Exportar (0) Imprimir
Expandir Tudo

Novidades na autenticação Kerberos

Publicado: fevereiro de 2012

Atualizado: fevereiro de 2013

Aplica-se a: Windows 8, Windows Server 2012

Este tópico para profissionais de TI descreve os novos recursos e aprimoramentos para implementação Windows do protocolo de autenticação Kerberos do Windows Server 2012 e do Windows 8.

Os sistemas operacionais Windows Server implementam o protocolo de autenticação Kerberos versão 5 e as extensões de chave pública e autenticação baseada em senha. O cliente de autenticação Kerberos é implementado como um SSP (provedor de suporte de segurança) e pode ser acessado na interface SSPI. A autenticação de usuário inicial é integrada à arquitetura de logon único do serviço Winlogon. O KDC (Centro de Distribuição de Chaves) do Kerberos está integrado, no controlador de domínio, a outros serviços de segurança do Windows Server. O KDC usa o banco de dados do AD DS (Serviços de Domínio Active Directory) como o banco de dados de contas de segurança. O AD DS é exigido para implementações Kerberos padrão no domínio ou na floresta. No Windows Server 2012 e no Windows 8, a autenticação Kerberos pode ser otimizada para destinar a falta de conectividade para o controlador de domínio externo ao firewall corporativo. Para isso, o procedimento repassa a autenticação Kerberos e as mensagens de alteração de senha para os usuários que estão solicitando acesso via DirectAccess ou Serviços de Área de Trabalho Remota.

Conforme os cenários de logon ficam mais complexos, aumenta a quantidade de informações de autorização contida nas mensagens de autenticação, o que, em alguns casos, leva a uma falha de autenticação. No Windows Server 2012 e no Windows 8, melhorias foram feitas para acomodar esse aumento.

Nos processos de autenticação Kerberos, os dados de autorização são recuperados pelo cliente do controlador de domínio e depois enviados ao recurso. À medida que aumenta a complexidade das organizações, a quantidade de grupos aos quais um usuário pertence pode aumentar significativamente. Quando os usuários são membros de muitos grupos no domínio do recurso, em grupos universais e em grupos associados ao histórico de identificador de segurança, o tamanho dos dados de autorização no tíquete de serviço podem aumentar. A mensagem de autenticação pode exceder o tamanho padrão do buffer de token de contexto que o Kerberos relata aos aplicativos e isso pode causar falhas de autenticação. Além disso, quando os dados de autorização contêm declarações e informações de dispositivos, o tamanho dos dados aumenta.

Qual é o valor agregado desta alteração?

Quando as organizações têm muitos usuários com alta associação de domínio de recurso, essa compactação facilita as implantações. No Windows Server 2012 e no Windows 8, o KDC compacta automaticamente os grupos no domínio de recurso, o que pode reduzir o tamanho do tíquete de serviço e diminuir as falhas de autenticação de aplicativos. Depois que o KDC do Windows Server 2012 executa a compactação, o sistemas operacionais compatíveis Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 8, Windows 7, Windows Vista e Windows XP podem usar o tíquete de serviço Kerberos mais compacto.

O que passou a funcionar de maneira diferente?

A compactação de grupo de recursos do KDC é um recurso padrão da implementação do protocolo Kerberos nos sistema operacionais Windows.

Quando os aplicativos fazem consultas para determinar o tamanho máximo do buffer de token de contexto de autenticação, para que possam pré-alocar memória, eles poderão obter falha de autenticação se o Kerberos ou a mensagem de negociação retornada for maior do que o esperado.

Qual é o valor agregado desta alteração?

O aumento no tamanho padrão desse buffer evita que um número maior de solicitações de autenticação de aplicativo falhe devido a limitações de espaço.

O que passou a funcionar de maneira diferente?

No Windows Server 2012 e no Windows 8, o tamanho padrão do buffer do token de contexto SSPI do Kerberos foi aumentado, recomendando a definição de um valor superior a 48.000 bytes.

A nova configuração de política de modelo administrativo do Kerberos Definir tamanho de buffer máximo do token de contexto SSPI do Kerberos permite definir o valor retornado para aplicativos que solicitam o tamanho máximo do buffer de token de contexto de autenticação. Essa configuração da Política de Grupo substitui a necessidade de configurar manualmente o valor do Registro MaxTokenSize em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.

Qual é o valor agregado desta alteração?

Essa configuração da Política de Grupo permite um controle eficiente do tamanho do buffer de token de contexto para cumprir os requisitos de autenticação dos aplicativos no seu ambiente.

O que passou a funcionar de maneira diferente?

Se você ainda não configurou o valor do Registro MaxTokenSize, considere a aplicação dessa política com uma configuração de 48.000 bytes. O novo aviso de tíquetes Kerberos grandes pode ser usado para determinar se a organização tem ou está na iminência de ter problemas com o aumento de tamanho do buffer de token de contexto de autenticação.

