本主題適用於 IT 專業人員,說明驗證原則隔離以及可以限制帳戶使用這些隔離的原則。 它也會說明驗證原則如何用來限制帳戶的範圍。
驗證政策隔離及其相關策略提供一種方法來限制高權限憑證至僅與特定使用者、電腦或服務相關的系統。 孤島可以透過 Active Directory 管理中心和 Active Directory Windows PowerShell cmdlet 指令,在 Active Directory 網域服務 (AD DS) 中加以定義和管理。
驗證原則隔離區是一種容器,系統管理員可以將使用者帳戶、電腦帳戶和服務帳戶分配給它。 然後便可使用套用至該容器的驗證原則來管理帳戶的集合。 這可減少系統管理員追蹤個別帳戶對於資源的存取,並可協助防止惡意使用者透過竊取認證來存取其他資源。
Windows Server 2012 R2 中引進的功能使您能建立驗證原則隔離區,來管理一組高權限使用者。 然後您可以指派這個容器的驗證原則,限制網域中使用權限帳戶的位置。 當帳戶屬於 Protected Users 安全性群組時,會套用其他控制項,例如獨佔使用 Kerberos 通訊協定。
您可以使用這些功能,限制高價值帳戶只能用於高價值主機。 例如,您可以建立一個新的樹系系統管理員孤島,其中包含企業系統管理員、結構描述系統管理員以及網域系統管理員。 之後,您可以配置一個驗證原則在孤島中,使得網域控制站及網域系統管理員主控台以外的系統,其密碼和智慧卡驗證都會失敗。
如需設定驗證原則定址接收器和驗證原則的相關資訊,請參閱如何設定受保護的帳戶。
關於驗證策略隔離區
驗證原則隔離區控制可以受該隔離區限制的帳戶,並定義要套用至成員的驗證原則。 您可以根據您組織的需求建立資料倉儲。 定址接收器是使用者、電腦及服務的 Active Directory 物件,由下表中結構描述所定義。
用於驗證策略孤島的 Active Directory 架構模式
| 顯示名稱 | 描述 |
|---|---|
| 驗證原則定址接收器 | 此類別的執行個體定義指派的使用者、電腦及服務的驗證原則和相關的行為。 |
| 身份驗證政策獨立區塊 | 此類別的容器可以包含身份驗證政策孤島物件。 |
| 強制執行驗證原則定址接收器 | 指定是否要強制執行驗證原則範圍。 不強制執行時,原則預設處於稽核模式。 會產生表示可能成功和失敗的事件,但是不會在系統套用保護。 |
| 指派的驗證原則定址接收器返回連結 | 這個屬性是 msDS-AssignedAuthNPolicySilo 的返回連結。 |
| 驗證政策孤島成員 | 說明被指派給 AuthNPolicySilo 的主體。 |
| 驗證原則資訊孤島成員反向連結 | 這個屬性是 msDS-AuthNPolicySiloMembers 的返回連結。 |
可以透過 Active Directory 管理主控台或 Windows PowerShell 設定驗證政策隔離。 如需詳細資訊,請參閱如何設定受保護的帳戶。
關於驗證原則
驗證原則定義帳戶類型的 Kerberos 通訊協定票證授與票證 (TGT) 的存留期屬性以及驗證存取控制條件。 這個原則建立在稱為身份驗證政策高庫的 AD DS 容器上,並控制該容器。
驗證原則控制下列項目:
帳戶的 TGT 存留期,設定為不可更新。
裝置帳戶需要符合的條件,才能使用密碼或憑證登入。
使用者和裝置需要符合的條件,才能向作為帳戶的一部分運行的服務進行驗證。
Active Directory 帳戶類型會決定呼叫者的角色為下列其中一項:
使用者
使用者應該一律是 Protected Users 安全性群組的成員,它預設會拒絕使用 NTLM 進行驗證的嘗試。
原則可以設定為將使用者帳戶的 TGT 存留期設定為較短的值,或限制使用者帳戶可以登入的裝置。 您可以在驗證政策中設定詳盡的運算式,以控制使用者及其裝置必須符合的準則,才能向服務進行身份驗證。
如需詳細資訊,請參閱 Protected Users 安全性群組。
服務
