Защита учетных данных и управление ими Credentials Protection and Management

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

В этом разделе для ИТ Professional обсуждаются функции и методы, появившиеся в Windows Server 2012 R2, а также Windows 8.1 для защиты учетных данных и элементов управления проверки подлинности домена для сокращения кражи учетных данных. This topic for the IT professional discusses features and methods introduced in Windows Server 2012 R2 and Windows 8.1 for credential protection and domain authentication controls to reduce credential theft.

Ограниченный административный режим для подключения к удаленному рабочему столу Restricted Admin mode for Remote Desktop Connection

Ограниченный административный режим позволяет устанавливать интерактивное подключение к удаленному серверу без передачи на него своих учетных данных. Restricted Admin mode provides a method of interactively logging on to a remote host server without transmitting your credentials to the server. В случае взлома сервера это предотвращает раскрытие учетных данных при изначальном подключении. This prevents your credentials from being harvested during the initial connection process if the server has been compromised.

Используя этот режим для защиты учетных данных администратора, клиент удаленного рабочего стола предпринимает попытку интерактивного подключения к главному компьютеру, также поддерживающему этот режим. Using this mode with administrator credentials, the remote desktop client attempts to interactively logon to a host that also supports this mode without sending credentials. После успешной проверки прав администратора и поддержки ограниченного административного режима для учетной записи подключающегося пользователя происходит установка соединения. When the host verifies that the user account connecting to it has administrator rights and supports Restricted Admin mode, the connection succeeds. В противном случае попытка подключения терпит неудачу. Otherwise, the connection attempt fails. При использовании ограниченного административного режима ни при каких условиях не происходит отправка на удаленные компьютеры учетных данных в виде обычного текста или в других доступных для использования формах. Restricted Admin mode does not at any point send plain text or other re-usable forms of credentials to remote computers.

Защита LSA LSA protection

Локальная система безопасности (LSA), входящая в службу LSASS, проверяет пользователей во время локального и удаленного входа и применяет локальные политики безопасности. The Local Security Authority (LSA), which resides within the Local Security Authority Security Service (LSASS) process, validates users for local and remote sign-ins and enforces local security policies. Windows 8.1 операционная система обеспечивает дополнительную защиту для LSA, чтобы предотвратить внедрение кода незащищенными процессами. The Windows 8.1 operating system provides additional protection for the LSA to prevent code injection by non-protected processes. Это усиливает безопасность учетных данных, которые хранит LSA и которыми управляет LSA. This provides added security for the credentials that the LSA stores and manages. Этот параметр защищенного процесса для LSA можно настроить в Windows 8.1, но он включен по умолчанию в Windows RT 8,1 и не может быть изменен. This protected process setting for LSA can be configured in Windows 8.1 but is on by default in Windows RT 8.1 and cannot be changed.

Сведения о настройке брандмауэра см. в разделе Configuring Additional LSA Protection. For information about configuring LSA protection, see Configuring Additional LSA Protection.

Группа безопасности «Защищенные пользователи» Protected Users security group

Эта новая глобальная группа домена активирует новую ненастраиваемую защиту на устройствах и главных компьютерах под управлением Windows Server 2012 R2 и Windows 8.1. This new domain global group triggers new non-configurable protection on devices and host computers running Windows Server 2012 R2 and Windows 8.1. Группа защищенные пользователи включает дополнительные средства защиты для контроллеров домена и доменов в доменах Windows Server 2012 R2. The Protected Users group enables additional protections for domain controllers and domains in Windows Server 2012 R2 domains. Это позволяет существенно уменьшить количество типов учетных данных, доступных при подключении пользователей к компьютерам сети с помощью устройства, которое не было взломано. This greatly reduces the types of credentials available when users are signed in to computers on the network from a non-compromised computer.

На членов группы «Защищенные пользователи» накладываются ограничения следующих методов проверки подлинности. Members of the Protected Users group are limited further by the following methods of authentication:

Члены группы «Защищенные пользователи» могут устанавливать подключение только при помощи протокола Kerberos. A member of the Protected Users group can only sign on using the Kerberos protocol. Учетная запись не может пройти проверку подлинности с помощью NTLM, дайджест-проверки или CredSSP. The account cannot authenticate using NTLM, Digest Authentication, or CredSSP. На устройстве, где выполняется Windows 8.1, пароли не кэшируются, поэтому устройство, использующее одного из этих поставщиков поддержки безопасности (SSP), не сможет пройти проверку подлинности в домене, если учетная запись является членом защищенной группы пользователей. On a device running Windows 8.1, passwords are not cached, so the device that uses any one of these Security Support Providers (SSPs) will fail to authenticate to a domain when the account is a member of the Protected User group.

В процессе предварительной проверки подлинности протоколом Kerberos не будут использоваться менее надежные способы шифрования DES и RC4. The Kerberos protocol will not use the weaker DES or RC4 encryption types in the preauthentication process. Это означает, что домен должен как минимум быть настроен на поддержку наборов шифров AES. This means that the domain must be configured to support at least the AES cypher suite.