A nova configuração de política de modelo administrativo do KDC Eventos de aviso para tíquetes grandes do Kerberos permite controlar os eventos de aviso do sistema registrados por um KDC quando tíquetes emitidos durante a autenticação Kerberos se aproximam de ou excedem o tamanho de valor limite configurado. Os avisos de tamanho de tíquete correspondem à ID de Evento 31 no log do sistema.

O que passou a funcionar de maneira diferente?

Há, porém, algumas considerações para configurar esse limite de aviso. Se ele for definido com um valor muito alto, os avisos não serão produzidos antes da ocorrência de falhas de autenticação causadas por um tamanho de buffer de token de contexto de autenticação maior do que o esperado. Se for configurado com um valor baixo demais, haverá um aumento de entradas de log e isso dificultará a análise. O tamanho deve ser definido como um dos seguintes:

  • O valor personalizado do Registro MaxTokenSize

  • O tamanho implantado pela configuração de Política de Grupo Definir o valor máximo do buffer de token de contexto SSPI do Kerberos

Se a configuração Eventos de aviso para tíquetes grandes do Kerberos não estiver habilitada, o valor limite estipulará 12.000 bytes, que é a configuração padrão de MaxTokenSize para tíquetes do Kerberos no Windows 7, Windows Server 2008 R2 e em versões anteriores.

Os recursos a seguir foram introduzidos para a autenticação Kerberos no Windows Server 2012 e no Windows 8 para permitir que você crie aplicativos mais robustos.

A Proteção Estendida para Autenticação foi projetada para impedir ataques de retransmissão. Ela usa uma combinação de técnicas de associação de canal e ligação de serviço. A Proteção Estendida foi introduzida no Windows 7 e disponibilizada em alguns sistemas operacionais lançados anteriormente.

A Proteção Estendida se baseia em uma colaboração de tecnologias de cliente e servidor e segue um conjunto específico de regras. Por exemplo, uma regra é que o destino de autenticação, o SPN (Nome da Entidade de Serviço), deve ser intencional mesmo nos casos em que um usuário é atraído pela autenticação. O SPN de destino deve ser derivado da intenção do usuário, e não de alguma origem não confiável.

O que passou a funcionar de maneira diferente?

No Windows Server 2012, InitializeSecurityContext () adiciona suporte para o sinalizador ISC_REQ_UNVERIFIED_TARGET_NAME, para que os aplicativos usem ao fornecerem nomes de destino de uma origem não confiável. Isso possibilita que os serviços configurados com Proteção Estendida processem com segurança a autenticação para uma origem não confiável. Quando os clientes NTLM e Kerberos, que estão tentando a autenticação por meio de um estado de SPN não confiável, declaram isso explicitamente em suas mensagens de autenticação, os serviços permitem ou não a solicitação de autenticação com base na configuração da Proteção Estendida:

  • Desabilitado: permitir

  • Habilitado: não permitir

O SSP do Kerberos agora dá suporte para EncryptMessage/DecryptMessage de aplicativos kernel.

O SSP do Kerberos agora dá suporte para logon de dispositivo via certificado.

No Windows 7, quando o usuário fazia logon usando um cartão inteligente em um grupo mapeado, o grupo era perdido quando o usuário se conectava a recursos fora da filial. Um dispositivo executando o Windows 8 em uma filial usa um controlador de domínio de hub com Windows Server 2012 em execução para obter um TGT (tíquete de concessão de tíquete). O TGT é usado para solicitar tíquetes de serviço para recursos externos à filial. Nenhuma configuração é exigida para usar esse recurso.

Se quiser criar controle de acesso com base em declarações e autenticação composta, você precisará implantar o Controle de Acesso Dinâmico. Isso exige que você se atualize para clientes Kerberos e use o KDC, que dá suporte para esses novos tipos de autenticação. Com o Windows Server 2012, não é preciso esperar até que todos os controladores de domínio e o nível funcional do domínio sejam atualizados para, então, obter as vantagens das novas opções de controle de acesso.

Para saber mais sobre o Controle de Acesso Dinâmico do Windows Server 2012, veja Controle de Acesso Dinâmico: visão geral do cenário e os tópicos relacionados.

Qual é o valor agregado desta alteração?

Você pode criar controle de acesso baseado em declarações e autenticação composta.

O que passou a funcionar de maneira diferente?

A nova configuração de política de modelo administrativo do KDC Suporte KDC para declarações, autenticação composta e proteção Kerberos permite configurar um controlador de domínio para dar suporte a declarações e autenticação composta para Controle de Acesso Dinâmico e proteção Kerberos via autenticação Kerberos. Essa configuração de política é feita na unidade organizacional do controlador de domínio.

