Proteção e gerenciamento de credenciais

 

Aplica-se a: Windows Server 2012 R2

Esse tópico para o profissional de TI discute recursos e métodos introduzidos em Windows Server 2012 R2 e Windows 8.1 para a proteção de credenciais e os controles de autenticação do domínio para reduzir o roubo de credenciais.

Modo Administrador Restrito para a Conexão de Área de Trabalho Remota

O modo Administrador Restrito fornece um método de efetuar logon interativamente a um servidor host remoto sem transmitir suas credenciais ao servidor. Isso previne que suas credenciais sejam coletadas durante o processo de conexão inicial, caso o servidor tenha sido comprometido.

Usar esse modo com as credenciais de administrador, o cliente da área de trabalho remota tenta efetuar logon interativamente a um host que também dê suporte a esse modo, sem enviar as credenciais. Quando o host verifica que a conta de usuário que está se conectando a ele possui direitos de administrador e dá suporte ao modo Administrador Restrito, a conexão é bem-sucedida. Caso contrário, a tentativa de conexão falha. O modo Administrador Restrito, em nenhum ponto, envia um texto completo ou outros formatos reutilizáveis de credenciais para computadores remotos.

Para obter mais informações, consulte Novidades nos Serviços de Área de Trabalho Remota no Windows Server.

Proteção de LSA

O LSA (Autoridade de Segurança Local), que fica dentro do processo LSASS, valida os usuários para credenciais locais e remotas e impõe políticas de segurança local. O sistema operacional Windows 8.1 fornece proteção adicional ao LSA, para prevenir injeção de código por processos não protegidos. Isso proporciona mais segurança para as credenciais que a LSA armazena e gerencia. Essa configuração de processo protegida para LSA pode ser configurada em Windows 8.1, mas está ativa por padrão em Windows RT 8.1 e não pode ser alterada.

Para obter informações sobre como configurar a proteção de LSA, confira Configurando a proteção LSA adicional.

Grupo de segurança de Usuários Protegidos

Esse novo grupo global de domínios dispara novas proteções não configuráveis em dispositivos e computadores host que estejam executando Windows Server 2012 R2 e Windows 8.1. O grupo Usuários Protegidos permite proteções adicionais para controladores de domínio e domínios nos domínios do Windows Server 2012 R2. Isso reduz consideravelmente os tipos de credenciais disponíveis quando os usuários são registrados em computadores na rede, em um computador não comprometido.

Os membros do grupo Usuários Protegidos são limitados ainda pelos seguintes métodos de autenticação:

  • Um membro do grupo Usuários Protegidos só pode se registrar usando o protocolo Kerberos. A conta não pode ser autenticada usando NTLM, Autenticação Digest ou CredSSP. Em um dispositivo que esteja executando o Windows 8.1, as senhas não são armazenadas em cache, assim, o dispositivo que usa apenas um dos SSPs (Provedores de Suporte de Segurança) falhará ao autenticar em um domínio, quando a conta for um membro do grupo Usuário Protegido.

  • O protocolo Kerberos não usará os tipos de criptografia DES ou RC4 mais fracos no processo de pré-autenticação. Isso significa que o domínio deve ser configurado para dar suporte ao menos ao suite criptográfico AES.

  • A conta do usuário não pode ser delegada com delegação restrita ou irrestrita de Kerberos. Isso significa que as conexões antigas aos outros sistemas podem falhar, caso o usuário seja um membro do grupo Usuários Protegidos.

  • A configuração de tempo de vida dos TGTs (Tíquetes de Concessão de Tíquete) Kerberos padrão de quatro horas é configurável usando as Políticas de Autenticação e Silos acessados por meio do ADAC (Centro Administrativo do Active Directory). Isso significa que passadas quatro horas, o usuário deve se autenticar novamente.

Aviso

Contas de serviços e computadores não devem ser membros do grupo Usuários protegidos. Este grupo não oferece proteção local, pois a senha ou o certificado sempre está disponível no host. A autenticação falhará com o erro "senha ou nome de usuário incorreto" para qualquer serviço ou um computador que é adicionado ao grupo de Usuários Protegidos.

Para obter mais informações sobre este grupo, confira Grupo de segurança de usuários protegidos.

Política de Autenticação e Silos de Política de Autenticação

As políticas do Active Directory baseadas em florestas são introduzidas e podem ser aplicadas às contas em um domínio com um nível funcional de domínio do Windows Server 2012 R2. Essas políticas de autenticação podem controlar quais hosts que um usuário pode usar para entrar. Elas trabalham em conjunto com o grupo de segurança Usuários Protegidos e os administradores podem aplicar condições de controle de acesso para autenticação às contas. Essas políticas de autenticação isolam contas relacionadas para limitar o escopo de uma rede.

A nova classe do objeto Active Directory, Política de Autenticação, permite a você aplicar a configuração de autenticação para as classes da conta em domínios com um nível funcional de domínio do Windows Server 2012 R2. As políticas de autenticação são impostas durante o compartilhamento de Kerberos AS ou TGS. As classes da conta do Active Directory são:

  • User

  • Computador

  • Conta de Serviço Gerenciado

  • Conta de Serviço Gerenciado de Grupo

Para obter mais informações, consulte Políticas de autenticação e silos de políticas de autenticação.

Para obter mais informações sobre como configurar contas protegidas, confira Como configurar contas protegidas.

Consulte também

Para obter mais informações sobre o LSA e o LSASS, confira a Visão geral técnica de autenticação e Logon do Windows.

Para obter mais informações sobre como o Windows gerencia as credenciais, confira Visão geral técnica de credenciais em cache e armazenadas.