Группа безопасности "Protected Users" в Windows — это специальная встроенная группа, предназначенная для повышения защиты учетных записей пользователей, входящих в неё.

Основные особенности и ограничения для членов группы "Protected Users":

Аутентификация происходит только с использованием современных протоколов (например, Kerberos с поддержкой AES), исключая устаревшие и менее безопасные методы.
Запрещено использование NTLM-аутентификации, что снижает риск атак с перехватом хэшей.
Запрещено использование учетных данных, сохранённых в кэше (Cached Credentials), что уменьшает возможность входа при отключении от сети.
Ограничение времени жизни билетов Kerberos (TGT) до 4 часов, что уменьшает окно для возможных атак.
Запрет на использование устаревших протоколов, таких как Digest Authentication.

Таким образом, группа "Protected Users" предназначена для критически важных учетных записей (например, администраторов), чтобы повысить уровень безопасности и снизить риск компрометации через устаревшие или уязвимые методы аутентификации.

What is the 'Protected Users' security group in Windows and what does it do?