Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Protected Users é um grupo de segurança global para o Active Directory, projetado para proteger contra ataques de roubo de credenciais. O grupo aciona uma proteção não configurável em dispositivos e computadores host para evitar que as credenciais sejam armazenadas em cache quando os membros do grupo fizerem login.
Prerequisites
Seu sistema deve atender aos seguintes pré-requisitos antes de implantar um grupo de Usuários Protegidos:
Hosts devem executar um dos seguintes sistemas operacionais:
- Windows 10 ou Windows 11
- Windows Server 2012 R2 ou posterior com as atualizações de segurança mais recentes instaladas
O nível funcional do domínio deve ser Windows Server 2012 R2 ou posterior. Para saber mais sobre níveis funcionais, confira Níveis funcionais de floresta e domínio.
Note
O administrador de domínio incorporado, S-1-5-<___domain>-500, está sempre isento de políticas de autenticação, mesmo quando é atribuído a um silo de política de autenticação. Para mais informações, consulte Como configurar contas protegidas.
- As associações de grupo de segurança global Protected Users restringem os membros a usar somente o AES (Advanced Encryption Standard) para o Kerberos. Os membros do grupo Usuários protegidos devem ser capazes de se autenticar usando o AES.
Proteções aplicadas pelo Active Directory
Tornar-se membro do grupo Usuários Protegidos significa que o Active Directory aplica automaticamente determinados controles pré-configurados que os usuários não poderão alterar, a menos que deixem de ser membros do grupo.
Proteções de dispositivo para Usuários Protegidos conectados
Quando o usuário conectado é membro do grupo Usuários Protegidos, o grupo fornece as seguintes proteções:
A delegação de credenciais (CredSSP) não armazena em cache as credenciais de texto sem formatação do usuário, mesmo quando o usuário habilita a configuração de Diretiva de Grupo Permitir delegação de credenciais padrão.
O Windows Digest não armazena em cache as credenciais de texto sem formatação do usuário mesmo quando ele habilita o Windows Digest.
O NTLM para de armazenar em cache as credenciais de texto não criptografado do usuário ou a função unidirecional NT (NTOWF).
O Kerberos deixa de criar chaves DES (Data Encryption Standard) ou RC4. Kerberos também não armazena em cache as credenciais em texto plano do usuário ou as chaves de longo prazo depois de adquirir o TGT (tíquete de concessão de tíquete) inicial.
O sistema não cria um verificador armazenado em cache no login ou desbloqueio do usuário; portanto, os sistemas membros não oferecem mais suporte ao logon offline.
Depois de adicionar uma nova conta de usuário ao grupo Usuários Protegidos, essas proteções são ativadas quando o novo Usuário Protegido entra em seu dispositivo.
Proteções do controlador de domínio para Usuários Protegidos
As contas de usuário protegidas que se autenticam em um domínio que executa o Windows Server não podem fazer o seguinte:
Autenticar-se com autenticação NTLM.
Use tipos de criptografia DES ou RC4 na pré-autenticação Kerberos.
Ser delegados com delegação restrita ou irrestrita.
Renovar os TGTs do Kerberos além do prazo inicial de quatro horas.
O grupo Usuários protegidos aplica configurações não configuráveis à expiração do TGT para cada conta de membro. Em geral, o controlador de domínio define o tempo de vida e a renovação do TGT com base nestas duas políticas de domínio:
- Tempo de vida máximo por tíquete de usuário
- Tempo de vida máximo para renovação de tíquete de usuário
Para membros usuários protegidos, o grupo define automaticamente esses limites de tempo de vida como 240 minutos. O usuário não pode alterar esse limite, a menos que saia do grupo.
Como o grupo Usuários protegidos funciona
Você pode adicionar usuários ao grupo de Usuários Protegidos usando os seguintes métodos:
- Ferramentas de interface do usuário, como Centro Administrativo do Active Directory (ADAC) ou Usuários e Computadores do Active Directory
- PowerShell, usando o cmdlet Add-ADGroupMember .
Important
Nunca adicione contas de serviços e computadores ao grupo Usuários Protegidos. Para essas contas, a associação não oferece proteções locais, pois a senha e o certificado sempre estão disponíveis no host.
