Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här avsnittet för IT-proffs beskriver silor för autentiseringsprinciper och de principer som kan begränsa konton till dessa silor. Den förklarar också hur autentiseringsprinciper kan användas för att begränsa kontoomfånget.
Silor för autentiseringsprinciper och tillhörande principer ger ett sätt att innehålla autentiseringsuppgifter med hög behörighet för system som endast är relevanta för valda användare, datorer eller tjänster. Silos kan definieras och hanteras i Active Directory Domain Services (AD DS) med hjälp av Active Directory Administrationscenter och Active Directory Windows PowerShell-cmdletar.
Silor för autentiseringsprinciper är containrar till vilka administratörer kan tilldela användarkonton, datorkonton och tjänstkonton. Uppsättningar med konton kan sedan hanteras av de autentiseringsprinciper som har tillämpats på containern. Detta minskar administratörens behov av att spåra åtkomst till resurser för enskilda konton och hjälper till att förhindra skadliga användare från att komma åt andra resurser genom stöld av autentiseringsuppgifter.
Med funktioner som introduceras i Windows Server 2012 R2 kan du skapa silor för autentiseringsprinciper som är värd för en uppsättning användare med hög behörighet. Du kan sedan tilldela autentiseringsprinciper för den här containern för att begränsa var privilegierade konton kan användas i domänen. När konton finns i säkerhetsgruppen Skyddade användare tillämpas ytterligare kontroller, till exempel exklusiv användning av Kerberos-protokollet.
Med dessa funktioner kan du begränsa kontoanvändning med högt värde till värdar med högt värde. Du kan till exempel skapa en ny silo för skogsadministratörer som innehåller företags-, schema- och domänadministratörer. Sedan kan du konfigurera silon med en autentiseringsprincip så att lösenords- och smartkortsbaserad autentisering från andra system än domänkontrollanter och domänadministratörskonsoler misslyckas.
Information om hur du konfigurerar silor för autentiseringsprinciper och autentiseringsprinciper finns i Konfigurera skyddade konton.
Om silor för autentiseringsprinciper
En silo för autentiseringsprinciper styr vilka konton som kan begränsas av silon och definierar de autentiseringsprinciper som ska tillämpas på medlemmarna. Du kan skapa silon baserat på organisationens krav. Silos är Active Directory-objekt för användare, datorer och tjänster som definieras av schemat i följande tabell.
Active Directory-schema för silor för autentiseringsprinciper
| Visningsnamn | Beskrivning |
|---|---|
| Autentiseringspolicy-silo | En instans av den här klassen definierar autentiseringsprinciper och relaterade beteenden för tilldelade användare, datorer och tjänster. |
| Autentiseringspolicy-silos | En container i den här klassen kan innehålla siloobjekt för autentiseringsprinciper. |
| Autentiseringspolicy-silo tillämpas | Anger om silon för autentiseringsprinciper tillämpas. När principen inte tillämpas är den som standard i granskningsläge. Händelser som indikerar potentiella framgångar och fel genereras, men skydd tillämpas inte på systemet. |
| Silo-bakåtlänk för tilldelad autentiseringsprincip | Det här attributet är bakåtlänken för msDS-AssignedAuthNPolicySilo. |
| Autentiseringspolicy silomedlemmar | Anger vilka huvudprinciper som tilldelas AuthNPolicySilo. |
| Bakåtlänk för medlemmar i autentiseringspolicy-silo | Det här attributet är bakåtlänken för msDS-AuthNPolicySiloMembers. |
Silor för autentiseringsprinciper kan konfigureras med hjälp av Active Directory Administrationskonsol eller Windows PowerShell. Mer information finns i Konfigurera skyddade konton.
Om autentiseringsprinciper
En autentiseringsprincip definierar livslängdsegenskaperna för Kerberos-protokollets biljettbeviljande biljett (TGT) och villkor för åtkomstkontroll för autentisering för en kontotyp. Policyn bygger på och styr AD DS-containern som kallas autentiseringspolicysilo.
Autentiseringsprinciper styr följande:
Kontots TGT-livslängd är inställd på att inte kunna förnyas.
De kriterier som enhetskonton måste uppfylla för att logga in med ett lösenord eller ett certifikat.
