Verwenden der Protected User Group

Was ist die Protected User Group?

Die AD DS Security Gruppe Protected Users schützt Benutzer mit privilegierten Rechten. Es werden verschiedenen Sicherheitseinstellungen konfiguriert. Die einzigen Anforderungen sind das die Geräte Windows 8.1 oder Windows Server 2012 R2 oder höher verwenden.

Schutzmassnahmen

Was passiert, wenn ein Benutzer Mitglied der Gruppe Protected Users ist, auf seinem lokalen Gerät:

• Die Benutzeranmeldeinformationen werden nicht lokal zwischengespeichert.
• Credential Delegation (CredSSP) speichert keine Benutzeranmeldeinformationen zwischen.
• Windows Digest speichert keine Benutzeranmeldeinformationen im Cache.
• NTLM speichert keine Benutzeranmeldeinformationen im Cache.
• Kerberos erstellt keine DES- (Data Encryption Standard) oder RC4-Schlüssel und speichert keine Anmeldeinformationen oder Langzeitschlüssel.
• Der Benutzer kann sich nicht mehr offline anmelden.

Auf Domänencontrollern mit Windows Server 2012 R2 oder höher:

• Die NTLM-Authentifizierung ist nicht zulässig.
• DES- und RC4-Verschlüsselung in der Kerberos-Vorauthentifizierung kann nicht verwendet werden.
• Berechtigungsnachweise können nicht mit eingeschränkter Delegation delegiert werden.
• Sie können nicht mit uneingeschränkter Delegation delegiert werden.
• Ticket-gewährende Tickets (TGTs) können nicht über die ursprüngliche Lebensdauer hinaus erneuert werden.

Nebe der sicheren Konfiguration vom Active Directory bieten wir auch noch andere Cyber Security Dienste an. Unter diesem Blog Beitrag finden Sie mehr Infos zu Credential Dumping.