Wat is een beschermde gebruikersgroep?
De beschermde gebruikersgroep is een wereldwijde beschermingsgroep die de bescherming van bevoegde accounts verbetert door te voorkomen dat referenties binnen het netwerk van de organisatie worden blootgesteld. Het risico op blootstelling aan referenties wordt geminimaliseerd door het lidmaatschap in deze groep te beperken en dit standaard proactief te beveiligen met effectief beleid. Dit betekent dat leden van deze groep standaard niet-configureerbare bescherming hebben toegepast op hun accounts. Een beschermende gebruikersgroep kan worden gebruikt om delegatie naar gevoelige gebruikersaccounts, het gebruik van zwakke versleutelingsalgoritmen en verouderde verificatieprotocollen te beperken.
Systeemvereisten voor het gebruik van beschermde gebruikersgroepen
Microsoft biedt ondersteuning voor beschermde gebruikersgroepen op cliëntcomputers met Windows 8.1 of hoger en Primary Domain Controller (PDC) met minimaal Windows Server 2012 R2.
Domeincontrollers waarop een besturingssysteem wordt uitgevoerd dat ouder is dan Windows Server 2012 R2, kunnen ondersteuning bieden voor het toevoegen van leden aan de nieuwe beschermingsgroep met beschermde gebruikers. Door de rol van Primary Domain Controller (PDC)-emulator over te dragen naar een domeincontroller die wordt uitgevoerd op Windows Server 2012 R2, kunnen beschermde gebruikersgroepen worden gemaakt. Zodra het groepsobject is gerepliceerd naar andere domeincontrollers, kan de PDC-emulatorrol worden gehost op een domeincontroller waarop een eerdere versie van Windows Server wordt uitgevoerd.
Werking van beschermde gebruikersgroepen
Wanneer een lid van een beschermde gebruikersgroep zich aanmeldt bij een Windows server, wordt een set beveiligingsmaatregelen toegepast om de beveiligingshouding te verbeteren. Deze kunnen worden geclassificeerd als beschermingen van apparaten en domeincontrollers:
Beschermingen van domeincontrollers
De volgende acties kunnen niet worden uitgevoerd door leden van de beschermde gebruikersgroep die zich verifiëren bij een Windows Server 2012 R2-domein:
- NTLM-verificatie.
- DES- of RC4-versleuteling in Kerberos vóór verificatie.
- Vernieuw de Kerberos TGT's na de initiële levensduur van vier uur.
- Word gedelegeerd met behulp van onbeperkte of beperkte delegatiemethoden.
Beschermingen van apparaten
De volgende beschermingen van apparaten zijn van kracht wanneer de aangemelde gebruiker lid is van een beschermde gebruikersgroep:
- Het cachen van de aanmeldingsgegevens van de gebruiker is niet toegestaan. NTLM, CredSSP en Windows Digest zullen de referenties van de gebruiker in platte tekst of NT One-Way Function (NTOWF) niet in de cache opslaan
- Nadat de eerste TGT is verkregen, worden de wachtwoorden van de gebruiker in platte tekst of langetermijnsleutels niet in de cache opgeslagen. Het maken van RC4- en DES-sleutels is ook beperkt.
- Offline aanmelden wordt niet ondersteund, omdat er geen verificatie in de cache wordt gemaakt bij het aanmelden of ontgrendelen.
Serviceaccounts en computers mogen geen lid worden van beschermde gebruikersgroepen. Aangezien het wachtwoord of certificaat beschikbaar is op de host, mislukt de verificatie met de foutmelding "gebruikersnaam of wachtwoord is onjuist".
Vereenvoudig audits en rapportage van gebruikersgroepen met ADAudit Plus.
Beveiligde gebruikersgroepen bewaken met ADAudit Plus
Active Directory-groepen helpen bij het categoriseren van gebruikers op basis van de beveiligingsmachtigingen en -toegangen die aan hen zijn toegewezen. Ongeoorloofde wijzigingen in groepen kunnen leiden tot verlies van toegang tot essentiële informatie of kwaadwillende gebruikers die toegang krijgen tot gevoelige informatie. Daarom is het belangrijk om wijzigingen in groepen bij te houden. ADAudit Plus vereenvoudigt het bewaken van beschermde gebruikersgroepen door vooraf gedefinieerde groepsbeheerrapporten aan te bieden, samen met een intuïtieve grafische weergave ervan voor een beter begrip.
Stappen om wijzigingen in beschermde gebruikersgroepen bij te houden
Zodra ADAudit Plus is geïnstalleerd, wordt het controlebeleid dat nodig is voor Active Directory Audit automatisch geconfigureerd. Automatische configuratie inschakelen:
Meld u aan bij de ADAudit Plus webconsole → Domeininstellingen → Controlebeleid: Configureren.
Wijzigingen in beschermde gebruikersgroepen kunnen worden geïdentificeerd door de onderstaande stappen te volgen:
- Meld u aan op ADAudit Plus.
- Selecteer het gewenste Domein in de vervolgkeuzelijst.
- Ga naar het tabblad Rapporten.
- Navigeer naar Groepsbeheer.
- Selecteer het gewenste rapport uit de rapporten die worden vermeld onder Groepsbeheer.
Hieronder volgen enkele van de rapporten die kunnen helpen bij het controleren van wijzigingen die zijn aangebracht in beschermde gebruikersgroepen:
Recent gemaakte beschermingsgroepen:
Dit rapport bevat een lijst met beschermingsgroepen die onlangs zijn gemaakt, samen met de gebruikersnaam van de aanroeper, de tijd van het maken van de groep, het bereik van de groep en andere informatie.
Recent verwijderde beschermingsgroepen:
In het rapport worden de groepen weergegeven die onlangs zijn verwijderd.
Recent toegevoegde leden aan beschermingsgroepen:
Een lijst van alle nieuwe leden die aan de beschermingsgroepen zijn toegevoegd, is te vinden in dit rapport. Het geeft ook informatie over de gebruiker die de leden heeft toegevoegd, aan welke groep en namen van domeincontrollers.
Recent gewijzigde groepen:
Dit rapport bevat alle groepen die onlangs zijn gewijzigd, samen met een gedetailleerde beschrijving van de wijziging die is aangebracht.
Over ADAudit Plus
ADAudit Plus is realtime, webgebaseerde Windows Active Directory (AD)-software voor het rapporteren van wijzigingen die audits uitvoert, rapporteert en waarschuwt op Active Directory, Windows-servers en -werkstations en NAS-opslagapparaten om te voldoen aan beschermings- en nalevingsvereisten. In totaal heeft de oplossing 200+ rapporten en real-time alerts om uw netwerkomgeving te beschermen. Ga voor meer informatie naar https://www.manageengine.com/active-directory-audit/
