Groupe de sécurité Utilisateurs protégés
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Cette rubrique destinée aux professionnels de l'informatique décrit le groupe de sécurité Active Directory nommé Utilisateurs protégés et explique son fonctionnement. Ce groupe a été introduit dans les contrôleurs de domaine Windows Server 2012 R2.
Vue d’ensemble
Ce groupe de sécurité est conçu dans le cadre d’une stratégie pour gérer l’exposition des informations d’identification dans l'entreprise. Les membres de ce groupe disposent automatiquement de protections non configurables qui sont appliquées à leurs comptes. L'appartenance au groupe Utilisateurs protégés est censée être restrictive et sécurisée de manière proactive par défaut. La seule méthode permettant de modifier ces protections pour un compte consiste à supprimer le compte du groupe de sécurité.
Avertissement
Les comptes de services et d’ordinateurs ne doivent jamais être membres du groupe Utilisateurs protégés. De toute façon, ce groupe n’offre pas de protection totale, car le mot de passe ou le certificat est toujours disponible sur l’hôte. L’authentification échoue avec l’erreur « Le nom d'utilisateur ou le mot de passe est incorrect » pour tout service ou ordinateur ajouté au groupe Utilisateurs protégés.
Ce groupe global lié au domaine déclenche une protection non configurable sur les appareils et ordinateurs hôtes exécutant Windows Server 2012 R2 et Windows 8.1 ou version ultérieure, pour les utilisateurs dans des domaines avec un contrôleur de domaine principal exécutant Windows Server 2012 R2. Cela réduit considérablement l’empreinte mémoire par défaut des informations d’identification quand les utilisateurs se connectent aux ordinateurs dotés de ces protections.
Pour plus d’informations, consultez Comment fonctionne le groupe Utilisateurs protégés dans cette rubrique.
Exigences du groupe Utilisateurs protégés
Les exigences pour fournir une protection d’appareil aux membres du groupe Utilisateurs protégés sont les suivantes :
Le groupe de sécurité global Utilisateurs protégés est répliqué vers tous les contrôleurs du domaine du compte.
Ajout de la prise en charge Windows 8.1 et Windows Server 2012 R2 par défaut. L’avis de sécurité 2871997 ajoute la prise en charge de Windows 7, Windows Server 2008 R2 et Windows Server 2012.
Les conditions requises pour fournir une protection de contrôleur de domaine aux membres du groupe Utilisateurs protégés sont notamment les suivantes :
- Les utilisateurs doivent être dans des domaines situés au niveau fonctionnel de domaine Windows Server 2012 R2 ou supérieur.
Ajout d’un groupe de sécurité global Utilisateurs protégés aux domaines de niveau inférieur
Les contrôleurs de domaine qui exécutent un système d’exploitation antérieur à Windows Server 2012 R2 peuvent prendre en charge l’ajout de membres au nouveau groupe de sécurité Utilisateurs protégés. Cela permet aux utilisateurs de bénéficier des protections d’appareil avant la mise à niveau du domaine.
Remarque
Les contrôleurs de domaine ne prennent pas en charge les protections de domaine.
Le groupe Utilisateurs protégés peut être créé en transférant le rôle d’émulateur du contrôleur de domaine principal à un contrôleur de domaine qui exécute Windows Server 2012 R2. Une fois l'objet de groupe répliqué sur d'autres contrôleurs de domaine, le rôle de l'émulateur PDC peut être hébergé sur un contrôleur de domaine qui exécute une version antérieure de Windows Server.
Propriétés AD du groupe Utilisateurs protégés
Le tableau suivant spécifie les propriétés du groupe Utilisateurs protégés.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-525 |
| Type | Global du domaine |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par ADMINSDHOLDER ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Aucun droit d’utilisateur par défaut |
Comment fonctionne le groupe Utilisateurs protégés
Cette section décrit le fonctionnement du groupe Utilisateurs protégés quand :
Connecté à un appareil Windows
Le domaine de compte d’utilisateur se trouve dans le niveau fonctionnel de domaine Windows Server 2012 R2 ou supérieur
Protections d’appareil pour les membres du groupe Utilisateurs protégés connectés
Quand l’utilisateur connecté est membre du groupe Utilisateurs protégés, les protections suivantes sont appliquées :
La délégation d’informations d’identification (CredSSP) ne met pas en cache les informations d’identification de l’utilisateur en texte brut, même quand le paramètre de stratégie de groupe Autoriser la délégation des informations d’identification par défaut est activé.
À compter de Windows 8.1 et Windows Server 2012 R2, Windows Digest ne met pas en cache les informations d’identification d’utilisateur en texte brut, même quand Windows Digest est activé.
