Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Usando o grupo de usuários protegidos contra ameaças

Usando o grupo de usuários protegidos contra ameaças

Feb 20, 2015

A Microsoft introduziu o grupo Protected Users no Windows Server 2012 R2 e Windows 8.1, e foi projetado para reforçar as contas que são membros do grupo, em particular para proteger contra pass-the-hash attacks desativando o uso do NT LAN Manager (NTLM), um protocolo de autenticação legado que ainda está presente no Windows para compatibilidade com versões anteriores.

As proteções adicionais são fornecidas apenas quando os usuários fazem login no Windows Server 2012 R2 ou Windows 8.1, e a lista completa de defesas exige que o nível funcional do domínio seja definido para Windows Server 2012 R2 (ou superior).

Protected Users é principalmente destinado ao uso com contas de administrador de domínio e empresa, que são particularmente suscetíveis a ataques, pois quando comprometidas fornecem acesso irrestrito aos sistemas. Isso não quer dizer que outras contas de usuário, que possam ser consideradas um alvo, não possam ser adicionadas a Protected Users. Mas devido às rigorosas restrições impostas aos membros de Protected Users, é essencial realizar testes minuciosos antes.

Não existem soluções alternativas para as restrições, portanto, é prudente garantir que, se você pretende adicionar contas altamente privilegiadas, como administradores de domínio e empresariais, que pelo menos uma que não seja usada para tarefas regulares de administração, seja deixada fora do grupo.

As seguintes proteções estão ativadas para membros do grupo Protected Users ao fazer login de um dispositivo compatível:

  • As credenciais em cache estão bloqueadas. Um controlador de domínio deve estar disponível para autenticar o usuário
  • Chaves Kerberos de longo prazo não podem ser usadas para fazer login
  • As senhas em texto simples não são armazenadas em cache para autenticação Windows Digest ou delegação de credenciais padrão (CredSSP), mesmo quando as políticas relevantes estão ativadas
  • A função unidirecional NTLM (NTOWF) está bloqueada

Se o nível funcional do domínio estiver definido para Windows Server 2012 R2 ou superior, proteções adicionais são habilitadas:

  • Os tickets de concessão de tickets Kerberos (TGT) não podem ser renovados por um período superior a 4 horas de tempo de vida útil (TTL)
  • NTLM está bloqueado
  • O Data Encryption Standard (DES) e o RC4 não podem ser usados para pré-autenticação Kerberos
  • Delegação restrita e irrestrita está bloqueada

Quando DES e RC4 estão bloqueados, todos os controladores de domínio (DC) devem estar executando o Windows Server 2008 (ou posterior), e antes de adicionar usuários aos Usuários Protegidos, suas senhas devem ser alteradas em um DC do Windows Server 2008 para que as chaves AES sejam armazenadas no Active Directory.

Não consigo ver o grupo de Protected Users no meu domínio

Se você não tem o grupo de Protected Users no seu domínio, precisará garantir que haja pelo menos um DC do Windows Server 2012 R2 e transferir o papel de Emulador do Controlador de Domínio Primário (PDC) da Operação de Mestre Único Flexível (FSMO) para um DC do Windows Server 2012 R2. Se necessário, o papel de PDC pode ser transferido de volta para sua localização original.

Para verificar se você possui o grupo Protected Users no seu domínio, faça login no Windows Server 2012 R2 como administrador do domínio:

  • Abra o Gerenciador de Servidores a partir da tela de Start 
  • Selecione Active Directory Users and Computers do menu Ferramentas
  • No painel esquerdo, expanda seu domínio e clique em Usuários.

Se o grupo Protected Users estiver presente no domínio, você deverá vê-lo à direita. Os usuários podem ser adicionados ao grupo Protected Users, assim como seriam adicionados a qualquer grupo do AD. Usando o PowerShell, por exemplo, para adicionar a conta de usuário admin1 :

Add-ADGroupMember –Identity ‘Protected Users’ –Members admin1

Image

Para transferir a função FSMO de emulador PDC para um DC Windows Server 2012 R2, faça login no DC com uma conta de administrador de domínio e abra um prompt do PowerShell usando o ícone na barra de tarefas da área de trabalho. Agora digite o comando abaixo e pressione ENTER, substituindo DC6 pelo nome do DC Windows Server 2012 R2:

Move-AdDirectoryServerOperationMasterRole -Identity DC6 –OperationMasterRole pdcemulator

Se você deseja confirmar a nova ou a localização original do papel FSMO do emulador PDC, execute o comando abaixo, substituindo ad.contoso.com pelo nome do seu AD domain:

Get-AdDomain ad.contoso.com | Format-List pdcemulator

Netwrix Directory Manager

Compartilhar em

Sobre o autor

Author default

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança