sábado, 16 de noviembre de 2019

Protected Users Security Group

Microsoft dispone de un grupo de seguridad denominado Protected Users Security Group o Usuarios Protegidos, los usuarios de este grupo No tienen permitido utilizar de protocolos para la gestión de credenciales, sensibles de ser atacados. Está disponible para equipos con Windows Server 2012R2, Windows 8.1 y versiones posteriores del sistema operativo con controladores de dominio Windows Server 2012R2.

Los usuarios protegidos por la pertenencia a este grupo tienen las siguientes restricciones:
  • El dominio debe admitir el cifrado Advanced Encryption Standard AES. Kerberos no usará los tipos de cifrado Data Encryption Standard DES o RC4. Tampoco admite delegación restringida o sin restricciones de Kerberos. 
  • No está permitida la autenticación con NTLM, Digest authentication o Credential Security Support Provider CredSSP. 
  • Las contraseñas no se almacenan en caché, por lo que los dispositivos que utilizan uno de estos proveedores de soporte de seguridad SSP, no podrán autenticarse en un dominio. 
  • El valor vida útil de los tickets de Kerberos TGTs, por defecto de cuatro horas, se puede configurar utilizando Políticas de autenticación y Silos.

Step by Step Protected Users Security Group
La configuración de esta característica de seguridad es muy sencilla dentro de Active Directory, seleccionamos el Centro Administrativo del Directorio Activo..


En el contenedor de Usuarios buscamos el grupo de seguridad Usuarios Protegidos...


Y añadimos los usuarios que no deseamos que utilicen protocolos de manejo de credenciales potencialmente inseguros...


Las propiedades de Protected Users Security Group se pueden apreciar en la imagen...


Y los registros generados por el grupo de seguridad de usuarios protegidos se muestran a continuación...


Está disponible más información sobre Protected Users Security Group y la configuración de medidas de protección para cuentas de usuario en los siguientes enlaces:

Si estáis interesados en saber cómo mejorar la protección de infraestructuras basadas en tecnología de Microsoft apuntaros a nuestro curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016. Editorial 0xWord

Seguridad a lo Jabalí para Todos!!

No hay comentarios:

Publicar un comentario

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias