Protected Users は、資格情報の盗難攻撃から保護するように設計された Active Directory のグローバル セキュリティ グループです。 グループ メンバーがサインインしたときに資格情報がキャッシュされないように、グループはデバイスとホスト コンピューターで構成不可能な保護をトリガーします。
Prerequisites
Protected Users グループを展開するには、システムが次の前提条件を満たしている必要があります。
ホストでは、次のいずれかのオペレーティング システムを実行している必要があります。
- Windows 10またはWindows 11
- Windows Server 2012 R2 以降で最新のセキュリティ更新プログラムがインストール済み
ドメインの機能レベルが Windows Server 2012 R2 以降である必要があります。 機能レベルの詳細については、「フォレストとドメインの機能レベル」を参照してください。
Note
ビルトイン ドメイン管理者 S-1-5-<___domain>-500 は、認証ポリシー サイロに割り当てられている場合でも、常に認証ポリシーから除外されます。 詳細については、「保護されるアカウントの構成方法」をご覧ください。
- Protected Users のグローバル セキュリティ グループ メンバーシップでは、Kerberos 用の Advanced Encryption Standards (AES) のみを使用するようにメンバーが制限されます。 Protected Users グループのメンバーは、AES を使用する認証が可能である必要があります。
Active Directory によって適用される保護
Protected Users グループのメンバーになると、Active Directory が事前に構成された特定のコントロールを自動的に適用し、そのコントロールはユーザーがグループ メンバーであることをやめない限り変更できません。
サインイン済みの Protected Users に対するデバイスの保護
サインインしたユーザーが Protected Users グループのメンバーである場合、グループは次の保護を提供します。
資格情報の委任 (CredSSP) では、ユーザーが [既定の資格情報の委任を許可する] グループ ポリシー設定を有効にした場合でも、ユーザーのプレーン テキストの資格情報はキャッシュされません。
Windows ダイジェストが有効になっている場合でも、ユーザーのプレーンテキスト資格情報はキャッシュされません。
NTLM は、ユーザーのプレーンテキスト資格情報または NT 一方向関数 (NTOWF) のキャッシュを停止します。
Kerberos は、Data Encryption Standard (DES) または RC4 キーの作成を停止します。 Kerberos では、最初のチケット付与チケット (TGT) を取得した後、ユーザーのプレーンテキスト資格情報や長期的なキーもキャッシュされません。
ユーザーのサインイン時またはロック解除時にシステムはキャッシュされた検証ツールを作成しないため、メンバー システムはオフライン サインインをサポートしません。
保護されたユーザー グループに新しいユーザー アカウントを追加すると、新しい保護対象ユーザーがデバイスにサインインすると、これらの保護がアクティブになります。
Protected Users のドメイン コントローラー保護
Windows Server を実行しているドメインに対して認証を行う保護されたユーザー アカウントは、次の操作を行うことができません。
NTLM 認証を使用して認証する。
Kerberos 事前認証で DES または RC4 暗号化の種類を使用します。
制約なしの委任または制約付き委任を使用して委任する
Kerberos TGT の最初の 4 時間の有効期間を超えて更新する。
Protected Users グループは、メンバー アカウントごとに、TGT の期限切れに対する構成不可能な設定を適用します。 通常、ドメイン コントローラーは、次の 2 つのドメイン ポリシーに基づいて TGT の有効期間と更新を設定します。
- チケットの最長有効期間
- ユーザー チケットを更新できる最長有効期間
Protected Users メンバーの場合、グループはこれらの有効期間の制限を自動的に 240 分に設定します。 ユーザーは、グループを離脱しない限り、この制限を変更することはできません。
Protected Users グループのしくみ
次の方法を使用することにより、Protected Users グループにユーザーを追加できます。
- Active Directory Administrative Center (ADAC) や Active Directory ユーザーとコンピューティングなどの UI ツール。
- PowerShell, by using the Add-ADGroupMember cmdlet.