Remarque
Après avoir installé l’avis de sécurité Microsoft 2871997, Windows Digest continue de mettre en cache les informations d’identification jusqu’à ce que la clé de Registre soit configurée. Pour obtenir des instructions, consultez Avis de sécurité Microsoft : Mise à jour pour améliorer la protection et la gestion des informations d’identification : 13 mai 2014.
NTLM ne met pas en cache les informations d’identification de l’utilisateur en texte brut ou la fonction unidirectionnelle NT (NTOWF).
Kerberos ne crée plus de clés DES ou RC4. Par ailleurs, il ne met pas en cache les informations d’identification d’utilisateur en texte brut ni les clés à long terme après l’acquisition du TGT initial.
Comme aucun vérificateur n’est mis en cache pendant la connexion ou le déverrouillage, la connexion hors connexion n’est plus prise en charge.
Une fois que le compte d’utilisateur est ajouté au groupe Utilisateurs protégés, la protection commence quand l’utilisateur se connecte à l’appareil.
Protections de contrôleur de domaine pour le groupe Utilisateurs protégés
Les comptes membres du groupe Utilisateurs protégés qui s’authentifient sur un domaine Windows Server 2012 R2 ne peuvent pas :
s'authentifier avec l'authentification NTLM ;
utiliser les types de chiffrement DES ou RC4 dans la pré-authentification Kerberos ;
être délégués en utilisant la délégation non contrainte ou contrainte ;
renouveler les tickets TGT Kerberos au-delà de la durée de vie initiale de 4 heures.
Des paramètres non configurables pour l'expiration des tickets TGT sont établis pour chaque compte dans le groupe Utilisateurs protégés. Normalement, le contrôleur de domaine définit la durée de vie et le renouvellement des tickets TGT en fonction des stratégies de domaine Durée de vie maximale du ticket d'utilisateur et Durée de vie maximale pour le renouvellement du ticket utilisateur. Pour le groupe Utilisateurs protégés, la valeur 600 minutes est définie pour ces stratégies de domaine.
Pour plus d'informations, voir Comment configurer des comptes protégés.
Résolution des problèmes
Deux journaux d'administration opérationnels sont disponibles pour résoudre les problèmes associés aux événements concernant les utilisateurs protégés. Ces nouveaux journaux se trouvent dans l’observateur d’événements et sont désactivés par défaut. Ils sont sous Journaux des applications et des services\Microsoft\Windows\Authentification.
| ID d'événement et journal | Description |
|---|---|
| 104 ProtectedUser-Client |
Cause : Le package de sécurité sur le client ne contient pas les informations d'identification. L'erreur est consignée sur l'ordinateur client quand le compte est membre du groupe de sécurité Utilisateurs protégés. Cet événement indique que le package de sécurité ne met pas en cache les informations d'identification nécessaires pour une authentification auprès du serveur. Affiche le nom du package, le nom d'utilisateur, le nom du domaine et le nom du serveur. |
| 304 ProtectedUser-Client |
Motif : le package de sécurité ne stocke pas les informations d’identification des utilisateurs protégés. Un événement d’information est journalisé dans le client pour indiquer que le package de sécurité ne met pas en cache les informations de connexion de l’utilisateur. Normalement, Digest (WDigest), la délégation des informations d'identification (CredSSP) et NTLM ne devraient pas pouvoir obtenir les informations d'identification de connexion pour les utilisateurs protégés. Les applications peuvent quand même réussir si elles demandent des informations d'identification. Affiche le nom du package, le nom d'utilisateur et le nom du domaine. |
| 100 ProtectedUserFailures-DomainController |
Cause : Un échec de connexion NTLM se produit pour un compte qui figure dans le groupe de sécurité Utilisateurs protégés. Une erreur est consignée dans le contrôleur de domaine pour indiquer l'échec de l'authentification NTLM en raison de l'appartenance du compte au groupe de sécurité Utilisateurs protégés. Affiche le nom du compte et le nom de l'appareil. |
| 104 ProtectedUserFailures-DomainController |
Cause : Les types de chiffrement DES ou RC4 sont utilisés pour l'authentification Kerberos et un échec de connexion se produit pour un utilisateur dans le groupe de sécurité Utilisateurs protégés. La pré-authentification Kerberos a échoué, car les types de chiffrement DES et RC4 ne peuvent pas être utilisés quand le compte est membre du groupe de sécurité Utilisateurs protégés. (AES est acceptable.) |
| 303 ProtectedUserSuccesses-DomainController |
Cause : Un ticket TGT Kerberos a été correctement émis pour un membre du groupe Utilisateurs protégés. |