Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Usuários Protegidos é um grupo de segurança global para o Ative Directory projetado para proteger contra ataques de roubo de credenciais. O grupo aciona proteção não configurável em dispositivos e computadores host para impedir que as credenciais sejam armazenadas em cache quando os membros do grupo entrarem.
Prerequisites
Seu sistema deve atender aos seguintes pré-requisitos antes de implantar um grupo de Usuários Protegidos:
Os hosts devem estar executando um dos seguintes sistemas operacionais:
- Windows 10 ou Windows 11
- Windows Server 2012 R2 ou posterior com as atualizações de segurança mais recentes instaladas
O nível funcional do domínio deve ser Windows Server 2012 R2 ou posterior. Para obter mais informações sobre níveis funcionais, consulte Níveis funcionais de floresta e domínio.
Note
O administrador de domínio interno, S-1-5-<domain>-500, está sempre isento de políticas de autenticação, mesmo quando elas são atribuídas a um silo de política de autenticação. Para obter mais informações, consulte Como configurar contas protegidas.
- As associações de grupos de segurança global de Usuários Protegidos restringem os membros a usar apenas o AES (Advanced Encryption Standard) para Kerberos. Os membros do grupo Usuários Protegidos devem ser capazes de autenticar usando AES.
Proteções aplicadas pelo Ative Directory
Tornar-se membro do grupo Usuários Protegidos significa que o Ative Directory aplica automaticamente determinados controles pré-configurados que os usuários não poderão alterar, a menos que deixem de ser membros do grupo.
Proteções de dispositivos para Utilizadores Protegidos com sessão iniciada
Quando o usuário conectado é membro do grupo Usuários Protegidos, o grupo fornece as seguintes proteções:
A delegação de credenciais (CredSSP) não armazena em cache as credenciais de texto sem formatação do usuário, mesmo quando o usuário habilita a configuração Permitir delegação de credenciais padrão Diretiva de Grupo.
O Windows Digest não armazena em cache as credenciais de texto sem formatação do usuário, mesmo quando ele habilita o Windows Digest.
NTLM para de armazenar em cache as credenciais em texto simples do usuário ou a função hash NT (NTOWF).
Kerberos para de criar chaves DES (Data Encryption Standard) ou RC4. O Kerberos também não armazena em cache as credenciais de texto sem formatação ou as chaves de longo prazo do usuário após a aquisição do Ticket Granting Ticket (TGT) inicial.
O sistema não cria um verificador em cache no início de sessão ou no desbloqueio do utilizador, pelo que os sistemas membros já não suportam o início de sessão offline.
Depois de adicionar uma nova conta de utilizador ao grupo Utilizadores Protegidos, estas proteções são ativadas quando o novo Utilizador Protegido inicia sessão no dispositivo.
Proteções do controlador de domínio para usuários protegidos
As contas de utilizador protegidas que se autenticam num domínio com o Windows Server não conseguem fazer o seguinte:
Autentique-se com autenticação NTLM.
Use os tipos de criptografia DES ou RC4 na pré-autenticação Kerberos.
Delegar com delegação irrestrita ou restrita.
Renove os TGTs Kerberos além de sua vida útil inicial de quatro horas.
O grupo Usuários Protegidos aplica configurações não configuráveis à expiração do TGT para cada conta de membro. Normalmente, o controlador de domínio define o tempo de vida e a renovação do TGT com base nas duas diretivas de domínio a seguir:
- Tempo de vida máximo para o ticket do usuário
- Vida útil máxima para renovação de tíquete de usuário
Para membros de Usuários Protegidos, o grupo define automaticamente esses limites de tempo de vida para 240 minutos. O usuário não pode alterar esse limite, a menos que saia do grupo.
Como funciona o grupo Utilizadores Protegidos
Você pode adicionar usuários ao grupo Usuários Protegidos usando os seguintes métodos:
- Ferramentas de interface do usuário, como a Central Administrativa do Ative Directory ou Usuários e Computadores do Ative Directory.
- PowerShell, usando o cmdlet Add-ADGroupMember .
Important
Nunca adicione contas de serviços e computadores ao grupo Utilizadores Protegidos. Para essas contas, a associação não fornece proteções locais porque a senha e o certificado estão sempre disponíveis no host.
Não adicione contas que já sejam membros de grupos altamente privilegiados, como os grupos Administradores de Empresa ou Administradores de Domínio, até que possa garantir que adicioná-las não terá consequências negativas. Os utilizadores altamente privilegiados em Utilizadores Protegidos estão sujeitos às mesmas limitações e restrições que os utilizadores normais, e não é possível contornar ou alterar essas definições. Se você adicionar todos os membros desses grupos ao grupo Usuários Protegidos, é possível bloquear acidentalmente suas contas. É importante testar seu sistema para garantir que as alterações obrigatórias de configuração não interfiram no acesso à conta para esses grupos de usuários privilegiados.
