Protected Users セキュリティ グループ
Protected Users は、資格情報の盗難攻撃から保護するように設計された Active Directory (AD) のグローバル セキュリティ グループです。 グループ メンバーがサインインしたときに資格情報がキャッシュされないように、グループはデバイスとホスト コンピューターで構成不可能な保護をトリガーします。
前提条件
Protected Users グループを展開するには、システムが次の前提条件を満たしている必要があります。
ホストでは、次のいずれかのオペレーティング システムを実行している必要があります。
- Windows 8.1 以降
- Windows Server 2012 R2 以降で最新のセキュリティ更新プログラムがインストール済み
ドメインの機能レベルが Windows Server 2012 R2 以降である必要があります。 機能レベルの詳細については、「フォレストとドメインの機能レベル」を参照してください。
Note
ビルトイン ドメイン Administrator S-1-5-<domain>-500
は、認証ポリシー サイロに割り当てられている場合でも、常に認証ポリシーから除外されます。 詳細については、「保護されるアカウントの構成方法」をご覧ください。
- Protected Users のグローバル セキュリティ グループ メンバーシップでは、Kerberos 用の Advanced Encryption Standards (AES) のみを使用するようにメンバーが制限されます。 Protected Users グループのメンバーは、AES を使用した認証が可能である必要があります。
Active Directory によって適用される保護
Protected Users グループのメンバーになると、AD が事前に構成された特定のコントロールを自動的に適用し、そのコントロールはユーザーがグループ メンバーであることをやめない限り変更できません。
サインイン済みの Protected Users に対するデバイスの保護
サインインしたユーザーが Protected Users グループのメンバーである場合、グループは次の保護を提供します。
資格情報の委任 (CredSSP) では、ユーザーが [既定の資格情報の委任を許可する] グループ ポリシー設定を有効にした場合でも、ユーザーのプレーン テキストの資格情報はキャッシュされません。
Windows 8.1 以降および Windows Server 2012 R2 以降では、Windows ダイジェストを有効にしている場合でも、Windows ダイジェストはユーザーのプレーンテキスト資格情報をキャッシュしません。
NTLM は、ユーザーのプレーンテキスト資格情報または NT 一方向関数 (NTOWF) のキャッシュを停止します。
Kerberos は、Data Encryption Standard (DES) または RC4 キーの作成を停止します。 Kerberos では、最初のチケット保証チケット (TGT) を取得した後も、ユーザーのプレーンテキスト資格情報または長期的なキーはキャッシュされません。
ユーザーのサインイン時またはロック解除時にシステムはキャッシュされた検証ツールを作成しないため、メンバー システムはオフライン サインインをサポートしません。
新しいユーザー アカウントを Protected Users グループに追加すると、新しい Protected User がデバイスにサインインしたときに、これらの保護がアクティブになります。
Protected Users のドメイン コントローラー保護
Windows Server 2012 R2 以降を実行しているドメインに対して認証を行う Protected User アカウントは、次の操作を実行できません。
NTLM 認証を使用して認証する。
Kerberos の事前認証で DES または RC4 の暗号化の種類を使用する。
制約なしの委任または制約付き委任を使用して委任する。
Kerberos TGT の最初の 4 時間の有効期間を更新する。
Protected Users グループは、メンバー アカウントごとに、TGT の期限切れに対する構成不可能な設定を適用します。 通常、ドメイン コントローラーは、次の 2 つのドメイン ポリシーに基づいて TGT の有効期間と更新を設定します。
- チケットの最長有効期間
- ユーザー チケットを更新できる最長有効期間
Protected Users メンバーの場合、グループではこれらの有効期間の制限を自動的に 600 分に設定します。 ユーザーは、グループを離脱しない限り、この制限を変更することはできません。
Protected Users グループのしくみ
次の方法を使用して、Protected Users グループにユーザーを追加できます。
- Active Directory Administrative Center (ADAC) や Active Directory ユーザーとコンピューティングなどの UI ツール。
- PowerShell などのコマンド ライン ツール。
- PowerShell で Add-ADGroupMember コマンドレットを使用する。
重要
サービスとコンピューターのアカウントを Protected Users グループに追加しないでください。 これらのアカウントのメンバーシップでは、パスワードと証明書が常にホストで利用できるため、ローカル保護が提供されません。
Enterprise Admins グループや Domain Admins グループなど、既に高い特権を持つグループのメンバーであるアカウントは、追加しても悪影響が生じないことを保証できるまで追加しないでください。 Protected Users の高い特権を持つユーザーには、通常のユーザーと同じ制限と制約が適用され、これらの設定を回避または変更することはできません。 それらのグループのすべてのメンバーを Protected Users グループに追加すると、誤ってアカウントがロックアウトされることがあります。 必須設定の変更がこれらの特権ユーザー グループのアカウント アクセスを妨げないように、システムをテストすることが重要です。
Protected Users グループのメンバーは、Kerberos で Advanced Encryption Standards (AES) を使用してのみ認証できます。 この方法では、Active Directory のアカウントに対する AES キーが必要です。 ビルトイン Administrator は、Windows Server 2008 以降を実行しているドメインのパスワードが変更されない限り、AES キーを持ちません。 以前のバージョンの Windows Server を実行しているドメイン コントローラーによってパスワードが変更されたアカウントは、認証からロックアウトされます。