將會使用獨立受管理的服務帳戶、群組受管理的服務帳戶,或衍生自這兩種服務帳戶類型的自訂帳戶物件。 原則可以設定裝置的存取控制條件,用來將受管理的服務帳戶認證限制在具有 Active Directory 身分識別的特定裝置。 服務一律不應該是 Protected Users 安全性群組的成員,因為所有連入驗證皆會失敗。
電腦
將會使用電腦帳戶物件或是從電腦帳戶物件衍生出的自訂帳戶物件。 原則可以根據使用者和裝置屬性,設定允許驗證帳戶所需的存取控制條件。 電腦一律不應該是 Protected Users 安全性群組的成員,因為所有連入驗證皆會失敗。 預設會拒絕使用 NTLM 進行驗證的嘗試。 電腦帳戶不應該設定 TGT 存留期。
注意
可以設定一組帳戶的驗證原則,而不需要將該原則與驗證原則筒倉關聯。 當您需要保護單一帳戶時,可以使用此策略。
驗證原則的 Active Directory 結構描述
使用者、電腦及服務的 Active Directory 物件的原則是由下表中結構描述來定義。
| 類型 | 顯示名稱 | 描述 |
|---|---|---|
| 原則 | 驗證原則 | 此類別的執行個體定義指派主體的驗證原則行為。 |
| 原則 | 驗證原則 | 此類別的容器可以包含驗證原則物件。 |
| 政策 | 強制執行驗證原則 | 指定是否要強制執行驗證原則。 未強制執行時,原則預設處於稽核模式,而且會產生表示可能成功和失敗的事件,但不會在系統套用保護。 |
| 原則 | 指派的驗證原則返回連結 | 這個屬性是 msDS-AssignedAuthNPolicy 的返回連結。 |
| 原則 | 指派的身份驗證政策 | 指定應套用到這個主體的驗證政策 (AuthNPolicy)。 |
| 使用者 | 使用者驗證原則 | 針對指派給這個孤島物件的使用者,指定要套用的 AuthNPolicy。 |
| 使用者 | 使用者驗證原則返回連結 | 這個屬性是 msDS-UserAuthNPolicy 的返回連結。 |
| 使用者 | (Note that this suggestion assumes the technical term should be translated. If it's a product name or acronym, it might be left as is.) 允許驗證至的 ms-DS-使用者 | 這個屬性用來決定允許在使用者帳戶下執行的服務進行驗證的一組可驗證的主體。 |
| 使用者 | ms-DS-User-Allowed-To-Authenticate-From(允許用戶驗證來源) | 這個屬性用來決定使用者帳戶具有登入權限的一組裝置。 |
| 使用者 | 使用者 TGT 存留期 | 指定發行給使用者的 Kerberos TGT 的最長使用期限 (以秒表示)。 衍生的 TGT 是不可再生。 |
| 電腦 | 電腦驗證原則 | 指定要套用到配置在此信息孤島對象上的電腦的 AuthNPolicy。 |
| 電腦 | 電腦驗證原則返回連結 | 這個屬性是 msDS-ComputerAuthNPolicy 的返回連結。 |
| 電腦 | 允許電腦驗證至 (ms-DS-Computer-Allowed-To-Authenticate-To) | 這個屬性用來決定允許對在電腦帳戶下運行的服務進行驗證的一組使用者。 |
| 電腦 | TGT 電腦存留期 | 指定發行給電腦的 Kerberos TGT 的最長使用期限 (以秒表示)。 不建議變更這個設定。 |
| 服務 | 服務驗證原則 | 指定應套用至指派給此孤島物件之服務的 AuthNPolicy。 |
| 服務 | 服務驗證原則返回連結 | 這個屬性是 msDS-ServiceAuthNPolicy 的返回連結。 |
| 服務 | 允許身份驗證的服務 (ms-DS-Service-Allowed-To-Authenticate-To) | 此屬性用於確定哪些使用者(或主體)被允許對在服務帳戶下運行的服務進行身份驗證。 |
