Che cos'è un gruppo di utenti protetti?
Il gruppo Utenti protetti è un gruppo di sicurezza globale che migliora la sicurezza degli account con privilegi impedendo l'esposizione delle credenziali all'interno della rete dell'organizzazione. Il rischio di esposizione delle credenziali viene ridotto al minimo limitando l'appartenenza a questo gruppo e proteggendolo in modo proattivo con criteri efficaci per impostazione predefinita. Ciò significa che, per impostazione predefinita, ai membri di questo gruppo è applicata una protezione non configurabile ai propri account. Un gruppo di utenti protetti può essere utilizzato per limitare la delega agli account utente sensibili, l'utilizzo di algoritmi di crittografia deboli e protocolli di autenticazione obsoleti.
Requisiti di sistema per l'utilizzo dei gruppi di utenti protetti
Microsoft fornisce il supporto per i gruppi di utenti protetti nei computer client che eseguono Windows 8.1 o versioni successive e il controller di dominio primario (PDC) che esegue almeno Windows Server 2012 R2.
I controller di dominio che eseguono un sistema operativo precedente a Windows Server 2012 R2 possono supportare l'aggiunta di membri al nuovo gruppo di sicurezza Utente protetto. Trasferendo il ruolo dell'emulatore del controller di dominio primario (PDC) a un controller di dominio in esecuzione su Windows Server 2012 R2, è possibile creare gruppi di utenti protetti. Dopo che l'oggetto gruppo è stato replicato in altri controller di dominio, il ruolo dell'emulatore PDC può essere ospitato in un controller di dominio che esegue una versione precedente di Windows Server.
Funzionamento dei gruppi di utenti protetti
Quando un membro di un gruppo di utenti protetti accede a un server Windows, viene applicato un set di protezioni per migliorare il comportamento di sicurezza. Queste possono essere classificate come protezioni del dispositivo e del controller di dominio:
Protezioni dei controller di dominio
Le azioni seguenti non possono essere eseguite dai membri del gruppo Utenti protetti che eseguono l'autenticazione in un dominio Windows Server 2012 R2:
- Autenticazione NTLM.
- Crittografia DES o RC4 nella preautenticazione Kerberos.
- Rinnovo dei TGT Kerberos oltre la durata iniziale di quattro ore.
- Ottenimento della delega utilizzando metodi di delega non vincolati o vincolati.
Protezioni dei dispositivi
Le seguenti protezioni del dispositivo sono attive quando l'utente che ha eseguito l'accesso è un membro di un gruppo di utenti protetti:
- La memorizzazione nella cache delle credenziali dell'utente non è consentita. NTLM, CredSSP e Windows Digest non memorizzano nella cache le credenziali di testo normale dell'utente o la funzione NT unidirezionale (NTOWF)
- Dopo l'acquisizione del TGT iniziale, Kerberos non memorizza nella cache le password in testo normale o le chiavi a lungo termine dell'utente. Anche la creazione di chiavi RC4 e DES è limitata.
- L'accesso offline non è supportato perché non viene creato un verificatore memorizzato nella cache all'accesso o allo sblocco.
Gli account del servizio e i computer non devono essere resi membri di gruppi di utenti protetti. Poiché la password o il certificato è disponibile nell'host, l'autenticazione avrà esito negativo con un errore "nome utente o password non corretti".
Semplifica il controllo e la creazione di report LDAP con ADAudit Plus.
Monitoraggio dei gruppi di utenti protetti con ADAudit Plus
I gruppi di Active Directory consentono di classificare gli utenti in base alle autorizzazioni di sicurezza e agli accessi loro assegnati. Eventuali modifiche non autorizzate ai gruppi potrebbero comportare la perdita dell'accesso alle informazioni essenziali o l'accesso a informazioni sensibili da parte di utenti malintenzionati. Pertanto, è importante tenere traccia delle modifiche apportate ai gruppi. ADAudit Plus semplifica il monitoraggio dei gruppi di utenti protetti offrendo report predefiniti di gestione dei gruppi insieme a una rappresentazione grafica intuitiva degli stessi per facilitarne la comprensione.
Passaggi per tenere traccia delle modifiche apportate ai gruppi di utenti protetti
Una volta installato, ADAudit Plus configura automaticamente i criteri di controllo necessari per Active Directory. Per abilitare la configurazione automatica:
accedi alla console web ADAudit Plus → Domain Settings → Audit Policy: Configure.
Le modifiche nei gruppi di utenti protetti possono essere identificate seguendo i passaggi indicati di seguito:
- Accedi ad ADAudit Plus.
- Seleziona il Dominio richiesto dal menu a discesa
- Vai alla scheda Report.
- Passa a Group Management.
- Seleziona il report desiderato tra quelli elencati in Group Management.
Di seguito sono riportati alcuni dei report che possono essere utili per monitorare le modifiche apportate ai gruppi di utenti protetti:
Gruppi di sicurezza creati di recente:
Questo report fornisce un elenco dei gruppi di sicurezza che sono stati creati di recente insieme al nome utente del chiamante, all'ora di creazione del gruppo, all'ambito del gruppo e ad altre informazioni.
Gruppi di sicurezza eliminati di recente:
Nel report vengono visualizzati i gruppi eliminati di recente.
Membri aggiunti di recente ai gruppi di sicurezza:
In questo report è possibile trovare un elenco di tutti i nuovi membri che sono stati aggiunti ai gruppi di sicurezza. Fornisce inoltre informazioni sull'utente che ha aggiunto i membri, a quale gruppo e nomi dei controller di dominio.
Gruppi modificati di recente:
Questo report elenca tutti i gruppi che sono stati modificati di recente insieme a una descrizione dettagliata della modifica apportata.
Informazioni su ADAudit Plus
ADAudit Plus è un software di segnalazione delle modifiche Windows Active Directory (AD) basato sul web in tempo reale che controlla, segnala e avvisa su Active Directory, server e workstation Windows e dispositivi di archiviazione NAS per soddisfare le esigenze di sicurezza e i requisiti di conformità. In totale, la soluzione dispone di oltre 200 report e avvisi in tempo reale per mantenere sicuro l'ambiente di rete. Per saperne di più, visita https://www.manageengine.com/active-directory-audit/