De kriterier som användare och enheter måste uppfylla för att autentisera till tjänster som körs som en del av kontot.
Active Directory-kontotypen bestämmer anroparens roll som något av följande:
Användare
Användare bör alltid vara medlemmar i säkerhetsgruppen Skyddade användare, som som standard avvisar försök till autentisering med NTLM.
Principer kan konfigureras för att ange TGT-livslängden för ett användarkonto till ett kortare värde eller begränsa de enheter som ett användarkonto kan logga in på. Omfattande uttryck kan konfigureras i autentiseringsprincipen för att styra de kriterier som användarna och deras enheter måste uppfylla för att autentisera till tjänsten.
Mer information finns i Säkerhetsgrupp för skyddade användare.
Tjänst
Fristående hanterade tjänstkonton, grupphanterade tjänstkonton eller ett anpassat kontoobjekt som härleds från dessa två typer av tjänstkonton används. Principer kan ange åtkomstkontrollvillkor för en enhet som används för att begränsa autentiseringsuppgifterna för hanterade tjänstkonton till specifika enheter med en Active Directory-identitet. Tjänster bör aldrig vara medlemmar i säkerhetsgruppen Skyddade användare eftersom all inkommande autentisering misslyckas.
Dator
Datorkontoobjektet eller det anpassade kontoobjektet som härleds från datorkontoobjektet används. Principer kan ange de åtkomstkontrollvillkor som krävs för att tillåta autentisering till kontot baserat på användar- och enhetsegenskaper. Datorer bör aldrig vara medlemmar i säkerhetsgruppen Skyddade användare eftersom all inkommande autentisering misslyckas. Som standard avvisas försök att använda NTLM-autentisering. En TGT-livslängd bör inte konfigureras för datorkonton.
Anmärkning
Det går att ange en autentiseringsprincip för en uppsättning konton utan att koppla principen till en silo för autentiseringsprinciper. Du kan använda den här strategin när du har ett enda konto att skydda.
Active Directory-schema för autentiseringsprinciper
Principerna för Active Directory-objekt för användare, datorer och tjänster definieras av schemat i följande tabell.
| Typ | Visningsnamn | Beskrivning |
|---|---|---|
| Riktlinje | Autentiseringsprincip | En instans av den här klassen definierar autentiseringsprincipbeteenden för tilldelade huvudkonton. |
| Riktlinje | Autentiseringsprinciper | En container i den här klassen kan innehålla autentiseringsprincipobjekt. |
| Riktlinje | Autentiseringsprincip framtvingas | Anger om autentiseringsprincipen tillämpas. När den inte tillämpas är principen som standard i granskningsläge och händelser som indikerar potentiella framgångar och fel genereras, men skydd tillämpas inte på systemet. |
| Riktlinje | Bakåtlänk för tilldelad autentiseringsprincip | Det här attributet är bakåtlänken för msDS-AssignedAuthNPolicy. |
| Riktlinje | Tilldelad autentiseringsprincip | Anger vilken AuthNPolicy som ska tillämpas på det här huvudkontot. |
| Användare | Användarautentiseringsprincip | Anger vilken AuthNPolicy som ska tillämpas på användare som har tilldelats det här siloobjektet. |
| Användare | Bakåtlänk för användarautentiseringsprincip | Det här attributet är bakåtlänken för msDS-UserAuthNPolicy. |
| Användare | ms-DS-Användare-Tillåten-Att-Authenticate-To | Det här attributet används för att fastställa vilken uppsättning principaler som tillåts autentisera sig mot en tjänst som körs under användarkontot. |
| Användare | ms-DS-User-Allowed-To-Authenticate-From | Det här attributet används för att fastställa vilken uppsättning enheter som ett användarkonto har behörighet att logga in på. |