Учетная запись пользователя не может быть делегирована с ограниченным или неограниченным делегированием Kerberos. The user’s account cannot be delegated with Kerberos constrained or unconstrained delegation. Это означает, что если компьютер входит в группу «Защищенные пользователи», старые подключения к другим системам могут выйти из строя. This means that former connections to other systems may fail if the user is a member of the Protected Users group.

Время действия билетов предоставления билетов Kerberos по умолчанию, составляющее 4 часа, можно изменить в настройках политик проверки подлинности и приемников команд в центре администрирования Active Directory. The default Kerberos Ticket Granting Tickets (TGTs) lifetime setting of four hours is configurable using Authentication Policies and Silos accessed through the Active Directory Administrative Center (ADAC). Настройки по умолчанию означают, что по прошествии четырех часов пользователь должен снова пройти проверку подлинности. This means that when four hours has passed, the user must authenticate again.

Учетные записи служб и компьютеров не должны входить в группу защищенных пользователей. Accounts for services and computers should not be members of the Protected Users group. Это группа не предоставляет локальной защиты, поскольку пароль или сертификат всегда доступен на узле. This group provides no local protection because the password or certificate is always available on the host. Проверка подлинности завершится ошибкой «неверное имя пользователя или пароль» для любой службы или компьютера, добавленного в группу «защищенные пользователи». Authentication will fail with the error «the user name or password is incorrect» for any service or computer that is added to the Protected Users group.

Подробную информацию об этой группе см. в разделе Группа безопасности «Защищенные пользователи». For more information about this group, see Protected Users Security Group.

Политика проверки подлинности и приемники команд политик проверки подлинности Authentication Policy and Authentication Policy Silos

Политики Active Directory на основе леса введены и могут применяться к учетным записям в домене с режимом работы домена Windows Server 2012 R2. Forest-based Active Directory policies are introduced, and they can be applied to accounts in a domain with a Windows Server 2012 R2 domain functional level. Эти политики проверки подлинности могут управлять тем, какие узлы используют пользователи для входа. These authentication policies can control which hosts a user can use to sign in. Политики функционируют совместно с группой безопасности «Защищенные пользователи», и для проверки подлинности этих учетных записей администраторы могут применить условия контроля доступа. They work in conjunction with the Protect Users security group, and admins can apply access control conditions for authentication to the accounts. Эти политики проверки подлинности изолируют соответствующие учетные записи и ограничивают для них доступную область сети. These authentication policies isolate related accounts to constrain the scope of a network.

Новый класс объектов Active Directory, политика проверки подлинности, позволяет применять конфигурацию проверки подлинности к классам учетных записей в доменах с режимом работы домена Windows Server 2012 R2. The new Active Directory object class, Authentication Policy, allows you to apply authentication configuration to account classes in domains with a Windows Server 2012 R2 domain functional level. Политики проверки подлинности применяются при обмене Kerberos типа AS и TGS. Authentication policies are enforced during the Kerberos AS or the TGS exchange. Классы учетных записей Active Directory. Active Directory account classes are:

Управляемая учетная запись службы Managed Service Account

Групповая управляемая учетная запись службы Group Managed Service Account

Подробную информацию о настройке защищенных учетных записей см. в разделе Настройка защищенных учетных записей. For more information how to configure protected accounts, see How to Configure Protected Accounts.

Дополнительные ссылки Additional References

Дополнительные сведения о соглашениях LSA и LSASS см. в разделе Обзор входа в Windows и проверки подлинности. For more information about the LSA and the LSASS, see the Windows Logon and Authentication Technical Overview.

Защита учетных записей и устройств от злоумышленников и вредоносных программ

Никто не хочет пострадать от действий злоумышленников или вредоносных программ. Инструкции в этой статье помогут вам защитить свои учетные записи и устройства.

Защита учетных записей

Вы должны позаботиться о защите своих учетных записей, будь то личная учетная запись Майкрософт либо рабочая или учебная учетная запись, созданная в организации для вас.

Меры предосторожности при работе с конфиденциальными сведениями

Не отправляйте сообщения электронной почты, содержащие конфиденциальные сведения (например, пароли или номера кредитных карт) или другие подтверждающие личность сведения из документов государственного образца (например, паспортные данные или ИНН).

Защита от фишинговых сообщений

Остерегайтесь фишинг-атак, когда мошенники пытаются обманным путем заставить вас ввести конфиденциальные сведения, перейти по вредоносной ссылке или открыть вредоносное вложение.

Некоторые примеры фишинговых сообщений выглядят как сообщения из законного источника, например банка или официального учебного заведения. В нем предлагается войти с помощью адреса электронной почты и пароля, но на самом деле это поддельный веб-сайт. Другие мошеннические сообщения выглядят как сообщения электронной почты от известного вам человека, в которых вам нужно щелкнуть ссылку или открыть вложение.