Se houver uma configuração aceita (ou superior), os controladores de domínio executando Windows Server 2012, Windows Server 2008 R2 ou Windows Server 2008 divulgarão o suporte do domínio para declarações e autenticação composta para Controle de Acesso Dinâmico e proteção Kerberos. Nenhum controlador de domínio do Windows Server 2003 pode estar presente em um domínio que dê suporte a declarações e autenticação composta para Controle de Acesso Dinâmico e à proteção Kerberos.

Além disso, a configuração de política de modelo administrativo Suporte Kerberos a declarações de cliente, autenticação composta e proteção Kerberos permite configurar dispositivos com Windows 8 em execução para dar suporte a declarações e autenticação composta para Controle de Acesso Dinâmico e proteção Kerberos via autenticação Kerberos. A autenticação de dispositivos executando Windows 8 não terá êxito se eles não puderem encontrar um controlador de domínio com Windows Server 2012 em execução. É importante garantir que há controladores de domínio suficientes com Windows Server 2012 em execução para qualquer conta, indicação e domínios de recurso aceitos.

A tabela a seguir lista as quatro configurações disponíveis em Suporte KDC para declarações, autenticação composta e proteção Kerberos.

 

Configuração Resultados Comportamento do controlador de domínio no Windows Server 2012

Sem suporte (padrão)

Nenhum requisito mínimo para controladores de domínio executando Windows Server 2012

Declarações não fornecidas

Não há suporte para autenticação composta

Não há suporte para proteção Kerberos

Com suporte

Todos os controladores de domínio anunciarão que dão suporte para declarações e autenticação composta para Controle de Acesso Dinâmico e proteção Kerberos

Exige controladores de domínio suficientes com Windows Server 2012 em execução para processar solicitações de autenticação para dispositivos com Windows 8 em execução no domínio

Declarações fornecidas por solicitação

Autenticação composta fornecida por solicitação, quando o recurso dá suporte para isso

Suporte para proteção Kerberos

Sempre fornecer declarações

Todos os controladores de domínio anunciarão que dão suporte para declarações e autenticação composta para Controle de Acesso Dinâmico e proteção Kerberos

Exige nível funcional de domínio do Windows Server 2012

Declarações sempre fornecidas

Autenticação composta fornecida por solicitação, quando o recurso dá suporte para isso

Suporte para proteção Kerberos e comportamento de FAST RFC (Encapsulamento Seguro de Autenticação Flexível)

Falha nas solicitações de autenticação desprotegida

Todos os controladores de domínio anunciarão que dão suporte para declarações e autenticação composta para Controle de Acesso Dinâmico e proteção Kerberos

Exige nível funcional de domínio do Windows Server 2012

Exige que todos os dispositivos com FAST solicitem autenticação

Declarações sempre fornecidas

Autenticação composta fornecida por solicitação, quando o recurso dá suporte para isso

Rejeita mensagens Kerberos desprotegidas e dá suporte ao comportamento RFC FAST (Encapsulamento Seguro de Autenticação Flexível)

As opções Sempre fornecer declarações e Falha nas solicitações de autenticação desprotegida provocam autenticação intermitente ou falhas de controle de acesso quando há controladores de domínio que não executam o Windows Server 2012 no domínio. Portanto, nenhuma dessas opções terá efeito enquanto o domínio não for configurado no nível funcional do Windows Server 2012. Até lá, os controladores de domínio executando Windows Server 2012 se comportarão como se a opção Com Suporte estivesse configurada.

O suporte a declarações e autenticação composta para controle de acesso dinâmico e proteção Kerberos impactará o controlador de domínio porque:

  1. A descoberta segura de recursos de domínio do Kerberos é necessária, resultando em trocas de mensagens adicionais. Os servidores de recursos executando Windows Server 2012 enviam solicitações de transição de protocolo para dispositivos que não pertencem ao Windows 8, resultando em trocas de mensagens adicionais para domínios de contas e domínios de indicações. Essas solicitações saem do site quando nenhum controlador de domínio está disponível no site.

  2. As declarações e a autenticação composta para Controle de Acesso Dinâmico aumentam o tamanho e a complexidade dos dados da mensagem, o que resulta em mais tempo de processamento e aumento no tamanho do tíquete de serviço do Kerberos.

  3. A proteção Kerberos criptografa totalmente as mensagens do Kerberos e sinaliza os erros de Kerberos. O resultado é um tempo de processamento maior, mas isso não altera o tamanho do tíquete de serviço Kerberos.

O suporte para declarações e autenticação composta para Controle de Acesso Dinâmico e à proteção Kerberos (quando a opção Com Suporte ou uma opção superior está selecionada) pode impactar a conectividade e o acesso a arquivos. Isso porque:

  1. A configuração define um domínio para o novo modelo de controle de acesso, para o qual novos serviços podem escolher dar suporte.