Important
サービスとコンピューターのアカウントを Protected Users グループに追加しないでください。 これらのアカウントのメンバーシップでは、パスワードと証明書が常にホストで利用できるため、ローカル保護が提供されません。
Enterprise Admins グループや Domain Admins グループなど、既に高い特権を持つグループのメンバーであるアカウントは、追加しても悪影響が生じないことを保証できるまで追加しないでください。 Protected Users の高い特権を持つユーザーには、通常のユーザーと同じ制限と制約が適用され、これらの設定を回避または変更することはできません。 それらのグループのすべてのメンバーを Protected Users グループに追加すると、誤ってアカウントがロックアウトされることがあります。 必須設定の変更がこれらの特権ユーザー グループのアカウント アクセスを妨げないように、システムをテストすることが重要です。
Protected Users グループのメンバーは、AES で Kerberos を使用してのみ認証できます。 この方法では、Active Directory のアカウントに対する AES キーが必要です。 ビルトイン Administrator は、Windows Server 2008 以降を実行しているドメインのパスワードが変更されない限り、AES キーを持ちません。 以前のバージョンの Windows Server を実行しているドメイン コントローラーによってパスワードが変更されたアカウントは、認証からロックアウトされます。
ロックアウトや AES キーの欠落を回避するには、次のガイドラインに従うことをお勧めします。
すべてのドメイン コントローラーが Windows Server 2008 以降を実行していない限り、ドメインでテストを実行しないでください。
他のドメイン からアカウントを移行した場合は、アカウントに AES ハッシュが設定されるようにパスワードをリセットする必要があります。 それ以外の場合、これらのアカウントは認証できなくなります。
ユーザーは、Windows Server 2008 以降のドメイン機能レベルに切り替えた後に、パスワードを変更する必要があります。 これにより、保護されたユーザー グループのメンバーになった後に、AES パスワード ハッシュが確保されます。
Protected Users グループ Active Directory プロパティ
次の表は、Protected Users グループの Active Directory プロパティの一覧です。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-21-<___domain>-525 |
| タイプ | Domain Global |
| Default container | CN=Users, DC=<___domain>, DC= |
| Default members | None |
| 既定のメンバー | None |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | Yes |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | 既定のユーザー権利はありません |
Event logs
2 つの運用管理ログを使用して、Protected Users に関連するイベントを解決することができます。 これらの新しいログはイベント ビューアーにありますが、既定では無効になっています。 これらはアプリケーション とサービス ログ \Microsoft\Windows\Authentication の下にあります。
これらのログを取得にするには、次の手順に従います。
Right-click Start and then select Event Viewer.
Applications and Services Logs\Microsoft\Windows\Authentication を開きます。
For each log that you want to enable, right-click the log name and then select Enable Log.
| イベント ID とログ | Description |
|---|---|
| 104 ProtectedUser-Client |
理由: クライアントのセキュリティ パッケージに資格情報が含まれていない。 アカウントが Protected Users セキュリティ グループのメンバーである場合、エラーはクライアント コンピューターのログに記録されます。 このイベントは、サーバーに対する認証に必要な資格情報がセキュリティ パッケージによってキャッシュされていないことを示します。 パッケージ名、ユーザー名、ドメイン名、およびサーバー名を表示します。 |
| 304 ProtectedUser-Client |
理由: セキュリティ パッケージには、保護されたユーザーの資格情報が格納されません。 セキュリティ パッケージがユーザーのサインイン資格情報をキャッシュしないことを示すために、情報イベントがクライアントに記録されます。 ダイジェスト (WDigest)、資格情報の委任 (CredSSP)、および NTLM は、Protected Users メンバーのサインオン資格情報を取得できないと想定されます。 アプリケーションは、資格情報の入力を求めれば、成功することができます。 パッケージ名、ユーザー名、およびドメイン名を表示します。 |
| 100 ProtectedUserFailures-DomainController |
理由: 保護されたユーザー セキュリティ グループ内のアカウントに対して NTLM サインイン エラーが発生しました。 アカウントは Protected Users セキュリティ グループのメンバーだったために NTLM の認証が失敗したことを示すエラーが、ドメイン コントローラーのログに記録されます。 アカウント名とデバイス名を表示します。 |
| 104 ProtectedUserFailures-DomainController |
理由: DES または RC4 暗号化の種類は Kerberos 認証に使用され、Protected Users セキュリティ グループのユーザーに対してサインイン エラーが発生します。 アカウントが Protected Users セキュリティ グループのメンバーである場合、DES と RC4 の暗号化の種類を使用できないため、Kerberos の事前認証に失敗しました。 (AES は使用できます) |
| 303 ProtectedUserSuccesses-DomainController |
理由: 保護されたユーザー グループのメンバーに対して Kerberos TGT が正常に発行されました。 |