| Användare | Användarens TGT-livslängd | Anger den maximala åldern för en Kerberos TGT som utfärdas till en användare (uttryckt i sekunder). Resulterande TGT:er är inte förnybara. |
| Dator | Princip för datorautentisering | Anger vilka AuthNPolicy som ska tillämpas på datorer som har tilldelats det här siloobjektet. |
| Dator | Bakåtlänk för datorautentiseringsprincip | Det här attributet är bakåtlänken för msDS-ComputerAuthNPolicy. |
| Dator | ms-DS-Computer-Allowed-To-Authenticate-To | Det här attributet används för att fastställa vilken uppsättning användare som tillåts autentisera sig mot en tjänst som körs under datorkontot. |
| Dator | Livslängd för TGT-dator | Anger den maximala åldern för en Kerberos TGT som utfärdas till en dator (uttryckt i sekunder). Vi rekommenderar inte att du ändrar den här inställningen. |
| Tjänster | Princip för tjänstautentisering | Anger vilka AuthNPolicy som ska tillämpas på tjänster som har tilldelats det här siloobjektet. |
| Tjänster | Bakåtlänk för tjänstautentiseringsprincip | Det här attributet är bakåtlänken för msDS-ServiceAuthNPolicy. |
| Tjänster | ms-DS-Tjänst-Tillåten-För-Authenticate-To | Det här attributet används för att fastställa vilken uppsättning huvudmän som tillåts autentisera sig mot en tjänst som körs under tjänstkontot. |
| Tjänster | ms-DS-Tjänst-Tillåtna-Till-Authenticate-From | Det här attributet används för att fastställa vilken uppsättning enheter som ett tjänstkonto har behörighet att logga in på. |
| Tjänster | Tjänst-TGT-livslängd | Anger den maximala åldern för en Kerberos TGT som utfärdas till en tjänst (uttryckt i sekunder). |
Autentiseringsprinciper kan konfigureras för varje silo med hjälp av Active Directory Administrationskonsol eller Windows PowerShell. Mer information finns i Konfigurera skyddade konton.
Så här fungerar det
I det här avsnittet beskrivs hur autentiseringspolicy-silos och autentiseringsprinciper fungerar tillsammans med säkerhetsgruppen Skyddade användare och implementering av Kerberos-protokollet i Windows.
Hur Kerberos-protokollet används med silor och principer för autentisering
Så här fungerar begränsning av utfärdandet av servicebiljetter
skyddade konton
Säkerhetsgruppen Skyddade användare utlöser icke-konfigurerbart skydd på enheter och värddatorer som kör Windows Server 2012 R2 och Windows 8.1, och på domänkontrollanter i domäner med en primär domänkontrollant som kör Windows Server 2012 R2 . Beroende på kontots domänfunktionsnivå skyddas medlemmar i säkerhetsgruppen Skyddade användare ytterligare på grund av ändringar i de autentiseringsmetoder som stöds i Windows.
Medlemmen i säkerhetsgruppen Skyddade användare kan inte autentisera med hjälp av NTLM, sammanfattad autentisering eller CredSSP-standarddelegering av autentiseringsuppgifter. På en enhet som kör Windows 8.1 som använder någon av dessa SSP:er (Security Support Providers) misslyckas autentiseringen till en domän när kontot är medlem i säkerhetsgruppen Skyddade användare.
Kerberos-protokollet använder inte de svagare DES- eller RC4-krypteringstyperna i förautentiseringsprocessen. Det innebär att domänen måste konfigureras för att stödja åtminstone AES-krypteringstypen.
Användarens konto kan inte delegeras med Kerberos-begränsad eller obegränsad delegering. Det innebär att tidigare anslutningar till andra system kan misslyckas om användaren är medlem i säkerhetsgruppen Skyddade användare.
Standardinställningen för Kerberos TGTs på fyra timmar kan konfigureras med hjälp av autentiseringsprinciper och silor, som kan nås via Active Directory Administrationscenter. Det innebär att när fyra timmar har passerat måste användaren autentisera igen.
Mer information om den här säkerhetsgruppen finns i Hur gruppen Skyddade användare fungerar.
