Gruppo di sicurezza Utenti protetti
Utenti protetti è un gruppo di sicurezza globale per Active Directory (AD) progettato per la protezione dagli attacchi di furto di credenziali. Il gruppo attiva la protezione non configurabile nei dispositivi e nei computer host per impedire che le credenziali vengano memorizzate nella cache quando i membri del gruppo accedono.
Prerequisiti
Il sistema deve soddisfare i prerequisiti seguenti prima di poter distribuire un gruppo Utenti protetti:
Negli host, deve essere in esecuzione uno dei sistemi operativi seguenti:
- Windows 8.1 o versioni successive
- Windows Server 2012 R2 o versione successiva con gli aggiornamenti della sicurezza più recenti installati
Il livello di funzionalità del dominio deve essere impostato su Windows Server 2012 R2 o versione successiva. Per maggiori informazioni sui livelli di funzionalità, consultare la sezione Livelli di funzionalità della foresta e del dominio.
Nota
L'amministratore di dominio predefinito, S-1-5-<domain>-500
, è sempre esente dai criteri di autenticazione, anche quando sono assegnati a un silo di criteri di autenticazione. Per altre informazioni, vedere Come configurare gli account protetti.
- Le appartenenze ai gruppi di sicurezza globali Utenti protetti limitano i membri all'uso solo di Advanced Encryption Standards (AES) per Kerberos. I membri del gruppo Utenti protetti devono essere in grado di eseguire l'autenticazione tramite AES.
Protezioni applicate da Active Directory
Diventare un membro del gruppo Utenti protetti significa che ACTIVE Directory applica automaticamente determinati controlli preconfigurati che gli utenti non potranno modificare a meno che non siano membri del gruppo.
Protezioni dei dispositivi per gli utenti protetti connessi
Quando l'utente che ha eseguito l'accesso è membro del gruppo Utenti protetti, il gruppo fornisce le seguenti protezioni:
La delega delle credenziali (CredSSP) non memorizza nella cache le credenziali in testo normale dell'utente anche quando l'utente abilita l'impostazione dei criteri di gruppo Consenti delega credenziali predefinite.
Per Windows 8.1 e versioni successive e Windows Server 2012 R2 e versioni successive, Digest di Windows non memorizza nella cache le credenziali in testo non crittografato dell'utente anche quando è stato abilitato Windows Digest.
NTLM interrompe la memorizzazione nella cache delle credenziali in testo non crittografato dell'utente o della funzione unidirezionale NT (NTOWF).
Kerberos interrompe la creazione di chiavi DES (Data Encryption Standard) o RC4. Kerberos non memorizza nella cache anche le credenziali di testo non crittografato o le chiavi a lungo termine dell'utente dopo l'acquisizione del ticket di concessione ticket iniziale (TGT).
Il sistema non crea un verificatore memorizzato nella cache all'accesso o allo sblocco dell'utente, quindi i sistemi membri non supportano più l'accesso offline.
Dopo aver aggiunto un nuovo account utente al gruppo Utenti protetti, queste protezioni verranno attivate quando il nuovo utente protetto accede al proprio dispositivo.
Protezioni dei controller di dominio per gli utenti protetti
Gli account utente protetti che eseguono l'autenticazione in un dominio che esegue Windows Server 2012 R2 o versione successiva non sono in grado di eseguire le operazioni seguenti:
Usare l'autenticazione NTLM.
Usare i tipi di crittografia DES o RC4 nella preautenticazione Kerberos.
Usare delega vincolata o non vincolata.
Rinnovare i ticket di concessione ticket di Kerberos oltre la durata iniziale di quattro ore.
Al gruppo di tenti protetti si applicano le impostazioni non configurabili relative alla scadenza dei ticket di concessione ticket vengono stabilite per ciascun account membro. In genere, il controller di dominio imposta la durata e il rinnovo TGT in base ai due criteri di dominio seguenti:
- Durata massima ticket utente
- Durata massima rinnovo ticket utente
Per i membri utenti protetti, il gruppo imposta automaticamente questi limiti di durata su 600 minuti. L'utente non può modificare questo limite a meno che non lasci il gruppo.
Funzionamento del gruppo Utenti protetti
È possibile aggiungere utenti al gruppo Utenti protetti usando i metodi seguenti:
- Strumenti dell'interfaccia utente, ad esempio Active Directory Administrative Center (ADAC) o Utenti e computer di Active Directory.
- Strumento da riga di comando, ad esempio PowerShell.
- Con PowerShell, usando il cmdlet Add-ADGroupMember .
Importante
Non aggiungere mai account per servizi e computer al gruppo Utenti protetti. Per questi account, l'appartenenza non fornisce protezioni locali perché la password o il certificato è sempre disponibile nell'host.
Non aggiungere account già membri di gruppi con privilegi elevati, ad esempio i gruppi di Admin Enterprise o Admin dominio, fino a quando non sarà possibile garantire l'aggiunta di tali gruppi non avrà conseguenze negative. Gli utenti con privilegi elevati negli utenti protetti sono soggetti alle stesse limitazioni e restrizioni degli utenti normali e non è possibile aggirare o modificare tali impostazioni. Se si aggiungono tutti i membri di tali gruppi al gruppo Utenti protetti, è possibile bloccare accidentalmente gli account. È importante testare il sistema per assicurarsi che le modifiche alle impostazioni obbligatorie non interferiscano con l'accesso all'account per questi gruppi di utenti con privilegi.