  2. Qualquer dispositivo que dê suporte a declarações, autenticação composta e proteção Kerberos não poderá ser autenticado a menos que encontre um controlador de domínio com suporte para declarações, autenticação composta e proteção Kerberos. Isso garante que o dispositivo cliente receba informações completas de autorização de domínio durante a autenticação de todas as verificações de controle de acesso, local e remotamente.

  3. Dispositivos executando Windows 8 que não dão suporte a declarações, autenticação composta e proteção Kerberos não devem ser configurados com controles de acesso baseados em declarações para serviços de inicialização ou logon ou com controles de acesso baseados em declarações para arquivos locais. O acesso será negado e as declarações não serão disponibilizadas enquanto o domínio não for configurado para o nível funcional de domínio do Windows Server 2012 e para sempre fornecer declarações.

A configuração de política de modelo administrativo Suporte KDC para declarações, autenticação composta e proteção Kerberos impacta também a carga da rede e os padrões de tráfego, desta forma:

  1. A descoberta segura de recursos de domínio do Kerberos é necessária, resultando em trocas de mensagens adicionais.

  2. As solicitações sairão do site quando nenhum controlador de domínio com Windows Server 2012 em execução estiver disponível no site para dispositivos com Windows 8 em execução, os quais enviam solicitações de autenticação, e para servidores de recursos com Windows Server 2012 em execução, os quais enviam solicitações de transição de protocolo.

Declarações são novos dados da autorização fornecidos pelo Active Directory. Quando as declarações forem provisionadas, os KDCs do Windows Server 2012 poderão criar tíquetes de serviço com declarações de uma entidade de segurança. Os tokens de acesso criados com base nesses tíquetes de serviço incluem declarações que podem ser usadas para controle de acesso.

Qual é o valor agregado desta alteração?

Isso permite que o Windows Server 2012 controle o acesso a recursos com expressões em termos de:

  • Declarações de usuários

  • Declarações de dispositivos se o domínio do recurso der suporte a declarações e à autenticação composta para controle de acesso dinâmico e proteção Kerberos.

O que passou a funcionar de maneira diferente?

Para dar suporte a recursos que usam controle de acesso baseado em declarações, os domínios da entidade de segurança precisam executar um destes itens:

  • Todos os controladores de domínio do Windows Server 2012

  • Controladores de domínio do Windows Server 2012 suficientes para manipular todas as solicitações de autenticação de dispositivo do Windows 8

  • Controladores de domínio do Windows Server 2012 em número suficiente para processar todas as solicitações de protocolo de recurso do Windows Server 2012 para então dar suporte a dispositivos que não pertencem ao Windows 8.

Além disso, você vai precisar configurar, na unidade organizacional do controlador de domínio, a nova política Suporte KDC para declarações, autenticação composta e proteção Kerberos com a definição "Com Suporte" ou superior, e se o cliente estiver recuperando declarações, configure a nova política Suporte Kerberos a declarações de cliente, autenticação composta e proteção Kerberos em cada cliente.

Para dar suporte a controle de acesso em florestas, os domínios raiz de floresta precisam do seguinte:

Para dar suporte ao controle de acesso em filiais, você precisará do seguinte:

  • Se grupos ou declarações forem gerados em logons baseados em certificados, serão necessários controladores de domínio de hub suficientes com Windows Server 2012 em execução para que os correspondentes RODCs (controladores de domínio somente leitura de filial) processem todas as solicitações de autenticação de dispositivo do Windows 8 para recursos externos à filial.

  • Para os recursos que não entrarem em um RODC, serão necessários controladores de domínio de hub suficientes com Windows Server 2012 em execução para o correspondente RODC do usuário da filial. Esses controladores de domínio processam todas as solicitações de transição de protocolo de recurso do Windows Server 2012 para dar suporte a dispositivos que não executam o Windows 8.

A autenticação composta é uma extensão do FAST (Encapsulamento Seguro de Autenticação Flexível) que permite aos clientes Kerberos fornecer o TGT do dispositivo. Isso permite que os KDCs do Windows Server 2012 criem tíquetes de serviço com dados de autorização de dispositivo para serviços hospedados no Windows 8 e configurados para dar suporte a dados de autorização de dispositivo. O acesso aos tokens criados com base nesses tíquetes de serviço inclui os grupos e as declarações do dispositivo, os quais podem ser usados para controle de acesso.

Qual é o valor agregado desta alteração?

Isso permite que o Windows Server 2012 controle o acesso a recursos com expressões em termos de:

  • Dispositivos

  • Grupos de dispositivos

  • Declarações de dispositivo, caso o domínio do dispositivo dê suporte a declarações e autenticação composta para controle de acesso dinâmico e proteção Kerberos

O que passou a funcionar de maneira diferente?