Silos- och autentiseringsprinciper
Autentiseringspolicy-silor och autentiseringsprinciper använder den befintliga Windows-autentiseringsinfrastrukturen. Användningen av NTLM-protokollet avvisas och Kerberos-protokollet med nyare krypteringstyper används. Autentiseringsprinciper kompletterar säkerhetsgruppen Skyddade användare genom att tillhandahålla ett sätt att tillämpa konfigurerbara begränsningar på konton, förutom att ange begränsningar för konton för tjänster och datorer. Autentiseringsprinciper tillämpas under autentiseringstjänsten i Kerberos-protokollet (AS) eller biljettutfärdande tjänstutbyte (TGS). Mer information om hur Windows använder Kerberos-protokollet och vilka ändringar som har gjorts för att stödja autentiseringspolicysilor och autentiseringsprinciper finns i:
ändringar i Kerberos-autentisering (Windows Server 2008 R2 och Windows 7)
Så här används Kerberos-protokollet med silor och principer för autentiseringsprinciper
När ett domänkonto är länkat till en autentiseringspolicysilo och användaren loggar in, lägger Säkerhetskontohanteraren till anspråkstypen för autentiseringspolicysilo och använder silon som värde. Det här anspråket på kontot ger åtkomst till målsilon.
När en autentiseringsprincip tillämpas och begäran om autentiseringstjänsten för ett domänkonto tas emot på domänkontrollanten returnerar domänkontrollanten en icke-förnybar TGT med den konfigurerade livslängden (såvida inte domänens TGT-livslängd är kortare).
Anmärkning
Domänkontot måste ha en konfigurerad TGT-livslängd och måste antingen vara direkt länkad till principen eller indirekt länkad via silomedlemskapet.
När en autentiseringsprincip är i granskningsläge och begäran om autentiseringstjänsten för ett domänkonto tas emot på domänkontrollanten kontrollerar domänkontrollanten om autentisering tillåts för enheten så att den kan logga en varning om det uppstår ett fel. En granskad autentiseringsprincip ändrar inte processen, så autentiseringsbegäranden misslyckas inte om de inte uppfyller kraven i principen.
Anmärkning
Domänkontot måste antingen vara direkt länkat till principen eller indirekt länkat via silomedlemskapet.
När en autentiseringsprincip tillämpas och autentiseringstjänsten är bepansrad tas begäran om autentiseringstjänst för ett domänkonto emot på domänkontrollanten, domänkontrollanten kontrollerar om autentisering tillåts för enheten. Om det misslyckas returnerar domänkontrollanten ett felmeddelande och loggar en händelse.
Anmärkning
Domänkontot måste antingen vara direkt länkat till principen eller indirekt länkat via silomedlemskapet.
När en autentiseringsprincip är i granskningsläge och en begäran om att bevilja biljetter tas emot av domänkontrollanten för ett domänkonto kontrollerar domänkontrollanten om autentisering tillåts baserat på pac-data (ticket Privilege Attribute Certificate) och loggar ett varningsmeddelande om det misslyckas. PAC innehåller olika typer av auktoriseringsdata, inklusive grupper som användaren är medlem i, rättigheter som användaren har och vilka principer som gäller för användaren. Den här informationen används för att generera användarens åtkomsttoken. Om det är en framtvingad autentiseringsprincip som tillåter autentisering till en användare, enhet eller tjänst kontrollerar domänkontrollanten om autentisering tillåts baserat på begärans PAC-biljettdata. Om det misslyckas returnerar domänkontrollanten ett felmeddelande och loggar en händelse.
Anmärkning
Domänkontot måste antingen vara direkt länkat eller länkat via silomedlemskap till en granskad autentiseringsprincip som tillåter autentisering till en användare, enhet eller tjänst.
Du kan använda en enda autentiseringsprincip för alla medlemmar i en silo, eller så kan du använda separata principer för användare, datorer och hanterade tjänstkonton.
Autentiseringsprinciper kan konfigureras för varje silo med hjälp av Active Directory Administrationskonsol eller Windows PowerShell. Mer information finns i Konfigurera skyddade konton.
Så här fungerar det att begränsa en användares inloggning
Eftersom dessa autentiseringsprinciper tillämpas på ett konto gäller det även för konton som används av tjänster. Om du vill begränsa användningen av ett lösenord för en tjänst till specifika värdar är den här inställningen användbar. Till exempel konfigureras grupphanterade tjänstkonton där värdarna får hämta lösenordet från Active Directory Domain Services. Lösenordet kan dock användas från valfri värd för inledande autentisering. Genom att tillämpa ett åtkomstkontrollvillkor kan ett ytterligare skyddslager uppnås genom att begränsa lösenordet till endast den uppsättning värdar som kan hämta lösenordet.