| 服務 | ms-DS-Service-Allowed-To-Authenticate-From | 這個屬性用來決定服務帳戶具有登入權限的一組裝置。 |
| 服務 | 服務 TGT 有效期限 | 指定發行給服務的 Kerberos TGT 的最長使用期限,以秒數表示。 |
可以使用 Active Directory 管理主控台或 Windows PowerShell 為每個隔離層設定驗證原則。 如需詳細資訊,請參閱如何設定受保護的帳戶。
運作方式
本節描述 Windows 中驗證原則定址接收器和驗證原則如何與 Protected Users 安全性群組和 Kerberos 通訊協定實作搭配運作。
受保護的帳戶
Protected Users 安全性群組會在執行 Windows Server 2012 R2 和 Windows 8.1 的裝置和主機電腦上,以及主要網域控制站執行 Windows Server 2012 R2 的網域中的網域控制站上,觸發不可設定的保護。 根據帳戶的網域功能等級,Protected Users 安全性群組的成員會得到進一步保護,因為 Windows 支援的驗證方法有所變更。
Protected Users 安全性群組的成員無法使用 NTLM、摘要式驗證或 CredSSP 預設認證委派進行驗證。 在執行 Windows 8.1 且使用其中一種安全性支援提供者 (SSP) 的裝置上,如果帳戶是 Protected Users 安全性群組的成員時,網域驗證將會失敗。
Kerberos 通訊協定不會在預先驗證處理程序中使用較弱的 DES 或 RC4 加密類型。 這表示網域必須設定為至少支援 AES 加密類型。
使用者的帳戶不能透過 Kerberos 的限制委派或非限制委派來授權。 這表示如果使用者是 Protected Users 安全性群組的成員,則先前到其他系統的連線可能會失敗。
預設的 Kerberos TGT 存留期設定為四個小時,可以透過 Active Directory 管理中心,使用驗證原則和孤島來進行設定。 這表示經過四小時之後,使用者就必須再驗證一次。
如需此安全性群組的詳細資訊,請參閱 Protected Users 群組的運作方式。
資料孤島和驗證原則
驗證原則隔離和驗證原則利用現有的 Windows 驗證基礎結構。 拒絕使用 NTLM 通訊協定,並使用具有較新加密類型的 Kerberos 通訊協定。 驗證原則除了為服務和電腦的帳戶提供限制之外,還提供一種方法將可設定的限制套用到帳戶,藉此輔助 Protected Users 安全性群組。 在 Kerberos 協定的驗證服務 (AS) 或票證授權服務 (TGS) 交換期間,系統會強制執行驗證原則。 如需了解有關 Windows 如何使用 Kerberos 協議,以及支援驗證原則容器和驗證原則所做的變更的詳細資訊,請參閱:
Kerberos 驗證的變更 (Windows Server 2008 R2 和 Windows 7)
如何搭配使用 Kerberos 通訊協定與驗證原則定址接收器和原則
當網域帳戶連結到驗證原則定址接收器且使用者登入時,安全性帳戶管理員會新增驗證原則定址接收器的宣告類型,其中將定址接收器做為值。 帳戶上的這個宣告提供了對目標儲存系統的存取權限。
當強制執行驗證原則且網域控制站上收到網域帳戶的驗證服務要求時,網域控制站會傳回已設定存留期的不可更新 TGT (除非網域 TGT 存留時間較短)。
注意
網域帳戶必須有已設定的 TGT 存留期,而且必須直接連結到原則或透過成員資格群組間接連結。
當驗證原則處於稽核模式,而且網域控制站上收到網域帳戶的驗證服務要求時,網域控制站會檢查裝置是否允許驗證,以便出現失敗時可以記錄警告。 稽核的驗證原則不會變更處理程序,所以如果驗證要求不符合原則的需求,它們也不會失敗。
注意
網域帳戶必須直接連結到原則,或透過隔離成員資格間接連結。
當強制執行驗證原則且驗證服務受到防護,在網域控制站上收到網域帳戶的驗證服務要求時,網域控制站會檢查裝置是否允許驗證。 如果失敗,網域控制站會傳回錯誤訊息,並記錄事件。
注意
網域帳戶必須直接連結到原則或透過孤島成員資格間接連結。
在驗證原則處於稽核模式且網域帳戶的網域控制站已收到票證授與服務要求的情況下,網域控制站會根據要求的票證權限屬性憑證 (PAC) 資料檢查是否允許驗證,而且如果驗證失敗時,就會記錄警告訊息。 PAC 包含各種類型的授權資料,包括使用者所屬的群組、使用者具有的權限以及套用到使用者的原則。 這項資訊用來產生使用者的存取權杖。 如果是強制執行的驗證原則,允許驗證使用者、裝置或服務,網域控制站就會根據要求的票證 PAC 資料檢查是否允許驗證。 如果失敗,網域控制站會傳回錯誤訊息,並記錄事件。
注意
網域帳戶必須直接連結或透過隔離區成員資格連結到經稽核的驗證策略,這允許使用者、裝置或服務的驗證。
您可以為隔離單元的所有成員使用單一的驗證政策,或是為使用者、電腦和受管理的服務帳戶分別使用不同的政策。
可以使用 Active Directory 管理主控台或 Windows PowerShell,為每個資料孤島設定驗證原則。 如需詳細資訊,請參閱如何設定受保護的帳戶。
限制使用者登入的運作方式
因為這些驗證原則會被套用至帳戶,所以也會套用到服務使用的帳戶。 如果您想要對特定主機限制使用服務密碼,此設定非常有用。 例如,在允許主機從 Active Directory 網域服務擷取密碼之處,可設定群組受管理的服務帳戶。 不過,可以從所有主機使用該密碼於初始驗證。 藉由套用存取控制條件,可將密碼限制在可擷取密碼的一組主機,而建立額外的一層保護。
當服務以系統、網路服務或其他本地服務身份運行並連接至網路服務時,它們會使用主機的電腦帳戶。 不能限制電腦帳戶。 因此即使服務正在使用不是 Windows 主機的電腦帳戶,也不能限制它。
限制使用者登入特定主機需要網域控制站驗證主機的身分識別。 使用 Kerberos 驗證搭配 Kerberos 防護(它是動態存取控制的一部分)時,金鑰發佈中心會獲得來自使用者所在主機的 TGT。 這個防護的 TGT 內容可用來完成存取檢查,以判斷是否允許主機。
當使用者登入 Windows 或在應用程式的認證提示中輸入其網域認證時,Windows 預設會將未防護的 AS-REQ 傳送給網域控制站。 如果使用者從不支援防護的電腦傳送要求,例如執行 Windows 7 或 Windows Vista 的電腦,則要求會失敗。
下列清單描述該程序:
執行 Windows Server 2012 R2 的網域中的網域控制站會查詢使用者帳戶,並判斷它是否已設定了限制需要防護要求的初始驗證的驗證原則。
網域控制站會拒絕要求。
因為需要防護,所以使用者可以使用執行 Windows 8.1 或 Windows 8 的電腦嘗試登入,這些電腦已啟用支援 Kerberos 防護以重試登入程序。
Windows 偵測到網域支援 Kerberos 防護,並傳送防護的 AS-REQ 來重試登入要求。
網域控制站會使用設定的存取控制條件,和用來防護要求的 TGT 中用戶端作業系統的身分識別資訊,以執行存取檢查。
如果存取檢查失敗,網域控制站會拒絕要求。
即使作業系統支援 Kerberos 防護,也可以套用存取控制需求,而且授與存取權之前必須符合這些需求。 使用者登入 Windows,或在應用程式的認證提示中輸入其網域認證。 根據預設,Windows 會傳送未防護的 AS-REQ 給網域控制站。 如果使用者從支援防護的電腦傳送要求,例如執行 Windows 8.1 或 Windows 8 的電腦,則會以下列方式評估驗證原則:
執行 Windows Server 2012 R2 的網域中的網域控制站會查詢使用者帳戶,並判斷它是否已設定了限制需要防護要求的初始驗證的驗證原則。
網域控制站會使用設定的存取控制條件,和用來防護要求的 TGT 中系統的身分識別資訊,以執行存取檢查。 存取檢查成功。