Os membros do grupo Usuários Protegidos só podem se autenticar usando Kerberos com AES. Este método requer chaves AES para a conta no Ative Directory. O administrador interno não tem uma chave AES, a menos que a senha do domínio que executa o Windows Server 2008 ou posterior seja alterada. Qualquer conta que tenha sua senha alterada por um controlador de domínio que executa uma versão anterior do Windows Server está bloqueada para autenticação.
Para evitar bloqueios e chaves AES ausentes, recomendamos que você siga estas diretrizes:
Não execute testes em domínios, a menos que todos os controladores de domínio executem o Windows Server 2008 ou posterior.
Se você tiver migrado contas de outros domínios, precisará redefinir a senha para que as contas tenham hashes AES. Caso contrário, essas contas não poderão ser autenticadas.
Os usuários precisam alterar as senhas depois de alternar para um nível funcional de domínio do Windows Server 2008 ou posterior. Isso garante que eles tenham hashes de senha AES depois de se tornarem membros do grupo Usuários Protegidos.
Propriedades do Ative Directory do grupo Usuários Protegidos
A tabela a seguir especifica as propriedades do Ative Directory do grupo Usuários Protegidos.
| Attribute | Value |
|---|---|
| Bem conhecido SID/RID | S-1-5-21-<domínio>-525 |
| Tipo | Domínio Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | None |
| Membro padrão do | None |
| Protegido por AdminSDHolder? | No |
| É seguro sair do contentor padrão? | Yes |
| É seguro delegar a gestão deste grupo a administradores que não são administradores de serviços? | No |
| Direitos de utilizador predefinidos | Sem direitos de utilizador predefinidos |
Logs de eventos
Dois logs administrativos operacionais estão disponíveis para ajudar a solucionar problemas de eventos relacionados a Usuários Protegidos. Esses novos logs estão localizados no Visualizador de Eventos e são desabilitados por padrão. Eles estão localizados em Logs de Aplicativos e Serviços\Microsoft\Windows\Authentication.
Para habilitar a captura desses logs:
Clique com o botão direito do rato em Iniciar e, em seguida, selecione Visualizador de Eventos.
Abra Registos de Aplicações e Serviços\Microsoft\Windows\Authentication.
Para cada log que você deseja habilitar, clique com o botão direito do mouse no nome do log e selecione Habilitar Log.
| ID e registo do evento | Description |
|---|---|
| 104 ProtectedUser-Client |
Motivo: o pacote de segurança no cliente não contém as credenciais. O erro é registado no computador cliente quando a conta é membro do grupo de segurança Utilizadores Protegidos. Esse evento indica que o pacote de segurança não armazena em cache as credenciais necessárias para autenticar no servidor. Exibe o nome do pacote, o nome de usuário, o nome de domínio e o nome do servidor. |
| 304 ProtectedUser-Client |
Motivo: o pacote de segurança não armazena as credenciais do usuário protegido. Um evento informativo é registrado no cliente para indicar que o pacote de segurança não armazena em cache as credenciais de entrada do usuário. Espera-se que o Digest (WDigest), a Delegação de Credenciais (CredSSP) e o NTLM não tenham credenciais de logon para membros de Usuários Protegidos. Os aplicativos ainda podem ser bem-sucedidos se solicitarem credenciais. Exibe o nome do pacote, o nome de usuário e o nome de domínio. |
| 100 ProtectedUserFailures-DomainController |
Motivo: ocorre uma falha na autenticação NTLM para uma conta no grupo de segurança Utilizadores Protegidos. É registado um erro no controlador de domínio para indicar que a autenticação NTLM falhou porque a conta era membro do grupo de segurança Utilizadores Protegidos. Exibe o nome da conta e o nome do dispositivo. |
| 104 ProtectedUserFailures-DomainController |
Motivo: os tipos de criptografia DES ou RC4 são usados para autenticação Kerberos e ocorre uma falha de entrada para um usuário no grupo de segurança Usuários Protegidos. A pré-autenticação Kerberos falhou porque os tipos de criptografia DES e RC4 não podem ser usados quando a conta é membro do grupo de segurança Usuários Protegidos. (AES é aceitável.) |
| 303 ProtectedUserSuccesses-DomainController |
Motivo: um TGT Kerberos foi emitido com êxito para um membro do grupo Usuários Protegidos. |