Para dar suporte aos recursos usando a autenticação composta para controle de acesso, os domínios de recursos precisarão de um destes itens:

  • Todos os controladores de domínio do Windows Server 2012

  • Controladores de domínio do Windows Server 2012 suficientes para manipular todas as solicitações de autenticação de dispositivo do Windows 8

Além disso, você vai precisar configurar, na unidade organizacional do controlador de domínio, a nova política Suporte KDC para declarações, autenticação composta e proteção Kerberos com a definição "Com Suporte" ou superior, e se o cliente estiver recuperando declarações, configure a nova política Suporte Kerberos a declarações de cliente, autenticação composta e proteção Kerberos em cada cliente.

O controle de acesso baseado em declarações de dispositivo também exige que o domínio do dispositivo seja provisionado para declarações. O controle de acesso baseado em dispositivo ou em grupos de dispositivos não faz essa exigência.

Para dar suporte ao controle de acesso à floresta, os domínios raiz da floresta precisarão de:

  • Todos os controladores de domínio do Windows Server 2012. Isso ajuda a garantir que as declarações não sejam perdidas em florestas confiáveis. Se houver, nos domínios raiz da floresta, controladores de domínio executando uma versão do Windows Server anterior ao Windows Server 2012, esses controladores de domínio descartarão as declarações. Isso resultará em falhas de controle de acesso intermitente e os dados de declarações não serão revelados na floresta confiável.

Para dar suporte ao controle de acesso para recursos externos à filial, controladores de domínio de hub suficientes com Windows Server 2012 em execução para os correspondentes RODCs (controladores de domínio de filial).

A nova configuração de política de modelo administrativo do Kerberos Suporte para autenticação composta permite configurar explicitamente o suporte para que os KDCs forneçam autenticação composta aos serviços, usando a identidade do dispositivo. Em geral, isso não é necessário, pois os aplicativos configuram o suporte para autenticação composta. Há três opções:

  • Nunca: o KDC não fornecerá a autenticação composta.

  • Automática: quando o aplicativo baseado em Controle de Acesso Dinâmico for instalado, o KDC sempre fornecerá autenticação composta. Após a remoção do último aplicativo baseado em Controle de Acesso Dinâmico, o KDC não fornecerá autenticação composta.

  • Sempre: o KDC sempre fornecerá autenticação composta.

Para serviços que usam uma identidade de conta de serviço gerenciado, o Windows PowerShell deve ser utilizado para que o KDC possa começar a fornecer autenticação composta. Use Set-ADServiceAccount com o parâmetro CompoundIdentitySupported.

O FAST (Encapsulamento Seguro de Autenticação Flexível) fornece um canal protegido entre o cliente Kerberos e o KDC. O FAST é implementado como proteção Kerberos no Windows Server 2012 e só está disponível para trocas do AS (serviço de autenticação) e do TGS (serviço de concessão de tíquetes).

Qual é o valor agregado desta alteração?

Isso habilita o seguinte para os sistemas associados a domínios e que executam o Windows Server 2012 e o Windows 8:

  • Proteção contra ataques de dicionário offline. A proteção Kerberos protege os dados de pré-autenticação do usuário, os quais ficam vulneráveis a ataques de dicionário offline quando são gerados com base em uma senha.

  • Erros da autenticação Kerberos. A proteção Kerberos protege as autenticações Kerberos de usuário contra falsificação de erro Kerberos do KDC, o que pode fazer downgrade no NTLM ou enfraquecer a criptografia.

  • Autenticação composta

O que passou a funcionar de maneira diferente?

A proteção Kerberos usa um TGT (tíquete de concessão de tíquete) do dispositivo para proteger os intercâmbios de serviços de autenticação com o KDC, para que o intercâmbio de serviços de autenticação do computador não fique protegido. O TGT do usuário é utilizado para proteger os intercâmbios TGS com o KDC.

A nova configuração de política de modelo administrativo do Kerberos Recusar solicitações de autenticação quando a proteção Kerberos não estiver disponível controla se um dispositivo exige que as trocas de mensagens do Kerberos sejam protegidas durante a comunicação com um controlador de domínio. Quando essa configuração de política está habilitada, um dispositivo executando Windows 8 só permite o intercâmbio desprotegido de serviços de autenticação e a autenticação falha quando um domínio não dá suporte para proteção Kerberos ou quando não é possível encontrar um controlador de domínio executando Windows Server 2012 que dê suporte à proteção Kerberos.

ImportantImportante
Essa configuração de política é afetada por outra configuração. Quando um domínio não dá suporte para proteção Kerberos via habilitação de Suporte KDC para declarações, autenticação composta e proteção Kerberos, todas as tentativas de autenticação de todos os respectivos usuários falharão nos computadores em que essa política estiver habilitada.

