Grupo de seguridad de usuarios protegidos

Usuarios protegidos es un grupo de seguridad global para Active Directory (AD) diseñado para ofrecer protección frente a ataques de robo de credenciales. El grupo activa una protección no configurable en dispositivos y equipos host para evitar que las credenciales se almacenen en la memoria caché cuando los miembros del grupo inicien sesión.

Requisitos previos

Para poder implementar un grupo Usuarios protegidos, el sistema debe cumplir los siguientes requisitos previos:

  • Los hosts deben ejecutar uno de los siguientes sistemas operativos:

    • Windows 8.1 o posterior
    • Windows Server 2012 R2 o posterior con las actualizaciones de seguridad más recientes instaladas
  • El nivel funcional del dominio debe ser Windows Server 2012 R2 o superior. Para obtener más información acerca de los niveles funcionales, consulte Niveles funcionales de bosque y dominio.

Nota:

El administrador de dominio integrado, S-1-5-<domain>-500, siempre está exento de las directivas de autenticación, incluso cuando se asignan a un silo de directivas de autenticación. Para obtener más información, consulta Configurar cuentas protegidas.

  • La pertenencia a grupos de seguridad globales Usuarios protegidos restringe a los miembros a usar únicamente estándares de cifrado avanzados (AES) para Kerberos. Los miembros del grupo Usuarios protegidos deben poder autenticarse mediante AES.

Protecciones aplicadas por Active Directory

Al convertirse en miembro del grupo Usuarios protegidos, AD aplica automáticamente determinados controles preconfigurados que los usuarios no podrán cambiar a menos que dejen de ser miembros del grupo.

Protecciones de dispositivos para usuarios protegidos con sesión iniciada

Cuando el usuario que ha iniciado sesión es miembro del grupo Usuarios protegidos, el grupo proporciona las siguientes protecciones:

  • La delegación de credenciales (CredSSP) no almacena en memoria caché las credenciales de texto sin formato del usuario, aunque el usuario habilite la configuración de directiva de grupo Permitir delegación de credenciales predeterminadas.

  • Para Windows 8.1 y versiones posteriores y Windows Server 2012 R2 y versiones posteriores, Windows Digest no almacena en memoria caché las credenciales de texto no cifrado del usuario, aunque este haya habilitado Windows Digest.

  • NTLM deja de almacenar en memoria caché las credenciales de texto no cifrado del usuario o la función unidireccional NT (NTOWF).

  • Kerberos deja de crear claves estándar de cifrado de datos (DES) o RC4. Kerberos tampoco almacena en caché las credenciales de texto no cifrado del usuario ni las claves a largo plazo después de adquirir el vale de concesión de vales (TGT) inicial.

  • El sistema no crea un comprobador almacenado en la memoria caché cuando el usuario inicia sesión o al desbloquear, por lo que los sistemas miembros ya no admiten el inicio de sesión sin conexión.

Después de añadir una cuenta de usuario nueva al grupo Usuarios protegidos, estas protecciones se activarán cuando el nuevo usuario protegido inicie sesión en su dispositivo.

Protecciones de controlador de dominio para usuarios protegidos

Las cuentas de usuario protegidas que se autentican en un dominio que ejecuta Windows Server 2012 R2 o posterior no pueden hacer lo siguiente:

  • Autenticarse mediante la autenticación NTLM.

  • Usar los tipos de cifrado DES o RC4 en la autenticación previa de Kerberos.

  • Delegar mediante una delegación con o sin restricciones.

  • Renovar los TGT de Kerberos una vez transcurridas las cuatro horas de vigencia.

El grupo Usuarios protegidos aplica opciones no configurables a la expiración de los TGT para cada cuenta de miembro individual. Normalmente, el controlador de dominio establece la duración y la renovación de los TGT en función de las dos directivas de dominio siguientes:

  • Vigencia máxima del vale de usuario
  • Vigencia máxima de renovación de vales de usuario

En el caso de los miembros de Usuarios protegidos, el grupo establece automáticamente estos límites de duración en 600 minutos. El usuario no puede cambiar este límite a menos que abandone el grupo.

Cómo funciona el grupo Usuarios protegidos

Puede añadir usuarios al grupo Usuarios protegidos mediante los métodos siguientes:

Importante

  • Nunca añada cuentas de servicios y equipos al grupo Usuarios protegidos. Para estas cuentas, la pertenencia no proporciona protección local porque la contraseña y el certificado siempre están disponibles en el host.

  • No añada cuentas que ya sean miembros de grupos con privilegios elevados, como los grupos Administradores de la empresa o Administradores de dominio, hasta que pueda garantizar que el hecho de añadirlos no acarreará consecuencias negativas. Los usuarios con privilegios elevados del grupo Usuarios protegidos están sujetos a las mismas limitaciones y restricciones que los usuarios normales, y no es posible eludirlas ni modificarlas. Si añade todos los miembros de estos grupos al grupo Usuarios protegidos, es posible que sus cuentas se bloqueen accidentalmente. Es importante probar el sistema para asegurarse de que los cambios de configuración obligatorios no interferirán con el acceso a las cuentas para estos grupos de usuarios con privilegios.

