Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Por que Considerar isso
Um ou mais membros padrão foram removidos do Grupo de Replicação de Senha RODC Negado. Esse grupo é usado para garantir que as senhas de certos usuários ou grupos altamente privilegiados não sejam armazenadas em cache em Controladores de Domínio Somente Leitura (RODCs). A remoção de membros padrão desse grupo pode criar uma vulnerabilidade de segurança.
Assista à explicação de um Engenheiro de Clientes sobre o problema
Contexto e Práticas Recomendadas
Os RODCs foram introduzidos no Windows Server 2008. Eles são projetados para fornecer a funcionalidade de somente leitura do controlador de domínio para ambientes que podem ser menos seguros fisicamente do que os departamentos de TI centralizados ou datacenters, como por exemplo em filiais. A natureza somente leitura do RODC fornece alguma funcionalidade aos usuários locais, ao mesmo tempo em que fornece alguma proteção contra violações de segurança locais à infraestrutura corporativa mais ampla.
Os RODCs estão emparelhados com um controlador de domínio gravável (RWDC), que replica as alterações feitas no RODC. Se um RODC receber uma solicitação de gravação, a solicitação será encaminhada para um RWDC através de um link da Rede de Longa Distância (WAN). As atualizações são replicadas novamente para o RODC.
Os RODCs geralmente são configurados para permitir que determinadas contas de usuário (normalmente os funcionários da filial) sejam autenticadas localmente, mesmo que o link WAN para a infraestrutura de TI central esteja offline. Para fazer isso, o RODC precisa armazenar senhas em cache localmente para esses usuários. Se um usuário tentar se autenticar em um RODC, e o RODC não tiver uma senha em cache para o usuário, o RODC encaminhará a solicitação para um RWDC através do link WAN.
O Grupo de Replicação de Senha RODC Negado é um grupo de domínio local que especifica usuários e grupos cujas senhas não podem ser armazenadas em cache nos RODCs. Por padrão, esse grupo contém os seguintes usuários e grupos altamente privilegiados:
- O grupo Enterprise Domain Controllers.
- O grupo Enterprise Read-Only Domain Controllers.
- O grupo Enterprise Admins.
- O grupo Domain Admins.
- O grupo Schema Admins.
- O grupo Group Policy Creator Owners.
- O grupo Cert Publishers.
- A conta de todo o domínio krbtgt.
A Microsoft recomenda que você não remova esses usuários e grupos do Grupo de Replicação de Senha RODC Negado.
Observação: os controladores de domínio usam uma chave derivada da senha da conta krbtgt (a conta do serviço de distribuição de chaves) para criptografar o Kerberos Ticket-Granting Tickets (TGTs). Como tal, cada controlador de domínio precisa de uma conta krbtgt. Para impedir que os RODCs comprometidos sejam afetados por outros controladores de domínio, cada RODC recebe sua própria conta krbtgt exclusiva. Essa conta se chama krbtgt*[numbers]*, onde [numbers] é uma cadeia de caracteres de números aleatórios.
Ações sugeridas
O Grupo de Replicação de Senha RODC Negado é usado para especificar usuários e grupos cujas senhas não podem ser armazenadas em cache nos RODCs. Por padrão, esse grupo contém vários usuários ou grupos com privilégios elevados, como por exemplo os administradores de domínio. A remoção desses usuários e grupos padrão pode aumentar a exposição das senhas de administrador aos RODCs. Isso, por sua vez, anula a finalidade de implementação dos RODCs, e pode aumentar a vulnerabilidade de toda a floresta do Active Directory.
Analise a política de replicação de senha para o RODC. O RODC só deve ter permissão para armazenar senhas em cache para usuários que precisam ser capazes de fazer logon localmente, mesmo que o link de Rede de Longa Distância (WAN) para a infraestrutura de TI central esteja offline. Na ausência de um estudo de viabilidade convincente em relação à remoção de membros padrão do Grupo de Replicação de Senha RODC Negado, restaure todos os membros padrão para o grupo.
Os links na seção Saiba Mais fornecem mais orientações sobre como planejar e configurar políticas de replicação de senha.
Saiba Mais
Para obter orientações gerais sobre como criar uma política de replicação de senha, consulte Política de Replicação de Senha em https://technet.microsoft.com/library/cc730883.aspx.
Para obter diretrizes de procedimento sobre como configurar a política de replicação de senha, consulte Administração da Política de Replicação de Senha em https://technet.microsoft.com/library/rodc-guidance-for-administering-the-password-replication-policy.aspx.
Para obter mais informações sobre o cache de credenciais em RODCs, consulte Conjunto de Atributos Filtrados para o RODC, Cache de Credenciais e Processo de Autenticação com um RODCem https://technet.microsoft.com/library/cc753459.aspx.