使用受保护的用户组抵御威胁

Microsoft 在 Windows Server 2012 R2 和 Windows 8.1 中引入了“受保护用户”组，旨在强化属于组成员的帐户，特别是通过禁用 NT 来防止哈希传递攻击LAN Manager (NTLM) 是一种旧版身份验证协议，为了向后兼容，Windows 中仍然存在该协议。

仅当用户登录 Windows Server 2012 R2 或 Windows 8.1 时才会提供额外的保护，并且完整的防御列表需要将域功能级别设置为 Windows Server 2012 R2（或更高）。

受保护的用户主要用于域和企业管理员帐户，这些帐户特别容易受到攻击，因为当受到威胁时，它们会提供对系统的广泛开放的访问。这并不是说其他可能被视为目标的用户帐户不能添加到受保护的用户中。但由于对受保护用户的成员施加严格限制，因此必须事先进行彻底的测试。

这些限制没有解决方法，因此明智的做法是，如果您打算添加高权限帐户（例如域管理员和企业管理员），则至少将一个不用于常规管理任务的帐户保留在组之外。

从受支持的设备登录时，将为受保护用户组的成员启用以下保护：

• 缓存的凭据被阻止。域控制器必须可用于对用户进行身份验证
• 长期 Kerberos 密钥无法用于登录
• 即使启用了相关策略，也不会为 Windows Digest 身份验证或默认凭据委派 (CredSSP) 缓存明文密码
• NTLM 单向功能 (NTOWF) 被阻止

如果域功能级别设置为 Windows Server 2012 R2 或更高版本，则会启用附加保护：

• Kerberos 票证授予票证 (TGT) 的续订时间不能超过 4 小时的生存时间 (TTL)
• NTLM 被阻止
• 数据加密标准 (DES) 和 RC4 不能用于 Kerberos 预身份验证
• 受约束和无约束委派被阻止

当 DES 和 RC4 被阻止时，所有域控制器 (DC) 必须运行 Windows Server 2008（或更高版本），并且在将用户添加到受保护用户之前，应针对 Windows Server 2008 DC 更改其密码，以便存储 AES 密钥在活动目录中。

我看不到我的域中的受保护用户组

如果您的域中没有受保护的用户组，则需要确保至少有一个 Windows Server 2012 R2 DC，并将主域控制器 (PDC) 模拟器灵活单主操作 (FSMO) 角色转移到Windows Server 2012 R2 DC。如有必要，PDC 角色可以转移回其原始位置。

要检查您的域中是否有受保护的用户组，请以域管理员身份登录到 Windows Server 2012 R2：

• 从“开始”屏幕打开服务器管理器
• 从工具中选择Active Directory 用户和计算机
• 在左侧窗格中，展开您的域并单击“用户”。

如果域中存在受保护的用户，您应该会在右侧看到它。可以将用户添加到受保护的用户，就像将他们添加到任何 AD 组一样。例如，使用 PowerShell 添加 admin1 用户帐户：

Add-ADGroupMember -Identity ‘Protected Users’ -Members admin1

要将 PDC 模拟器 FSMO 角色转移到 Windows Server 2012 R2 DC，请使用域管理员帐户登录 DC，然后使用桌面任务栏上的 图标打开 PowerShell 提示符。现在输入以下命令并按 ENTER 键，将 DC6 替换为 Windows Server 2012 R2 DC 的名称：

Move-AdDirectoryServerOperationMasterRole -Identity DC6 -OperationMasterRole pdcemulator

如果要确认 PDC 模拟器 FSMO 角色的新位置或原始位置，请运行以下命令，并将 ad.contoso.com 替换为您的 AD 域名称：

Get-AdDomain ad.contoso.com |格式列表 pdemulator