lunes, 27 de abril de 2026

WINDOWS. AD. Special group Protected Users

 

Propósito:

El objetivo de este post es añadir un nuevo nivel de seguridad a cuentas privilegiadas, para ello haremos uso del grupo del AD:  Protected Users

Pasos

Los beneficios son una reducción drástica de exposición de credenciales al añadir una cuenta a Protected Users tales como:

* NTLM deshabilitado → elimina: Pass-the-Hash clásico, credenciales reutilizable y ataques en redes legacy

* Kerberos endurecido: Solo cifrado fuerte (AES), Tickets con vida corta y nada de RC4

*No hay cacheo de credenciales:  No quedan hash reutilizables en workstations, ,enos valor post-compromiso

* Delegación Kerberos prohibida, evita ataques “relay” y abuso de servicios. Protege movimientos laterales silenciosos

Desde una perspectiva más técnica.

Al añadir un Domain Admin a Protected Users, el impacto vendria a ser

  • Autenticación: NTLM deja de funcionar
  • Legacy systems: Pueden dejar de aceptar login
  • Aplicaciones antiguas: Fallos silenciosos
  • Scripts antiguos: Dejan de autenticar
  • Delegación: Bloqueada completamente
  • Se rompen cosas, si existen dependencias legacy.

Problemas habituales 

Problema 1: entornos híbridos/legacy.Muy común que en  Appliances, NAS antiguos, Impresoras, Software industrial,  aplicaciones que solo hablan NTLM, esos sistemas no saben Kerberos moderno, el admin no puede autenticarse.

Problema 2: cuentas de servicio mal diseñadas, Protected Users está pensado para humanos, no para automatización.

Microsoft NO lo activa por defecto por retrocompatibilidad con Active Directory que vive en mundos donde hay Windows 2008 aún, hay NTLM o hay software que no pueden romper

Microsoft asume correctamente que Protected Users es para organizaciones que saben exactamente lo que están haciendo.



Cuando lo probé el uso de este grupo en mi entorno del AD, lo hice con unos cuantos usuarios de test tier0 y tier1. Al rato me di cuenta que los tier0 (administradores de dominio) no podían sincronizar el AD, supongo porque no lo tengo todo lo actualizado que se necesita, con lo que los tuve que sacar y dejar solo los Tier1.


C:\> repadmin /syncall /AdeP

Sincronizando todos los NC guardados en dc01.

Sincronizando partición: DC=ForestDnsZones,DC=MiDominio,DC=com

MENSAJE DE DEVOLUCIÓN DE LLAMADA: Error al establecer contacto con el servidor CN=NTDS Settings,CN=DC1,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=MiDominio,DC=com (error de red): 5 (0x5):

    Acceso denegado.

MENSAJE DE DEVOLUCIÓN DE LLAMADA: Error al establecer contacto con el servidor CN=NTDS Settings,CN=SE-DC3,CN=Servers,CN=Azure-DC,CN=Sites,CN=Configuration,DC=MiDominio,DC=com (error de red): 5 (0x5):

    Acceso denegado.

MENSAJE DE DEVOLUCIÓN DE LLAMADA: Error al establecer contacto con el servidor CN=NTDS Settings,CN=dC3,CN=Servers,CN=CLOUDC,CN=Sites,CN=Configuration,DC=MiDominio,DC=com (error de red): 5 (0x5):

    Acceso denegado.

MENSAJE DE DEVOLUCIÓN DE LLAMADA: Error al establecer contacto con el servidor CN=NTDS Settings,CN=dC4,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=MiDominio,DC=com (error de red): 5 (0x5):

    Acceso denegado.

SyncAll se finalizó con error grave de Win32: 8440 (0x20f8):

    El contexto del nombre especificado en la operación de replicación no es válido.

by GoN | Published: April 2026 | Last Updated:

Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)