ロックアウトや AES キーの欠落を回避するには、次のガイドラインに従うことをお勧めします。
すべてのドメイン コントローラーが Windows Server 2008 以降を実行していない限り、ドメインでテストを実行しないでください。
他のドメイン からアカウントを移行した場合は、アカウントに AES ハッシュが設定されるようにパスワードをリセットする必要があります。 それ以外の場合、これらのアカウントは認証できるようになります。
ユーザーは、Windows Server 2008 以降のドメイン機能レベルに切り替えた後に、パスワードを変更する必要があります。 これにより、Protected Users グループのメンバーになると、AES パスワードがハッシュ化されます。
Protected User グローバル セキュリティ グループをダウンレベル ドメインに追加する
Windows Server 2012 R2 より前のオペレーティング システムを実行するドメイン コントローラーでは、新しい Protected Users セキュリティ グループへのメンバーの追加をサポートできます。 これにより、これらのメンバーは、ドメインをアップグレードする前にデバイス保護のメリットを得ることができます。
Note
以前のバージョンの Windows Server 2012 R2 を実行しているドメイン コントローラーでは、ドメイン保護をサポートしていません。
以前のバージョンの Windows Server を実行しているドメイン コントローラーに Protected Users グループを作成するには:
PDC エミュレーターの役割を、Windows Server 2012 R2 を実行するドメイン コントローラーに転送します。
グループ オブジェクトを他のドメイン コントローラーにレプリケートします。
その後、ユーザーは、ドメインをアップグレードする前に、デバイス保護のメリットを得ることができます。
Protected Users グループの AD プロパティ
次の表は、Protected Users グループの Active Directory プロパティの一覧です。
属性 | 値 |
---|---|
既知の SID/RID | S-1-5-21-<domain>-525 |
型 | ドメイン グローバル |
既定のコンテナー | CN=Users, DC=<domain>, DC= |
既定メンバー | なし |
~の既定のメンバー | なし |
ADMINSDHOLDER で保護されているか | No |
既定のコンテナーから移動することができるか | はい |
このグループの管理をサービス管理者以外に委任することができるか | No |
既定のユーザー権利 | 既定のユーザー権利はありません |
イベント ログ
2 つの運用管理ログを使用して、Protected Users に関連するイベントを解決することができます。 これらの新しいログはイベント ビューアーに表示され、既定では無効です。ログは Applications and Services Logs\Microsoft\Windows\Authentication に保存されます。
これらのログを取得にするには、次の手順に従います。
[スタート] を右クリックし、[イベント ビューアー] を選択します。
Applications and Services Logs\Microsoft\Windows\Authentication を開きます。
有効にする各ログのログ名を右クリックし、[ログの有効化] を選択します。
イベント ID とログ | 説明 |
---|---|
104 ProtectedUser-Client |
理由:クライアントのセキュリティ パッケージに資格情報が含まれていません。 アカウントが Protected Users セキュリティ グループのメンバーである場合、エラーはクライアント コンピューターのログに記録されます。 このイベントは、サーバーに対して認証するために必要な資格情報をセキュリティ パッケージがキャッシュしていないことを示します。 パッケージ名、ユーザー名、ドメイン名、およびサーバー名を表示します。 |
304 ProtectedUser-Client |
理由: セキュリティ パッケージでは、Protected Users の資格情報は保存されません。 情報提供イベントが発生すると、セキュリティ パッケージがユーザーのサインイン資格情報をキャッシュしていないことを示すログがクライアントに記録されます。 ダイジェスト (WDigest)、資格情報の委任 (CredSSP)、および NTLM は、Protected Users のサインオン資格情報を取得できないと想定されます。 アプリケーションは、資格情報の入力を求めれば、成功することができます。 パッケージ名、ユーザー名、およびドメイン名を表示します。 |
100 ProtectedUserFailures-DomainController |
理由:NTLM のサインインの失敗は、Protected Users セキュリティ グループに属するアカウントの場合に発生します。 アカウントは Protected Users セキュリティ グループのメンバーだったために NTLM の認証が失敗したことを示すエラーが、ドメイン コントローラーのログに記録されます。 アカウント名とデバイス名を表示します。 |
104 ProtectedUserFailures-DomainController |
理由:DES または RC4 の暗号化の種類は Kerberos 認証に使用されており、Protected Users セキュリティ グループに属するユーザーのサインイン エラーが発生します。 アカウントが Protected Users セキュリティ グループのメンバーである場合、DES および RC4 の暗号化の種類を使用できないため、Kerberos の事前認証は失敗しました。 (AES は使用できます) |
303 ProtectedUserSuccesses-DomainController |
理由:Kerberos ticket-granting-ticket (TGT) は、Protected Users グループのメンバーに対して正常に発行されました。 |