När tjänster som körs som systemtjänst, nätverkstjänst eller annan lokal tjänstidentitet ansluter till nätverkstjänster använder de datorns konto. Datorkonton kan inte begränsas. Så även om tjänsten använder ett datorkonto som inte är för en Windows-värd kan den inte begränsas.
För att begränsa användarinloggningen till specifika värdar krävs att domänkontrollanten verifierar värdens identitet. När du använder Kerberos-autentisering med Kerberos-skydd (som är en del av dynamisk åtkomstkontroll) tillhandahålls Nyckeldistributionscenter med TGT för värden som användaren autentiserar från. Innehållet i denna bepansrade TGT används för att genomföra en åtkomstkontroll för att avgöra om värdenheten är tillåten.
När en användare loggar in på Windows eller anger sina domänautentiseringsuppgifter i en fråga om autentiseringsuppgifter för ett program skickar Windows som standard en obeväpnad AS-REQ till domänkontrollanten. Om användaren skickar begäran från en dator som inte stöder bepansring, till exempel datorer som kör Windows 7 eller Windows Vista, misslyckas begäran.
I följande lista beskrivs processen:
Domänkontrollanten i en domän som kör Windows Server 2012 R2-frågor för användarkontot och avgör om den är konfigurerad med en autentiseringsprincip som begränsar den inledande autentiseringen som kräver bepansrade begäranden.
Domänkontrollanten misslyckas med begäran.
Eftersom skydd krävs kan användaren försöka logga in med hjälp av en dator som kör Windows 8.1 eller Windows 8, vilket är aktiverat för att stödja Kerberos-skydd för att försöka logga in igen.
Windows identifierar att domänen stöder Kerberos-skydd och skickar en bepansrad AS-REQ för att försöka logga in igen.
Domänkontrollanten utför en åtkomstkontroll med hjälp av de konfigurerade åtkomstkontrollvillkoren och klientoperativsystemets identitetsinformation i den TGT som användes för att skydda begäran.
Om åtkomstkontrollen misslyckas avvisar domänkontrollanten begäran.
Även om operativsystem stöder Kerberos-skydd kan åtkomstkontrollkrav tillämpas och måste uppfyllas innan åtkomst beviljas. Användare loggar in på Windows eller anger sina domänautentiseringsuppgifter i en fråga om autentiseringsuppgifter för ett program. Som standard skickar Windows en obeväpnad AS-REQ till domänkontrollanten. Om användaren skickar begäran från en dator som stöder skydd, till exempel Windows 8.1 eller Windows 8, utvärderas autentiseringsprinciperna på följande sätt:
Domänkontrollanten i en domän som kör Windows Server 2012 R2-frågor för användarkontot och avgör om den är konfigurerad med en autentiseringsprincip som begränsar den inledande autentiseringen som kräver bepansrade begäranden.
Domänkontrollanten utför en åtkomstkontroll med hjälp av de konfigurerade åtkomstkontrollvillkoren och systemets identitetsinformation i den TGT som används för att skydda begäran. Åtkomstkontrollen lyckas.
Anmärkning
Om äldre arbetsgruppsbegränsningar har konfigurerats måste de också uppfyllas.
Domänkontrollanten svarar med ett bepansrat svar (AS-REP) och autentiseringen fortsätter.
Så fungerar begränsningen av utfärdandet av serviceärenden
När ett konto inte tillåts och en användare som har en TGT försöker ansluta till tjänsten (till exempel genom att öppna ett program som kräver autentisering till en tjänst som identifieras av tjänstens tjänsthuvudnamn (SPN) inträffar följande sekvens:
I ett försök att ansluta till SPN1 från SPN skickar Windows en TGS-REQ till domänkontrollanten som begär ett serviceärende till SPN1.
Domänkontrollanten i en domän som kör Windows Server 2012 R2 letar upp SPN1 för att hitta Active Directory Domain Services-kontot för tjänsten och fastställer att kontot har konfigurerats med en autentiseringsprincip som begränsar utfärdande av tjänstbiljett.
