Leer en inglés

Protección de cuentas de usuario con el grupo Usuarios protegidos

100 XP
  • 5 minutos

El grupo de seguridad Usuarios protegidos de Active Directory Domain Services (AD DS) ayuda a proteger las cuentas de usuario con privilegios elevados frente a riesgos. A los miembros del grupo Usuarios protegidos se les aplican varias opciones de configuración relacionadas con la seguridad que no se pueden modificar, excepto cuando se abandona el grupo.

Requisitos previos del grupo Usuarios protegidos

Para proporcionar protección a los miembros del grupo Usuarios protegidos:

  • El grupo se debe replicar en todos los controladores de dominio.
  • El usuario debe iniciar sesión en un dispositivo que ejecute Windows 8.1 o Windows Server 2012 R2 o posterior.
  • Para la protección del controlador de dominio es necesario que los dominios se ejecuten en Windows Server 2012 R2 o un nivel funcional de dominio superior. Los niveles funcionales inferiores siguen siendo compatibles con la protección en los dispositivos cliente.

Protecciones del grupo Usuarios protegidos

Cuando un usuario es miembro del grupo Usuarios protegidos, en su estación de trabajo o dispositivo local:

  • Las credenciales de usuario no se almacenan en caché localmente.
  • La delegación de credenciales (CredSSP) no almacenará en caché las credenciales de usuario.
  • Windows Digest no almacenará en caché las credenciales de usuario.
  • NTLM no almacenará en caché las credenciales de usuario.
  • Kerberos no creará claves DES (Estándar de cifrado de datos) o RC4, ni credenciales de caché ni claves a largo plazo.
  • El usuario ya no puede iniciar sesión sin conexión.

En controladores de dominio que ejecuten Windows Server 2012 R2 o posterior:

  • No se permite la autenticación NTLM.
  • No se puede usar el cifrado DES y RC4 en la autenticación previa de Kerberos.
  • Las credenciales no se pueden delegar mediante la delegación restringida.
  • No se puede realizar la delegación mediante la delegación sin restricciones.
  • Los vales de concesión de vales (TGT) no se pueden renovar más allá de la duración inicial.

Para agregar usuarios a grupos con privilegios y al grupo Usuarios protegidos mediante el Centro de administración de Active Directory (ADAC), siga estos pasos:

  1. Abra el Centro de administración de Active Directory (ADAC).
  2. En el panel de navegación izquierdo, expanda el dominio y vaya al contenedor Usuarios o a la unidad organizativa (UO) específica donde se encuentra el grupo con privilegios o el grupo Usuarios protegidos.
  3. En el panel principal, busque y seleccione el grupo al que desea agregar usuarios.
  4. En el panel Tareas de la derecha, haga clic en Propiedades.
  5. En la ventana de propiedades del grupo, vaya a la pestaña Miembros.
  6. Haga clic en Agregar para abrir el cuadro de diálogo Seleccionar usuarios, contactos, equipos, cuentas de servicio o grupos.
  7. Busque las cuentas de usuario que desea agregar al grupo, selecciónelas y, a continuación, haga clic en Aceptar.
  8. Para confirmar las adiciones, haga clic en Aceptar y, a continuación, Aceptar de nuevo en la ventana de propiedades del grupo.

Nota

El grupo Usuarios protegidos, que está diseñado para proporcionar protecciones adicionales contra ataques de robo de credenciales, usa los mismos pasos para agregar usuarios. Sin embargo, asegúrese de que el nivel funcional del dominio sea Windows Server 2012 R2 o posterior, ya que es un requisito previo para implementar un grupo de Usuarios protegidos.

Directivas de autenticación

Las directivas de autenticación permiten configurar la duración de TGT y las condiciones de control de acceso para un usuario, servicio o cuenta de equipo. Para las cuentas de usuario, puede configurar la duración del TGT del usuario, hasta el máximo establecido por la duración máxima de 600 minutos del grupo Usuarios protegidos. También puede restringir en qué dispositivos puede iniciar sesión el usuario y los criterios que deben cumplir los dispositivos.

Silos de directivas de autenticación

Los silos de directivas de autenticación permiten a los administradores asignar directivas de autenticación a cuentas de usuario, equipo y servicio. Los silos de directiva de autenticación funcionan con el grupo Usuarios protegidos para agregar restricciones configurables a las restricciones no configurables existentes del grupo. Además, los silos de directivas garantizan que las cuentas pertenezcan a un solo silo de directiva de autenticación.

Cuando una cuenta inicia sesión, a un usuario que forma parte de un silo de directivas de autenticación se le concede una notificación de silo de directivas de autenticación. Esta notificación de silo controla el acceso a los recursos compatibles con las notificaciones para comprobar si la cuenta está autorizada para acceder a ese dispositivo. Por ejemplo, podría asociar cuentas que puedan acceder a servidores confidenciales con un silo de directiva de autenticación específico.

Lectura adicional: Para más información sobre las directivas de autenticación y los silos de directivas de autenticación, vea Directivas de autenticación y silos de directivas de autenticación.

Siguiente unidad: Descripción de Credential Guard de Windows Defender

Anterior Siguientes