Sicherheitsgruppe “Geschützte Benutzer”
Die Gruppe „Protected Users“ oder „Geschützte Benutzer“ hat ihre Zweckmäßigkeit seit Windows Server 2016 darin gefunden, enthaltene Benutzer zu schützen.
Und zwar werden die Konten, die dieser Gruppe angehören dahingehend eingeschränkt, das folgende Merkmale nicht mehr zur Verfügung stehen oder angepasst werden:
- Verwenden von zwischengespeicherten Anmeldungen, also keine Langzeitschlüssel mehr. Es folgt ab jetzt pro Anforderung ein Authentifizierungsvorgang
- Verwendung von NTLM, Digest-Auth und CredSSP
- Verwenden schwacher *Verschlüsselungsalgorithmen wie DES und RC4 für die Kerberos Pre-Authentication
- Verwendung von Kerberos Constrained und Unconstrained Delegation
- Gültigkeit des Kerberos Ticket Granting Ticket (TGT) nicht länger als 240 Minuten
Für die ersten 3 Punkte haben die meisten bereits Gruppenrichtlinien im Einsatz, um die Merkmale einzuschränken. Gehört in jedes Hardening.
Gerne würde ich die Einschränkung zu Punkt 5 noch etwas besser darstellen wollen.