Как правило, фишинговые сообщения содержат ссылки или вложения. Когда вы переходите по ссылке или открываете вложение, компьютер заражается вирусами или мошенники получают доступ к вашим личным файлам.

Если вы получили сообщение, вызывающее хотя бы малейшее подозрение, выполните указанные ниже действия.

Наведите указатель мыши на ссылку и посмотрите, на какой сайт она ведет на самом деле. Убедитесь, что используется правильный адрес сайта.

Вместо того чтобы щелкать ссылку в сообщении, перейдите на веб-сайт с собственной сохраненной избранным или закладкой либо с помощью поиска в Интернете.

Если вы получили сообщение от кого-то, кого знаете, но оно выглядит немного необычно, возможно, его учетная запись электронной почты и список контактов были скомпрометированы. Свяжитесь с отправителем напрямую и узнайте, отправлял ли он это сообщение на самом деле.

Использование двухфакторной проверки подлинности

Двухфакторная проверка подлинности (также известная как двухшаговая или многофакторная) обеспечивает дополнительную защиту вашей учетной записи. После настройки этой функции каждый раз при входе в свою учетную запись с незнакомых компьютеров или других устройств или при первоначальном добавлении своей учетной записи в приложения или службы вы будете получать запрос подтверждения этого действия. Запрос может отправляться разными способами: с помощью специального приложения, например Microsoft Authenticator, в текстовом сообщении (SMS), по электронной почте на дополнительный адрес или как запрос ПИН-кода.

Если ваша учетная запись используется Microsoft 365, возможно, администратор Microsoft 365 или ИТ-отдел включил эту возможность для всех учетных записей в организации. В этом случае вам будет предложено настроить ее.

Для личной учетной записи Майкрософт вы сами можете настроить эту функцию и выбрать предпочтительный способ проверки. Например, вы можете выбрать проверку с помощью специального приложения (такого как Microsoft Authenticator), текстового сообщения (SMS) или сообщения электронной почты на дополнительный адрес.

Защита пароля

Не используйте один и тот же пароль во всех своих учетных записях.

Выбирайте надежные пароли и не используйте словарные слова. Надежный пароль должен содержать не менее 12 знаков, в том числе заглавные и строчные буквы, хотя бы одну цифру и хотя бы один символ.

Совет: Вы можете генерировать и сохранять уникальные пароли для часто посещаемых сайтов с помощью сторонних веб-служб.

Защита телефона или планшета

Запускайте и устанавливайте приложения только из официальных источников, таких как магазины приложений для своих устройств.

Если вы используете Microsoft 365, используйте приложения Майкрософт, которые лучше работают с Microsoft 365 и надежнее.

Обновляйте устройства, а также любое программное обеспечение или мобильные приложения, которыми вы пользуетесь. Это очень важно, потому что многие такие обновления содержат исправления для системы безопасности.

Вите функцию блокировки на телефоне или в таблице, которая требует разблокировать устройство с помощью ПИН-кода, отпечатка пальца или распознавания лиц.

Защита компьютеров с Windows 10 или компьютеров Mac

Ниже описаны специальные меры, которые могут предпринять пользователи компьютеров с Windows 10 или компьютеров Mac.

Включение защиты устройств BitLocker

Функция Bitlocker защищает данные при краже или потере устройств. Для этого она полностью шифрует диски на компьютерах с Windows 10. Посторонние пользователи не смогут получить доступ к файлам на защищенных дисках потерянных или украденных устройств, включая файлы, синхронизированные с OneDrive для бизнеса.

Защита компьютера с помощью Защитника Майкрософт

При первом запуске Windows 10 Защитник Майкрософт активно помогает защитить компьютер, сканируя его на вредоносные программы, вирусы и угрозы безопасности. Microsoft Defender использует защиту в режиме реального времени для сканирования всех загружаемых и запускаемых на компьютере данных. Обновление Windows автоматически скачивает обновления для Защитника Майкрософт, чтобы защитить компьютер от угроз.

Включение брандмауэра Windows

Брандмауэр Windows должен работать постоянно (даже если у вас включен другой брандмауэр). Отключение брандмауэра Windows может сделать устройство или сеть более уязвимыми для несанкционированного доступа.

Использование функции FileVault для шифрования диска на компьютере Mac

Шифрование диска защищает данные при потере или краже устройства. Полнодисковое шифрование FileVault позволяет предотвратить несанкционированный доступ к данным на загрузочном диске.

Защита компьютеров Mac от вредоносных программ

Корпорация Майкрософт рекомендует установить и использовать надежное антивирусное ПО на компьютерах Mac.

Используя ПО только из надежных источников, вы также снизите риск заражения компьютера вредоносными программами. Параметры безопасности и конфиденциальности позволяют указывать источники ПО, устанавливаемого на компьютере Mac.

Включение защиты брандмауэра

Используйте брандмауэр для защиты компьютера от нежелательных контактов, инициированных другими компьютерами, когда вы подключены к Интернету или сети. Без такой защиты ваш Mac будет более уязвим для несанкционированного доступа.