény žádost odmítne.
Pokud je účet povolen, protože splňuje podmínky řízení přístupu nastavené zásadami ověřování, a uživatel, který má TGT, se pokusí připojit ke službě (například otevřením aplikace, která vyžaduje ověření pro službu identifikovanou SPN služby), dojde k následující sekvenci:
Při pokusu o připojení k SPN1 odešle Windows TGS-REQ řadiči domény, který žádá o lístek služby pro SPN1.
Řadič domény v doméně se systémem Windows Server 2012 R2 vyhledá SPN1, aby našel účet Active Directory Domain Services pro službu, a zjistí, že účet má nakonfigurovanou zásadu ověřování, která omezuje vydávání servisních ticketů.
Řadič domény provádí kontrolu přístupu pomocí nakonfigurovaných podmínek řízení přístupu a informací o identitě uživatele v TGT. Kontrola přístupu je úspěšná.
Řadič domény odpoví na žádost pomocí odpovědi služby pro udělování lístků (TGS-REP).
Přidružené chybové zprávy a informační události
Následující tabulka popisuje události související se skupinou zabezpečení Protected Users a zásady ověřování, které se aplikují na silosy pro zásady ověřování.
Události jsou zaznamenány v protokolech aplikací a služeb v Microsoft\Windows\Authentication.
Postup řešení potíží, který tyto události používá, najdete v tématu Řešení potíží se zásadami ověřování a Řešení událostí souvisejících s chráněnými uživateli.
| ID události a protokol | Popis |
|---|---|
| 101 AuthenticationPolicyFailures-DomainController |
Důvod: K chybě přihlášení NTLM dochází, protože je nakonfigurovaná zásada ověřování. V řadiči domény se zaprotokoluje událost, která značí, že ověřování NTLM selhalo, protože jsou vyžadována omezení řízení přístupu a tato omezení nelze použít na protokol NTLM. Zobrazí názvy účtů, zařízení, zásad a sil. |
| 105 ChybyAutentizačníPolitiky-ŘadičDomény |
Důvod: K chybě omezení Kerberos dochází, protože ověřování z konkrétního zařízení nebylo povoleno. V řadiči domény se zaprotokoluje událost, která indikuje, že došlo k odepření TGT protokolu Kerberos, protože zařízení nesplňuje vynucená omezení řízení přístupu. Zobrazí názvy účtu, zařízení, zásady, sila a dobu životnosti TGT. |
| 305 SelháníPolitikyOvěření-ŘadičDomény |
Důvod: K potenciálnímu selhání omezení Kerberos může dojít, protože ověřování z určitého zařízení nebylo povoleno. V režimu auditu se v řadiči domény zapíše informační událost, aby se zjistilo, zda bude TGT Kerberos odepřeno, protože zařízení nesplnilo omezení řízení přístupu. Zobrazí název účtu, zařízení, zásady, názvy úložišť a dobu platnosti TGT. |
| 106 SelháníOvěřovacíPolitiky-ŘadičDomény |
Důvod: K selhání omezení protokolu Kerberos dochází, protože uživatel nebo zařízení nemělo povoleno ověřování na serveru. V řadiči domény se zaprotokoluje událost, která značí, že lístek služby Kerberos byl odepřen, protože uživatel, zařízení nebo obojí nesplňuje vynucená omezení řízení přístupu. Zobrazí názvy zařízení, zásad a silo. |
| 306 AuthenticationPolicyFailures-DomainController |
Důvod: K selhání omezení protokolu Kerberos může dojít, protože uživatel nebo zařízení nemohlo provést ověření na serveru. V režimu auditování se informační událost zaprotokoluje na řadiči domény a indikuje, že lístek služby Kerberos bude odepřen, protože uživatel, zařízení nebo obojí nesplňuje omezení řízení přístupu. Zobrazuje názvy zařízení, zásad a sil. |
Další odkazy
Jak konfigurovat chráněné účty