注意
如果設定了傳統的工作群組限制,則也必須符合這些限制。
網域控制器使用防護回覆 (AS-REP) 進行回應,並繼續進行身份驗證。
限制服務票證發行的運作方式
當不允許帳戶且擁有 TGT 的使用者嘗試連線到服務時 (例如開啟需要驗證服務的應用程式,而服務是由服務主要名稱 (SPN) 來識別),會發生下列結果:
嘗試從 SPN 連線到 SPN1 時,Windows 會傳送一個 TGS-REQ 給要求 SPN1 服務票證的網域控制站。
執行 Windows Server 2012 R2 的網域中的網域控制站會查詢 SPN1,以尋找服務的 Active Directory 網域服務帳戶,並判斷帳戶是否設定了限制服務票證發行的驗證原則。
網域控制站會使用設定的存取控制條件,和 TGT 中使用者的身分識別資訊,以執行存取檢查。 存取檢查失敗。
網域控制站會拒絕要求。
當帳戶符合驗證原則設定的存取控制條件而被允許,且擁有 TGT 的使用者嘗試連線到服務時 (例如開啟需要驗證服務的應用程式,而服務是由服務 SPN 來識別),會發生下列結果:
嘗試連線到 SPN1 時,Windows 會傳送一個 TGS-REQ 給要求 SPN1 服務票證的網域控制站。
執行 Windows Server 2012 R2 的網域中的網域控制站會查詢 SPN1,以尋找服務的 Active Directory 網域服務帳戶,並判斷帳戶是否設定了限制服務票證發行的驗證原則。
網域控制站會使用設定的存取控制條件,和 TGT 中使用者的身分識別資訊,以執行存取檢查。 存取檢查成功。
網域控制站使用票證授與服務回覆 (TGS-REP) 回覆要求。
相關的錯誤和資訊事件訊息
下表描述與 Protected Users 安全性群組相關的事件,以及套用到驗證策略樞紐的驗證原則。
事件會記錄在 Microsoft\Windows\Authentication 的應用程式及服務記錄檔中。
如需使用這些事件的疑難排解步驟,請參閱疑難排解驗證原則和疑難排解與 Protected Users 相關的事件。
| 事件識別碼和記錄檔 | 描述 |
|---|---|
| 101 驗證政策失敗-網域控制器 |
原因:因為設定了驗證原則,所以發生 NTLM 登入失敗。 事件會記錄在網域控制站,指出 NTLM 驗證失敗,因為需要存取控制限制,而且這些限制不能套用到 NTLM。 顯示帳戶、裝置、原則及資料隔離區的名稱。 |
| 105 AuthenticationPolicyFailures-DomainController |
原因:因為不允許來自特定裝置的驗證,所以發生 Kerberos 限制失敗。 事件會記錄在網域控制站,指出 Kerberos TGT 被拒絕,因為裝置不符合強制執行的存取控制限制。 顯示帳戶、裝置、原則、資料孤島的名稱以及 TGT 存留期。 |
| 305 AuthenticationPolicyFailures-DomainController |
原因:因為不允許來自特定裝置的驗證,所以可能發生 Kerberos 限制失敗。 在稽核模式中,資訊性事件會記錄在網域控制器,以判斷是否因為裝置不符合存取控制限制而拒絕 Kerberos TGT。 顯示帳戶、裝置、原則、隔離區的名稱以及 TGT 存留期。 |
| 106 驗證政策失敗-網域控制器 |
原因:因為不允許使用者或裝置向伺服器驗證,所以發生 Kerberos 限制失敗。 事件會在網域控制站中記錄,以顯示 Kerberos 服務票證被拒絕,因為使用者、裝置或兩者都不符合已強制施行的存取控制限制。 顯示裝置、原則及定址接收器的名稱。 |
| 306 驗證政策失敗-網域控制器 |
原因:因為不允許使用者或裝置向伺服器驗證,所以可能發生 Kerberos 限制失敗。 在稽核模式中,資訊事件會記錄在網域控制站,指出 Kerberos 服務票證將被拒絕,因為使用者、裝置或兩者不符合存取控制限制。 顯示裝置、原則及隔離的名稱。 |