Protected Users

Protected Users ist eine integrierte Sicherheitsgruppe in Active Directory, die Microsoft mit Windows Server 2012 R2 eingeführt hat. Konten, die dieser Gruppe angehören, unterliegen automatisch verschärften Schutzmaßnahmen bei der Authentifizierung — ohne dass zusätzliche Gruppenrichtlinien konfiguriert werden müssen. Ziel ist es, den Diebstahl und die Wiederverwendung von Credentials durch Angreifer erheblich zu erschweren.

Erzwungene Schutzmaßnahmen

Für Mitglieder der Protected-Users-Gruppe gelten mehrere Einschränkungen, die der Domain Controller und das Clientbetriebssystem gemeinsam durchsetzen. NTLM-Authentifizierung wird vollständig unterbunden — das Konto kann sich ausschließlich über Kerberos authentifizieren. Dabei wird die Verwendung von AES-Verschlüsselung erzwungen; schwächere Verfahren wie DES und RC4 stehen nicht zur Verfügung. Die Lebensdauer des Kerberos-TGT wird auf vier Stunden (240 Minuten) begrenzt und kann nicht verlängert werden. Credential Delegation (CredSSP) ist deaktiviert, und Klartext-Credentials werden auch bei entsprechender GPO-Einstellung nicht zwischengespeichert. Zudem findet kein Caching von NTLM-Hashes oder Klartext-Passwörtern auf dem lokalen System statt.

Diese Kombination entzieht insbesondere Pass-the-Hash-Angriffen die Grundlage, da keine wiederverwendbaren NTLM-Hashes für diese Konten zwischengespeichert werden.

Voraussetzungen und Einschränkungen

Die serverseitigen Schutzmaßnahmen greifen erst ab einer Domänenfunktionsebene von Windows Server 2012 R2. Clients müssen Kerberos unterstützen — ältere Systeme oder Anwendungen, die ausschließlich NTLM verwenden, können sich mit einem Protected-Users-Konto nicht mehr authentifizieren. Auch Szenarien, die auf Credential Delegation angewiesen sind, etwa bestimmte Multi-Hop-Zugriffe auf Dateifreigaben oder Datenbanken, schlagen fehl.

Die verkürzte TGT-Lebensdauer von vier Stunden bedeutet zudem, dass Benutzer häufiger zur erneuten Authentifizierung aufgefordert werden. In Umgebungen mit langen Arbeitssitzungen kann dies als störend empfunden werden. Vor der Aufnahme von Konten sollte daher ein Audit der tatsächlichen Authentifizierungsprotokolle und Nutzungsmuster erfolgen, um Betriebsunterbrechungen zu vermeiden.

Empfohlene Mitgliedschaft

In das Tiering-Modell integriert, gehören alle Tier-0-Konten in die Protected-Users-Gruppe: Domain Admins, Enterprise Admins, Schema Admins und Konten mit vergleichbaren Berechtigungen. Microsoft empfiehlt grundsätzlich, Service Accounts und Computerkonten nicht in die Protected-Users-Gruppe aufzunehmen, da deren Credentials lokal auf dem Host verfügbar bleiben und die Gruppenrichtlinien dort keinen zusätzlichen Schutz bieten. Bei gMSA-Konten ist der Nutzen durch die automatische Passwortrotation ohnehin bereits gegeben. Reguläre Benutzerkonten profitieren ebenfalls, wenn die Umgebung frei von NTLM-Abhängigkeiten ist.

Die Gruppe ergänzt weitere Schutzebenen wie PAM und Credential Guard, ersetzt sie jedoch nicht. Credential Guard schützt Credentials auf Betriebssystemebene durch Virtualisierung, während Protected Users die Schutzrichtlinien auf Domänenebene erzwingt. Beide Maßnahmen zusammen bieten eine Defense-in-Depth-Strategie gegen Credential-Diebstahl.

Relevanz für KMUs

Protected Users ist eine der wirksamsten Härtungsmaßnahmen in Active Directory, die sich mit minimalem Aufwand umsetzen lässt. In der Praxis finden wir regelmäßig Umgebungen, in denen die Gruppe existiert, aber leer ist. Schon die Aufnahme der wenigen Tier-0-Konten reduziert die Angriffsfläche erheblich — vorausgesetzt, die Umgebung wurde zuvor auf NTLM-Abhängigkeiten geprüft. Ein NTLM-Audit per GPO schafft die nötige Transparenz, bevor Konten migriert werden. In Kombination mit dem Tiering-Modell und LAPS entsteht eine solide Absicherung privilegierter Identitäten, die auch ohne spezialisierte Drittanbieter-Tools realisierbar ist.