No Windows Server 2012, a nova delegação restrita do Kerberos baseada em recursos pode ser usada para fornecer delegação restrita quando os serviços front-end e de recursos não estão no mesmo domínio.

A delegação restrita de Kerberos proporciona uma forma de delegação mais segura para uso em serviços. Ela restringe os serviços nos quais um determinado servidor pode agir em nome de um usuário. Esse modelo, no entanto, limitou a delegação restrita a um único domínio e exigiu um administrador de domínio porque é configurada na conta do serviço front-end. Hoje, nas empresas, os serviços front-end não são projetados para se limitar à integração apenas com serviços em seus domínios. Além disso, como o provisionamento é exigido pelos administradores de domínio, a implantação de novos serviços não pode ser feita pelos administradores de serviços.

Atualmente, um administrador de serviços não tem como saber quais serviços front-end devem ser delegados aos serviços de recursos que possuem. Isso traz riscos à segurança porque qualquer serviço front-end que possa ser delegado a um serviço de recurso representa um ponto de ataque potencial. Se um servidor hospedando um serviço front-end que delega ao serviço de recurso estiver comprometido, o serviço de recurso poderá ficar comprometido.

Qual é o valor agregado desta alteração?

No Windows Server 2012, os administradores de serviços podem especificar quais identidades de serviços podem representar usuários em seus serviços. A configuração de delegação restrita no recurso permite que serviços como, por exemplo, ISA Server, OWA e SharePoint sejam configurados para usar a delegação restrita para fazer a autenticação em servidores de outros domínios e mesmo em outras florestas. Isso dá suporte para soluções de serviço de salto múltiplo usando uma infraestrutura Kerberos existente.

O que passou a funcionar de maneira diferente?

Para configurar um serviço de recurso para permitir acesso a serviço front-end em nome de usuários, os cmdlets do Windows PowerShell devem ser usados para fornecer uma lista das entidades de segurança permitidas. Use os cmdlets New e Set para ADComputer, ADServiceAccount e ADUser com o parâmetro PrincipalsAllowedToDelegateToAccount.

noteObservação

Para recuperar a lista de entidades de segurança, use o cmdlet Get para ADComputer, ADServiceAccount e ADUser com o parâmetro PrincipalsAllowedToDelegateToAccount.

Quando a delegação completa está habilitada para Kerberos em um servidor, o servidor poderá usar o TGT (tíquete de concessão de tíquete) delegado para se conectar como o usuário em qualquer servidor, inclusive aqueles em relação de confiança unidirecional. No Windows Server 2012, uma confiança entre florestas pode ser configurada para impor o limite de segurança proibindo que TGTs de encaminhamento entrem em outras florestas.

O que passou a funcionar de maneira diferente?

Para desabilitar a delegação completa do Kerberos em uma confiança de floresta de saída, todos os controladores de domínio na raiz da floresta devem dar suporte para esse recurso e você deve definir netdom trust para EnableTGTDelegation on the across forest trust como No.

O serviço proxy do KDC é instalado com soluções select do DirectAccess ou da Área de Trabalho Remota para fornecer uma forma de autenticação Kerberos a ser utilizada por clientes Internet. Os clientes do DirectAccess e da Área de Trabalho Remota criam um canal seguro TLS/SSL para o serviço proxy do KDC em execução no servidor do DirectAccess ou no Gateway da Área de Trabalho Remota. Para obter o tíquete de serviço do servidor do DirectAccess ou do servidor da Área de Trabalho Remota, as mensagens Kerberos são enviadas ao respectivo serviço proxy do KDC. O serviço envia a solicitação para um controlador de domínio na rede corporativa e depois devolve a resposta.

Qual é o valor agregado desta alteração?

Isso beneficia o administrador no mesmo protocolo usado no suporte aos domínios do Active Directory, Kerberos; também é usado para o gerenciamento de tráfego de autenticação e credenciais, como alteração de senha para usuários do DirectAccess ou da Área de Trabalho Remota que estão solicitando acesso ao domínio.

O que passou a funcionar de maneira diferente?

Para os sistemas instalados atualmente e que usam a autenticação Kerberos, não há qualquer diferença. Para algumas implantações das soluções DirectAccess e Serviços de Área de Trabalho Remota com Windows Server 2012, o serviço de proxy do KDC está disponível por padrão.

A configuração da política de modelo administrativo do Kerberos Desabilitar verificação de revogação do certificado SSL de servidores proxy do KDC permite criar um ambiente de teste para DirectAcces ou Gateway de Área de Trabalho Remota com um servidor proxy do KDC, mas sem a necessidade de configurar um ambiente CRL/OCSP. Quando habilitado, o cliente Kerberos não irá impor a verificação de revogação do certificado TLS/SSL do serviço proxy do KDC.