Não adicione contas que já sejam membros de grupos altamente privilegiados, como os grupos Enterprise Admins ou Domain Admins, até que você possa garantir que adicioná-las não terá consequências negativas. Os usuários altamente privilegiados nos Usuários Protegidos estão sujeitos às mesmas limitações e restrições que os usuários comuns e não é possível contornar ou alterar essas configurações. Se você adicionar todos os membros desses grupos ao grupo Usuários Protegidos, será possível bloquear acidentalmente suas contas. É importante testar o sistema para garantir que as alterações de configuração obrigatórias não interfiram no acesso à conta para esses grupos de usuários privilegiados.
Os membros do grupo Usuários Protegidos só podem se autenticar usando Kerberos com a AES. Este método pede chaves AES para a conta do Active Directory. O Administrador interno não tem uma chave AES, a menos que a senha do domínio que executa o Windows Server 2008 ou posterior seja alterada. Qualquer conta que tenha sua senha alterada por um controlador de domínio que esteja executando uma versão anterior do Windows Server é bloqueada para autenticação.
Para evitar bloqueios e perda de chaves AES, recomendamos que você siga estas diretrizes:
Não execute testes em domínios a menos que todos os controladores de domínio executem o Windows Server 2008 ou posterior.
Se você tiver migrado contas de outros domínios, será necessário redefinir a senha para que as contas tenham hashes AES. Caso contrário, essas contas não conseguirão se autenticar.
Os usuários precisam alterar as senhas depois de mudar para um nível funcional de domínio do Windows Server 2008 ou posterior. Isso garante que eles tenham hashes de senha do AES depois de se tornarem membros do grupo Usuários Protegidos.
Usuários Protegidos agrupam propriedades do Active Directory
A tabela a seguir especifica as propriedades Active Directory do grupo Usuários Protegidos.
| Attribute | Value |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-525 |
| Tipo | Domínio Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | None |
| Membro padrão de | None |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Yes |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum direito de usuário padrão. |
Logs de eventos
Dois logs administrativos operacionais estão disponíveis para ajudar a solucionar problemas de eventos relacionados aos Usuários protegidos. Esses novos logs encontram-se no Visualizador de Eventos e estão desabilitados por padrão. Eles estão localizados em Logs de Aplicativos e Serviços\Microsoft\Windows\Authentication.
Para habilitar a captura desses logs:
Clique com o botão direito do mouse em Iniciar e selecione Visualizador de Eventos.
Abra Logs de Aplicativos e Serviços\Microsoft\Windows\Authentication.
Para cada log que você deseja habilitar, clique com o botão direito do mouse no nome do log e selecione Habilitar Log.
| ID do evento e log | Description |
|---|---|
| 104 ProtectedUser-Client |
Motivo: o pacote de segurança no cliente não contém as credenciais. O erro é registrado em log no computador cliente quando a conta faz parte do grupo de segurança Usuários Protegidos. Esse evento indica que o pacote de segurança não armazena em cache as credenciais necessárias para autenticar no servidor. Exibe os nomes do pacote, usuário, domínio e servidor. |
| 304 ProtectedUser-Client |
Motivo: O pacote de segurança não armazena as credenciais do usuário protegido. Um evento informativo é registrado no cliente para indicar que o pacote de segurança não armazena em cache as credenciais de entrada do usuário. Espera-se que Digest (WDigest), Credential Delegation (CredSSP) e NTLM não tenham credenciais de logon para membros de Usuários Protegidos. Os aplicativos ainda podem ter sucesso se solicitarem as credenciais. Exibe os nomes do pacote, usuário e domínio. |
| 100 ProtectedUserFailures-DomainController |
Motivo: ocorre uma falha de login NTLM para uma conta no grupo de segurança Usuários protegidos. Um erro é registrado no log no controlador de domínio para indicar que a autenticação NTLM falhou porque a conta era membro do grupo de segurança Usuários Protegidos. Exibe os nomes da conta e do dispositivo. |
| 104 ProtectedUserFailures-DomainController |
Motivo: os tipos de criptografia DES ou RC4 são usados para autenticação Kerberos e ocorre uma falha de login para um usuário no grupo de segurança Usuários protegidos. Falha na pré-autenticação 'Kerberos' porque os tipos de criptografia DES e RC4 não podem ser usados quando a conta é membro do grupo de segurança Usuários Protegidos. (AES é aceitável.) |
| 303 ProtectedUserSuccesses-DomainController |
Motivo: um TGT Kerberos foi emitido com êxito para um membro do grupo Usuários Protegidos. |