Los miembros del grupo Usuarios protegidos solo pueden autenticarse mediante Kerberos con Estándar de cifrado avanzado (AES). Este método requiere claves de AES para la cuenta en Active Directory. El administrador integrado no dispone de una clave AES a menos que cambie la contraseña del dominio que ejecuta Windows Server 2008 o posterior. Cualquier cuya contraseña sea cambiada por un controlador de dominio que ejecute una versión anterior de Windows Server se bloquea y queda fuera de la autenticación.

Para evitar bloqueos y la falta de claves AES, se recomienda seguir estas instrucciones:

  • No ejecutar pruebas en dominios a menos que todos los controladores de dominio ejecuten Windows Server 2008 o posterior.

  • Si ha migrado cuentas de otros dominios, debe restablecer la contraseña para que las cuentas tengan hash AES. De lo contrario, estas cuentas podrán autenticarse.

  • Los usuarios deben cambiar las contraseñas después de cambiar al nivel funcional de dominio de Windows Server 2008 o posterior. Esto garantiza que tengan hashes de contraseña AES una vez que se conviertan en miembros del grupo Usuarios protegidos.

Adición de un grupo de seguridad global Usuarios protegidos a dominios de nivel inferior

Los controladores de dominio que ejecutan un sistema operativo anterior a Windows Server 2012 R2 pueden admitir la incorporación de miembros al nuevo grupo de seguridad Usuarios protegidos. De este modo, estos miembros pueden beneficiarse de las protecciones de dispositivos antes de actualizar el dominio.

Nota:

Los controladores de dominio que ejecutan versiones anteriores de Windows Server 2012 R2 no admiten protecciones de dominio.

Para crear un grupo usuarios protegidos en un controlador de dominio que ejecute una versión anterior de Windows Server:

  1. Transfiera la función del emulador de PDC a un controlador de dominio que ejecute Windows Server 2012 R2.

  2. Replique el objeto del grupo en los demás controladores de dominio.

Después de esto, los usuarios pueden beneficiarse de las protecciones de dispositivos antes de actualizar el dominio.

Propiedades de AD del grupo Usuarios protegidos

En la siguiente tabla se especifican las propiedades de Active Directory del grupo de usuarios protegidos.

Attribute Valor
SID/RID conocido S-1-5-21-<dominio>-525
Tipo Global de dominio
Contenedor predeterminado CN=Users, DC=<domain>, DC=
Miembros predeterminados None
Miembro predeterminado de None
¿Protegido por ADMINSDHOLDER? No
¿Es seguro sacarlo del contenedor predeterminado?
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? No
Derechos de usuario predeterminados No hay derechos de usuario predeterminados

Registros de eventos

Existen dos registros administrativos funcionales que son de ayuda a la hora de resolver problemas de eventos relacionados con el grupo de usuarios protegidos. Estos dos nuevos registros se ubican en el Visor de eventos y están deshabilitados de forma predeterminada. Los encontrarás en Registros de aplicaciones y servicios\Microsoft\Windows\Authentication.

Para habilitar la captura de estos registros:

  1. Haga clic con el botón derecho del ratón en Inicio y, a continuación, seleccione Visor de eventos.

  2. Abra Registros de aplicaciones y servicios\Microsoft\Windows\Autenticación.

  3. Para cada registro que quiera habilitar, haga clic con el botón derecho del ratón en el nombre del registro y seleccione Habilitar registro.

Identificador de evento y registro Descripción
104

ProtectedUser-Client

Motivo: el paquete de seguridad en el cliente no contiene las credenciales.
El error se registra en el equipo cliente cuando la cuenta es miembro del grupo de seguridad de usuarios protegidos. Este evento pone de manifiesto que el paquete de seguridad no almacena en caché las credenciales necesarias para autenticarse en el servidor.

Incluye el nombre del paquete, el nombre de usuario, el nombre del dominio y el nombre del servidor.

304

ProtectedUser-Client

Motivo: el paquete de seguridad no almacena las credenciales del grupo de usuarios protegidos.
Se registra un evento de carácter informativo en el cliente para indicar que el paquete de seguridad no almacena en caché las credenciales de inicio de sesión del usuario. Se espera que la autenticación implícita (WDigest), la delegación de credenciales (CredSSP) y NTLM no puedan tener credenciales para los usuarios protegidos. Las aplicaciones se pueden autenticar correctamente si solicitan credenciales.

Incluye el nombre del paquete, el nombre de usuario y el nombre del dominio.

100

ProtectedUserFailures-DomainController

Motivo: se produce un error de inicio de sesión de NTLM en el caso de las cuentas que forman parte del grupo de seguridad de usuarios protegidos.
Se registra un error en el controlador de dominio para señalar que la autenticación NTLM no se ha podido llevar a cabo porque la cuenta es miembro del grupo de seguridad de usuarios protegidos.

Incluye el nombre de cuenta y el nombre de dispositivo.

104

ProtectedUserFailures-DomainController

Motivo: los tipos de cifrado DES o RC4 se usan en la autenticación Kerberos y un usuario del grupo de seguridad de usuarios protegidos no puede iniciar sesión.
La autenticación previa de Kerberos no puede realizarse porque los tipos de cifrado DES y RC4 no se pueden usar cuando la cuenta es miembro del grupo de seguridad de usuarios protegidos.

(Se acepta AES.)

303

ProtectedUserSuccesses-DomainController

Motivo: se ha emitido correctamente un vale de concesión de vales de Kerberos para un miembro del grupo de usuarios protegidos.

Recursos adicionales