WarningAviso
Como essa configuração permite que o cliente se conecte aos serviços com um certificado inválido, ela não deve jamais ser definida em servidores de produção.

O serviço KDC (Centro de Distribuição de Chaves Kerberos) do Windows Server 2012 (kdcsvc) pode ser corrigido sem a necessidade de reinicializar o sistema.

Esta tabela descreve os novos eventos do KDC que são gravados no log do sistema, em um controlador de domínio.

 

Evento Texto Resolução

31

Tíquete de serviço de aviso emitido, que se aproxima do limite de tíquete configurado

Isso é controlado pela nova configuração da política de modelo administrativo do KDC, "Eventos de aviso para tíquetes grandes do Kerberos". O texto Explicar dessa configuração de política contém uma descrição detalhada.

32

Certificado do KDC não contém um EKU de KDC

Esse evento é disparado por uma solicitação de logon de certificado. O KDC tem um certificado que usa um modelo antigo e que não contém o EKU do KDC e deve ser substituído.

33

O controlador de domínio Windows Server 2012 não pôde configurar o domínio para anunciar suporte a declarações e autenticação composta para controle de acesso dinâmico e proteção Kerberos.

Para resolver esse problema, tente executar gpupdate /force em um controlador de domínio com Windows Server 2012 em execução.

34

Os controladores de domínio do Windows Server 2012 são configurados para dar suporte para declarações e autenticação composta para controle de acesso dinâmico e a opção de proteção Kerberos que exige um nível funcional de domínio do Windows Server 2012, mas o domínio não está nesse nível.

Para resolver essa condição, atualize o nível funcional de domínio para o Windows Server 2012 ou defina o suporte de domínio para declarações e autenticação composta para Controle de Acesso Dinâmico e proteção Kerberos para a opção Com suporte.

O novo log operacional do KDC está localizado em Aplicativos e Serviços/Microsoft/Windows/Centro de Distribuição de Chaves Kerberos/Operacional. Ele fornece informações que podem ajudar a determinar a causa de uma falha de logon de certificado ou de uma interrupção ou início do serviço do KDC. No Windows Server 2012, os seguintes eventos são registrados em log quando o log operacional está habilitado:

  • 120: Erro: falha na validação do certificado do KDC

  • 200: Aviso: certificado do KDC não encontrado

  • 300: Informação: serviço do KDC iniciado

  • 301: Informação: serviço do KDC interrompido

  • 302: Informação: certificado do KDC está atualizado

O novo log operacional do Kerberos está localizado em Aplicativos e Serviços/Microsoft/Windows/Segurança-Kerberos/Operacional. Ele fornece informações que podem ajudar a determinar a causa de uma falha, mas sem coletar um rastreamento, nem contatar o Microsoft Product Support. No Windows Server 2012, os seguintes eventos são registrados em log quando o log operacional está habilitado:

  • 100: Erro: falha de autenticação devido a SPN sem registro

  • 101: Erro: falha de autenticação devido a SPN duplicado

  • 102: Erro: falha de autenticação baseada em certificado devido a uma falha de validação de certificado do KDC

  • 103: Erro: falha de autenticação baseada em certificado devido a uma falha de validação de certificado do cliente

  • 104: Erro: falha de autenticação baseada em certificado porque o KDC não dá suporte a autenticações baseadas em certificados ou não foi provisionado com um certificado de KDC

  • 105: Erro: falha ao tentar recuperar a senha da conta de serviço gerenciado do grupo

  • 106: Erro: falha de autenticação baseada em certificado devido a uma falha de validação do certificado do KDC, o qual não contém o EKU do KDC

  • 107: Erro: falha de autenticação baseada em certificado devido a uma falha de validação do certificado do KDC que contém um nome de domínio inválido

  • 108: Erro: falha de autenticação porque não há nenhum controlador de domínio disponível e não foi possível usar as mensagens do proxy de Kerberos

  • 109: Erro: falha de autenticação porque não há nenhum controlador de domínio disponível e não houve êxito na tentativa de usar o proxy de Kerberos, pois a solicitação de autenticação não tinha as credenciais de autenticação para proxy HTTP

  • 200: Aviso: não foi possível localizar o controlador de domínio

  • 300: Informação: o controlador de domínio que foi localizado

  • 301: Informação: autenticação utilizando uma credencial armazenada

  • 302: Informação: o controlador de domínio não responde

  • 303: Informação: a senha da conta de serviço gerenciado do grupo foi recuperada

No Windows Server 2008 R2, o Kerberos tinha quatro contadores de monitor de desempenho:

  • Solicitações Kerberos encaminhadas para controladores de domínio somente leitura