Domänkontrollanten utför en åtkomstkontroll med hjälp av de konfigurerade åtkomstkontrollvillkoren och användarens identitetsinformation i TGT. Åtkomstkontrollen misslyckas.
Domänkontrollanten avvisar begäran.
När ett konto tillåts eftersom kontot uppfyller de åtkomstkontrollvillkor som anges av autentiseringsprincipen och en användare som har ett TGT-försök att ansluta till tjänsten (till exempel genom att öppna ett program som kräver autentisering till en tjänst som identifieras av tjänstens SPN), sker följande sekvens:
I ett försök att ansluta till SPN1 skickar Windows en TGS-REQ till domänkontrollanten som begär ett serviceärende till SPN1.
Domänkontrollanten i en domän som kör Windows Server 2012 R2 letar upp SPN1 för att hitta Active Directory Domain Services-kontot för tjänsten och fastställer att kontot har konfigurerats med en autentiseringsprincip som begränsar utfärdande av tjänstbiljett.
Domänkontrollanten utför en åtkomstkontroll med hjälp av de konfigurerade åtkomstkontrollvillkoren och användarens identitetsinformation i TGT. Åtkomstkontrollen lyckas.
Domänkontrollanten svarar på begäran med ett tjänstsvar som beviljar en biljett (TGS-REP).
Associerade fel- och informationshändelsemeddelanden
I följande tabell beskrivs de händelser som är associerade med säkerhetsgruppen Skyddade användare och de autentiseringsprinciper som tillämpas på silor för autentiseringsprinciper.
Händelserna registreras i program- och tjänstloggarna på Microsoft\Windows\Authentication.
Felsökningssteg som använder dessa händelser finns i Felsöka autentiseringsprinciper och Felsöka händelser som rör skyddade användare.
| Händelse-ID och logg | Beskrivning |
|---|---|
| 101 AuthenticationPolicyFailures-Domänkontrollant |
Orsak: Ett NTLM-inloggningsfel inträffar eftersom autentiseringsprincipen har konfigurerats. En händelse loggas i domänkontrollanten för att indikera att NTLM-autentiseringen misslyckades eftersom åtkomstkontrollbegränsningar krävs, och dessa begränsningar kan inte tillämpas på NTLM. Visar namn på konto, enhet, princip och silo. |
| 105 Misslyckanden med autentiseringspolicy-Domänkontrollant |
Orsak: Ett Kerberos-begränsningsfel inträffar eftersom autentiseringen från en viss enhet inte var tillåten. En händelse loggas i domänkontrollanten för att indikera att en Kerberos TGT nekades eftersom enheten inte uppfyllde begränsningarna för framtvingad åtkomstkontroll. Visar kontot, enheten, policyn, silonamnen och TGT-livslängden. |
| 305 AuthenticationPolicyFailures-DomainController |
Orsak: Ett potentiellt Kerberos-begränsningsfel kan inträffa eftersom autentiseringen från en viss enhet inte tilläts. I granskningsläge loggas en informationshändelse i domänkontrollanten för att avgöra om en Kerberos TGT nekas eftersom enheten inte uppfyllde åtkomstkontrollbegränsningarna. Visar kontot, enheten, policyn, silonamnen och TGT-livslängden. |
| 106 Autentiseringspolicyfel-Domänkontrollant |
Orsak: Ett Kerberos-begränsningsfel inträffar eftersom användaren eller enheten inte tilläts autentisera till servern. En händelse loggas i domänkontrollanten för att indikera att ett Kerberos-tjänstärende nekades eftersom användaren, enheten eller båda inte uppfyller begränsningarna för framtvingad åtkomstkontroll. Visar enhetens, policyns och silons namn. |
| 306 AutentiseringspolicyFel-Domänkontroller |
Orsak: Ett Kerberos-begränsningsfel kan inträffa eftersom användaren eller enheten inte tilläts autentisera till servern. I granskningsläge loggas en informationshändelse på domänkontrollanten för att indikera att ett Kerberos-tjänstärende nekas eftersom användaren, enheten eller båda inte uppfyller åtkomstkontrollbegränsningarna. Visar namnen på enhet, policy och silo. |