Autenticação de usuários finais do MED-V

  • Artigo

Aplica-se a: Microsoft Enterprise Desktop Virtualization 2.0

A autenticação de usuários finais do Virtualização da área de trabalho do Microsoft Enterprise (MED-V) 2.0 é um problema de segurança muito importante. Nesse contexto, autenticação refere-se a verificação da identidade do usuário final do MED-V.

A seção a seguir fornece informações e orientações sobre autenticação de usuário final no MED-V.

Autenticação de usuário no MED-V

Em geral, a autenticação no MED-V ocorre em dois níveis: quando o usuário acessa o MED-V pela primeira vez e sempre que ele altera sua senha.

Dependendo de como as configurações do MED-V foram definidas para autenticação, o usuário final é normalmente solicitado em algum ponto a digitar sua senha, seja na primeira vez que o MED-V é iniciado ou na primeira vez que ele tenta abrir um aplicativo publicado.

Há vários aspectos da autenticação de usuário final que você pode controlar, incluindo:

  • Se as credenciais que o usuário final insere são armazenadas no Gerenciador de Credenciais

  • De que maneira é apresentada ao usuário final a opção de inserir e salvar sua senha

Dependendo do processo preferido da sua empresa para o gerenciamento de autenticação de usuário final, você pode especificar se o cache de credenciais ocorre para um determinado Espaço de trabalho MED-V. O cache de credenciais de um usuário final é útil porque a senha é solicitada somente uma vez. Se o usuário final não tiver permissão para salvar sua senha ou se decidir não salvá-la, toda vez que iniciar uma nova sessão do MED-V ele deverá digitá-la novamente. Por exemplo, se o MED-V estiver configurado para iniciar quando o usuário final fizer logon no host mas a autenticação estiver desativada, o usuário final será solicitado apenas uma vez durante o logon. Nesse caso, as credenciais são válidas até que o usuário final faça logoff do host.

Se for necessário, você poderá usar o Gerenciador de Credenciais para remover as credenciais de usuário final armazenadas.

Por padrão, o armazenamento de credenciais é desativado, mas você pode mudar essa configuração por meio de um dos métodos a seguir:

  • Enquanto estiver criando o pacote do Espaço de trabalho MED-V. Para obter mais informações, consulte Criar um pacote do espaço de trabalho do MED-V.

  • Depois que tiver implantado o Espaço de trabalho MED-V. Edite o parâmetro UxCredentialCacheEnabled de cmdlet do MED-V para definir a chave de registro dos Serviços de Terminal. Para obter mais informações, consulte a Ajuda do Windows PowerShell.

Após a implantação do Espaço de trabalho MED-V, você poderá definir sua preferência de autenticação do usuário final, modificando a política dos Serviços de Terminal denominada DisablePasswordSaving. DisablePasswordSaving controla se a caixa de seleção para salvar a senha será exibida na janela de diálogo do cliente RDP e se a solicitação de credenciais do MED-V será exibida.

Veja a seguir o caminho da diretiva para a diretiva dos Serviços de Terminal denominada DisablePasswordSaving.

Regedit:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Virtual Machine\Policies\DisablePasswordSaving

Dica

As alterações feitas em DisablePasswordSaving afetam somente o prompt RDP para uma máquina virtual.

A tabela a seguir lista as diferentes maneiras que você pode definir suas configurações para o armazenamento de credenciais e os efeitos das diferentes configurações:

Valor Configuração Resultado

DisablePasswordSaving

Desabilitado

O prompt do MED-V é apresentado e uma caixa de seleção para aceitar está disponível e desmarcada. Se o usuário final marcar a caixa de seleção, as credenciais serão armazenadas em cache para uso subsequente. O usuário final também tem a vantagem de ser solicitado somente quando a senha expira.

Se o usuário final não marcar a caixa de seleção, o prompt do Cliente de Conexão de Área de Trabalho Remota (RDC) será apresentado em vez do prompt do MED-V e a caixa de seleção para aceitar será desmarcada. Se o usuário final marcar a caixa de seleção, a credencial do Cliente RDC será armazenada para uso posterior.

Importante

O RDC não valida as credenciais quando o usuário final as insere. Se o usuário final armazenar em cache as credenciais através do prompt do RDC, haverá um risco de que as credenciais incorretas possam ser armazenadas. Nesse caso, as credenciais incorretas devem ser excluídas no Gerenciador de Credenciais do Windows.

DisablePasswordSaving

Ativado
noteObservação
Essa configuração é mais segura porque não permite que as credenciais do usuário final sejam armazenadas em cache.

Por padrão, a instalação do MED-V define uma chave de registro no convidado para suprimir o prompt de "senha prestes a expirar". O usuário final será solicitado apenas para alterar a senha no host. As credenciais que serão atualizadas no host serão passadas para o convidado.

Aviso

Se você usar a Diretiva de Grupo em seu ambiente, saiba que ela pode substituir a chave de registro fazendo com que os prompts de senha do convidado voltem a aparecer.

Questões de segurança com autenticação

Ainda que o cache das credenciais do usuário final forneça a melhor experiência para o usuário, fique ciente dos riscos envolvidos.

Quando o cache de credenciais está habilitado, a credencial de domínio do usuário final é armazenada em um formato reversível no Gerenciador de Credenciais do Windows. Como resultado, um invasor poderia escrever uma ferramenta executada como um processo em nível de sistema ou um processo de usuário final e que recupera as credenciais do usuário final. Você só pode diminuir esse risco definindo DisablePasswordSaving como Ativado.

Essa mesma preocupação existe quando a autenticação do MED-V está desativada, mas a configuração de diretiva dos Serviços de Terminal está ativada.

Consulte Também

Conceitos

Práticas recomendadas de segurança para as operações do MED-V

Você considerou úteis estas informações? Envie suas sugestões e comentários sobre a documentação do MED V para medvdocs@microsoft.com.