  • Solicitações AS do KDC para controladores de domínio

  • Solicitações TGS do KDC para controladores de domínio

  • Autenticações Kerberos para servidores

No Windows Server 2012, os seguintes contadores de desempenho do Kerberos foram adicionados:

  • Solicitações do AS com reconhecimento de declarações do KDC

    Mede o número de AS-REQs (solicitações do Serviço de Autenticação habilitado para declarações) que estão sendo recebidas por um controlador de domínio. A carga dos dispositivos existentes habilitados para declarações pode ser determinada sem a exigência de que o domínio dê suporte para declarações, autenticação composta e proteção Kerberos. Entretanto, como os dispositivos executando Windows 8 não são habilitados para declarações, por padrão, esse contador não pode ser usado para determinar solicitações de autenticação iniciais, a não ser que os dispositivos estejam configurados para dar suporte a declarações, autenticação composta e forneçam proteção Kerberos.

    noteObservação
    Os controladores de domínio do Windows Server 2012 controlam o provisionamento de dados de autorização de declarações, e somente os controladores de domínio que derem suporte para declarações e autenticação composta para Controle de Acesso Dinâmico e proteção Kerberos retornarão efetivamente mensagens AS-REP contendo declarações.

  • Solicitações AS do KDC com FAST para controladores de domínio

    Mede o número de AS-REQ (mensagens de solicitação do Serviço de Autenticação protegido) que em processamento em um um controlador de domínio.

    noteObservação
    Os controladores de domínio que não dão suporte a declarações e autenticação composta para Controle de Acesso Dinâmico e proteção Kerberos não podem processar mensagens Kerberos protegidas.

  • Solicitações TGS protegidas do KDC

    Mede o número de TGS-REQ (mensagens protegidas de solicitação do serviço de concessão de tíquetes) em processamento em um controlador de domínio.

    noteObservação
    Os controladores de domínio que não dão suporte a declarações e autenticação composta para Controle de Acesso Dinâmico e proteção Kerberos não podem processar mensagens Kerberos protegidas.

  • Solicitações TGS com reconhecimento de declarações do KDC

    Mede o número de TGS-REQs (mensagens de solicitação de serviço de concessão de tíquetes habilitado para declarações) que estão sendo recebidas por um controlador de domínio. A carga dos dispositivos existentes habilitados para declarações pode ser determinada sem a exigência de que o domínio dê suporte para declarações, autenticação composta e proteção Kerberos. Entretanto, como os dispositivos executando Windows 8 não são habilitados para declarações, por padrão, esse contador não pode ser usado para determinar solicitações de autenticação, a não ser que os dispositivos estejam configurados para dar suporte a declarações, autenticação composta e forneçam proteção Kerberos.

  • Solicitações TGS de identidade declarada de serviço com reconhecimento de declarações do KDC

    Mede o número de S4U2Self TGS-REQ (mensagens de solicitação de serviço de concessão de tíquete de identidade declarada de serviço) que estão solicitando declarações explicitamente.

    noteObservação
    Os controladores de domínio executando Windows Server 2012 controlam o provisionamento de dados de autorização de declarações, e somente os controladores de domínio que derem suporte para declarações e autenticação composta para Controle de Acesso Dinâmico e proteção Kerberos retornarão efetivamente mensagens TGS-REP contendo declarações.

  • Solicitações TGS de delegação restrita de tipo clássico do KDC

    Mede o número de TGS-REQs (mensagens de solicitação de serviço de concessão de tíquete) de delegação restrita (S4U2Proxy) que estão sendo processadas por um controlador de domínio usando os SPNs configurados no objeto de conta de serviço de camada intermediária.

  • Solicitações TGS de delegação restrita de tipo de recurso do KDC

    Mede o número de TGS-REQs (mensagens de solicitação de serviço de concessão de tíquete) de delegação restrita (S4U2Proxy) que estão sendo processadas por um controlador de domínio usando a configuração de objeto de conta do recurso.

No Windows Server 2012, o SetSPN não poderá mais registrar SPNs duplicados em um domínio. Quando SetSPN -a for usado, o SetSPN irá tratá-lo como SetSPN -s.

Para saber mais sobre SetSPN, veja Sintaxe de SetSPN para SPNs (Nomes de Entidades de Serviço) (Setspn.exe) no Wiki do TechNet. Para obter referência de comando, veja Setspn na Biblioteca do TechNet.

A tabela a seguir fornece recursos adicionais para compreender a autenticação Kerberos no Windows Server 2012.

 

Tipo de conteúdo Referências

Avaliação do produto

Visão Geral da Autenticação Kerberos

Controle de Acesso Dinâmico: visão geral do cenário

Recursos da comunidade

Não disponível ainda

Tecnologias relacionadas

Controle de Acesso Dinâmico: visão geral do cenário

Visão geral dos Serviços de Domínio Active Directory

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft