Grupo de segurança de usuários protegidos

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Usuários Protegidos é um grupo de segurança global do Active Directory (AD) projetado para proteger contra ataques de roubo de credenciais. O grupo dispara a proteção não configurável em dispositivos e computadores host para evitar o armazenamento de credenciais em cache quando membros do grupo entram.

Pré-requisitos

Seu sistema deve atender aos seguintes pré-requisitos antes de implantar um grupo de Usuários Protegidos:

  • Hosts devem executar um dos seguintes sistemas operacionais:

    • Windows 8.1 ou posterior
    • Windows Server 2012 R2 ou posterior com as atualizações de segurança mais recentes instaladas

  • O nível funcional do domínio deve ser Windows Server 2012 R2 ou posterior. Para saber mais sobre níveis funcionais, confira Níveis funcionais de floresta e domínio.

Observação

O Administrador de domínio interno, S-1-5-<domain>-500, está sempre isento de Políticas de Autenticação, mesmo quando elas são atribuídas a um Silo de Política de Autenticação. Para mais informações, consulte Como configurar contas protegidas.

  • As associações de grupo de segurança global de Usuários Protegidos restringem membros a usar apenas AES (Padrões Avançados de Criptografia) para Kerberos. Os membros do grupo Usuários Protegidos devem ser capazes de se autenticar usando o AES.

Proteções aplicadas pelo Active Directory

Tornar-se membro do grupo Usuários Protegidos significa que o AD aplica automaticamente certos controles pré-configurados que os usuários não poderão alterar, a menos que deixem de ser membros do grupo.

Proteções de dispositivo para Usuários Protegidos conectados

Quando o usuário conectado é membro do grupo Usuários Protegidos, o grupo fornece as seguintes proteções:

  • A delegação de credenciais (CredSSP) não armazena em cache as credenciais de texto sem formatação do usuário, mesmo quando o usuário habilita a configuração de Diretiva de Grupo Permitir delegação de credenciais padrão.

  • Para o Windows 8.1 e posterior e o Windows Server 2012 R2 e posterior, o Windows Digest não armazena em cache as credenciais de texto não criptografado do usuário, mesmo quando eles têm o Windows Digest habilitado.

  • O NTLM deixa de armazenar em cache as credenciais de texto não criptografado do usuário ou NT função unidirecional (NTOWF).

  • O Kerberos deixa de criar chaves DES (Data Encryption Standard) ou RC4. O Kerberos também não armazena em cache as credenciais de texto não criptografado ou as chaves de longo prazo do usuário após a aquisição do Tíquete de Concessão de Tíquete (TGT) inicial.

  • O sistema não cria um verificador armazenado em cache no login ou desbloqueio do usuário; portanto, os sistemas membros não oferecem mais suporte ao logon offline.

Depois de adicionar uma nova conta de usuário ao grupo Usuários Protegidos, essas proteções serão ativadas quando o novo Usuário Protegido entrar no dispositivo.

Proteções do controlador de domínio para Usuários Protegidos

As contas de usuário protegidas que se autenticam em um domínio que executa o Windows Server 2012 R2 ou posterior não conseguem fazer o seguinte:

  • Autenticar-se com autenticação NTLM.

  • Usar os tipos de criptografia DES ou RC4 na pré-autenticação do Kerberos.

  • Delegar com delegação restrita ou irrestrita.

  • Renovar TGTs do Kerberos além do prazo inicial de quatro horas.

O grupo Usuários Protegidos aplica definições não configuráveis para a expiração de TGT para cada conta de membro. Em geral, o controlador de domínio define o tempo de vida e a renovação do TGT com base nestas duas políticas de domínio:

  • Tempo de vida máximo para o tíquete de usuário
  • Tempo de vida máximo para renovação de tíquete de usuário

Para membros de Usuários Protegidos, o grupo define automaticamente esses limites de tempo de vida como 600 minutos. O usuário não pode alterar esse limite, a menos que saia do grupo.

Como o grupo Usuários protegidos funciona

Você pode adicionar usuários ao grupo Usuários Protegidos usando os seguintes métodos:

Importante

  • Nunca adicione contas de serviços e computadores ao grupo Usuários Protegidos. Para essas contas, a associação não oferece proteções locais, pois a senha e o certificado sempre estão disponíveis no host.

  • Não adicione contas que já sejam membros de grupos altamente privilegiados, como os grupos Administradores Corporativos ou Administradores de Domínio, até que você possa garantir que adicioná-las não terá consequências negativas. Os usuários altamente privilegiados nos Usuários Protegidos estão sujeitos às mesmas limitações e restrições que os usuários comuns, e não é possível contornar ou alterar essas configurações. Se você adicionar todos os membros desses grupos ao grupo Usuários Protegidos, será possível bloquear acidentalmente suas contas. É importante testar o sistema para garantir que as alterações de configuração obrigatórias não interfiram no acesso à conta para esses grupos de usuários privilegiados.

Os membros do grupo Usuários Protegidos só podem se autenticar usando Kerberos com AES. Este método pede chaves AES para a conta do Active Directory. O Administrador interno não tem uma chave AES, a menos que a senha do domínio que executa o Windows Server 2008 ou posterior seja alterada. Qualquer conta com a senha alterada por um controlador de domínio que esteja executando uma versão anterior do Windows Server será bloqueada da autenticação.

Para evitar bloqueios e chaves AES ausentes, recomendamos que você siga estas diretrizes:

  • Não execute testes em domínios a menos que todos os controladores de domínio executem o Windows Server 2008 ou posterior.

  • Se você tiver migrado contas de outros domínios, será necessário redefinir a senha para que as contas tenham hashes AES. Caso contrário, essas contas poderão ser autenticadas.

  • Os usuários precisam alterar senhas depois de alternar para o nível funcional de domínio do Windows Server 2008 ou posterior. Isso garante que eles tenham hashes de senha AES assim que se tornarem membros do grupo Usuários Protegidos.

Adicionar um grupo de segurança global Usuário Protegido a domínios de nível inferior

Os controladores de domínio que executam um sistema operacional anterior ao Windows Server 2012 R2 podem dar suporte à adição de membros ao novo grupo de segurança Usuário Protegido. Dessa forma, esses membros podem se beneficiar das proteções do dispositivo antes de atualizar o domínio.

Observação

Os controladores de domínio que executam versões anteriores do Windows Server 2012 R2 não dão suporte a proteções de domínio.

Para criar um grupo Usuários Protegidos em um controlador de domínio executando uma versão anterior do Windows Server:

  1. Transfira a função de emulador PDC para um controlador de domínio que execute o Windows Server 2012 R2.

  2. Replique o objeto de grupo para os outros controladores de domínio.

Depois disso, os usuários podem se beneficiar das proteções do dispositivo antes de atualizar o domínio.

Propriedades do AD do grupo Usuários Protegidos

A tabela a seguir especifica as propriedades Active Directory do grupo Usuários Protegidos.

Atributo Valor
SID/RID conhecido S-1-5-21-<domínio>-525
Type Domínio global
Contêiner padrão CN=Usuários, DC=<domínio>, DC=
Membros padrão Nenhum
Membro padrão de Nenhum
Protegido por ADMINSDHOLDER? No
É seguro movê-lo para fora do contêiner padrão? Sim
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? No
Direitos de usuário padrão Nenhum direito de usuário padrão.

Logs de eventos

Dois logs administrativos operacionais estão disponíveis para ajudar a solucionar problemas de eventos relacionados aos Usuários protegidos. Esses novos logs estão no Visualizador de Eventos, desabilitados por padrão e localizados em Applications and Services Logs\Microsoft\Windows\Authentication.

Para habilitar a captura desses logs:

  1. Clique com o botão direito do mouse em Iniciar e, depois, selecione Visualizador de Eventos.

  2. Abra Logs de Aplicativos e Serviços\Microsoft\Windows\Authentication.

  3. Para cada log que você deseja habilitar, clique com o botão direito do mouse no nome do log e selecione Habilitar Log.

ID e log de evento Descrição
104

ProtectedUser-Client

 Motivo: O pacote de segurança no cliente não contém as credenciais.
O erro é registrado em log no computador cliente quando a conta é um membro do grupo de segurança Usuários protegidos. Este evento indica que o pacote de segurança não armazena em cache as credenciais necessárias para autenticar o servidor.

Exibe os nomes do pacote, usuário, domínio e servidor.
304

ProtectedUser-Client

 Motivo: o pacote de segurança não armazena as credenciais do Usuário Protegido.
Um evento informacional é registrado no cliente para indicar que o pacote de segurança não armazena em cache as credenciais de logon do usuário. Espera-se que o Digest (WDigest), Delegação de credenciais (CredSSP) e NTLM falhem ao entrar com credenciais para Usuários protegidos. Os aplicativos ainda funcionarão se solicitarem as credenciais.

Exibe os nomes do pacote, usuário e domínio.
100

ProtectedUserFailures-DomainController

 Motivo: Uma falha de logon de NTLM que ocorre em uma conta presente no grupo de segurança Usuários protegidos.
Um erro é registrado em log no controlador de domínio para indicar que a autenticação NTLM falhou porque a conta era membro do grupo de segurança Usuários protegidos.

Exibe os nomes da conta e do dispositivo.
104

ProtectedUserFailures-DomainController

 Motivo: Tipos de criptografia DES ou RC4 são usados para a autenticação do Kerberos e uma falha de entrada ocorre para um usuário do grupo de segurança de Usuário protegido.
A pré-autenticação do Kerberos falhou porque os tipos de criptografia DES e RC4 não podem ser usados quando a conta é membro do grupo de segurança de Usuários protegidos.

(AES é aceitável.)
303

ProtectedUserSuccesses-DomainController

 Motivo: Um TGT do Kerberos foi emitido com êxito para um membro do grupo de Usuários protegidos.

Recursos adicionais