I membri del gruppo Utenti protetti possono solo eseguire l'autenticazione tramite Kerberos con crittografia AES (Advanced Encryption Standards). Questo metodo richiede le chiavi AES per l'account in Active Directory. L'amministratore predefinito non dispone di una chiave AES, a meno che non venga modificata la password per il dominio che esegue Windows Server 2008 o versioni successive. Qualsiasi account con la password modificata da un controller di dominio che esegue una versione precedente di Windows Server non è bloccato dall'autenticazione.
Per evitare blocchi e chiavi AES mancanti, è consigliabile seguire queste linee guida:
Non eseguire test nei domini a meno che tutti i controller di dominio non eseguano Windows Server 2008 o versione successiva.
Se è stata eseguita la migrazione di account da altri domini, è necessario reimpostare la password in modo che gli account abbiano hash AES. In caso contrario, questi account diventano in grado di eseguire l'autenticazione.
Gli utenti devono modificare le password dopo il passaggio al livello di funzionalità del dominio di Windows Server 2008 o versione successiva. In questo modo, gli hash delle password AES vengono visualizzati quando diventano membri del gruppo Utenti protetti.
Aggiunta di un gruppo di sicurezza globale Utente protetto ai domini di livello inferiore
I controller di dominio che eseguono un sistema operativo precedente a Windows Server 2012 R2 supportano l'aggiunta di membri al nuovo gruppo di sicurezza Utenti protetti. In questo modo, questi membri possono trarre vantaggio dalle protezioni dei dispositivi prima di aggiornare il dominio.
Nota
I controller di dominio che eseguono versioni precedenti di Windows Server 2012 R2 non supportano le protezioni di dominio.
Per creare un gruppo Utenti protetti in un controller di dominio che esegue una versione precedente di Windows Server:
Trasferire il ruolo dell'emulatore PDC in un controller di dominio che esegue Windows Server 2012 R2.
Replicare l'oggetto gruppo negli altri controller di dominio.
Successivamente, gli utenti possono trarre vantaggio dalle protezioni dei dispositivi prima di aggiornare il dominio.
Proprietà Active Directory del gruppo Utenti protetti
La seguente tabella specifica le proprietà Active Directory del gruppo Utenti protetti.
Attributo | Valore |
---|---|
SID/RID noto | S-1-5-21-<domain>-525 |
Tipo | Dominio globale |
Contenitore predefinito | CN=Users, DC=<domain>, DC= |
Membri predefiniti | Nessuno |
Membro predefinito di | Nessuno |
Protetto da ADMINSDHOLDER? | No |
È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
Diritti utente predefiniti | Nessun diritto utente predefinito |
Registri eventi
Sono disponibili due registri amministrativi per la risoluzione dei problemi relativi agli eventi correlati a Utenti protetti. Questi nuovi registri si trovano nel Visualizzatore eventi e sono disabilitati per impostazione predefinita. Sono disponibili nel percorso Registri applicazioni e servizi\Microsoft\Windows\Microsoft\Autenticazione.
Per abilitare l'acquisizione di questi log:
Fare clic con il pulsante destro del mouse su Start, quindi selezionare Visualizzatore eventi.
Aprire Registri applicazioni e servizi\Microsoft\Windows\Authentication.
Per ogni log che si desidera abilitare, fare clic con il pulsante destro del mouse sul nome del log, quindi scegliere Abilita log.
ID e registro eventi | Descrizione |
---|---|
104 ProtectedUser-Client |
Motivo: il pacchetto di protezione nel client non contiene le credenziali. L'errore viene registrato nel computer client quando l'account è membro del gruppo di sicurezza Utenti protetti. Questo evento indica che il gruppo di sicurezza non memorizza nella cache le credenziali necessarie per l'autenticazione al server. Visualizza il nome del pacchetto, il nome utente, il nome di dominio e il nome server. |
304 ProtectedUser-Client |
Motivo: il pacchetto di protezione non archivia le credenziali degli utenti protetti. Un evento informativo viene registrato nel client per indicare che il pacchetto di protezione non memorizza nella cache le credenziali di accesso dell'utente. È previsto che il digest (WDigest), la delega delle credenziali (CredSSP) e NTLM non riescano ad avere credenziali di accesso per Utenti protetti. Tuttavia, le applicazioni possono riuscire se fanno richiesta delle credenziali. Visualizza il nome del pacchetto, il nome utente e il nome di dominio. |
100 ProtectedUserFailures-DomainController |
Motivo: si verifica un errore di accesso NTLM per un account incluso nel gruppo di sicurezza Utenti protetti. Viene registrato un errore nel controller di dominio per indicare che l'autenticazione NTLM non è riuscita a causa dell'appartenenza dell'account al gruppo di sicurezza Utenti protetti. Visualizza il nome dell'account e il nome del dispositivo. |
104 ProtectedUserFailures-DomainController |
Motivo: per l'autenticazione Kerberos viene usato il tipo di crittografia DES o RC4 e si verifica un errore di accesso per un utente nel gruppo di sicurezza Utenti protetti. La preautenticazione Kerberos non riesce perché i tipi di crittografia DES e RC4 non possono essere usati quando l'account è membro del gruppo di sicurezza Utenti protetti. (AES viene accettato). |
303 ProtectedUserSuccesses-DomainController |
Motivo: un ticket di concessione ticket (TGT) di Kerberos è stato emesso correttamente per un membro del gruppo Utenti protetti. |