Conceitos de autenticação do Windows
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este tópico de visão geral de referência descreve os conceitos nos quais a autenticação do Windows se baseia.
A autenticação é um processo de verificação da identidade de um objeto ou uma pessoa. Quando você autentica um objeto, a meta é verificar se ele é genuíno. Quando você autentica uma pessoa, o objetivo é verificar se essa pessoa não é um impostor.
Em um contexto de rede, a autenticação é o ato de fornecer identidade para um aplicativo ou recurso de rede. Normalmente, a identidade é comprovada por uma operação criptográfica que usa uma chave conhecida somente pelo usuário (como ocorre com a criptografia de chave pública) ou uma chave compartilhada. O lado do servidor da troca de autenticação compara os dados assinados com uma chave de criptografia conhecida para validar a tentativa de autenticação.
O armazenamento das chaves criptográficas em um local central seguro torna o processo de autenticação escalonável e passível de manutenção. O Active Directory é a tecnologia padrão e recomendada para armazenar informações de identidade (incluindo as chaves de criptografia que são as credenciais do usuário). O Active Directory é exigido para as implementações de Kerberos e NTLM padrão.
As técnicas de autenticação variam desde um logon simples, um sistema operacional ou uma entrada para um serviço ou aplicativo, que identifica os usuários com base em algo que somente o usuário sabe, como uma senha, até mecanismos de segurança mais avançados que usam algo que o usuário tem, como tokens, certificados de chave pública, imagens ou atributos biológicos. Em um ambiente de negócios, os usuários podem acessar vários aplicativos em muitos tipos de servidores em um único local ou em vários locais. Por esses motivos, a autenticação deve dar suporte a ambientes de outras plataformas e de outros sistemas operacionais Windows.
Autenticação e autorização: uma analogia de viagem
Uma analogia de viagem pode ajudar a explicar como funciona a autenticação. Algumas tarefas preparatórias geralmente são necessárias para iniciar o percurso. O viajante deve comprovar sua verdadeira identidade para suas autoridades anfitriãs. Essa prova pode estar na forma de certificado de cidadania, certidão de nascimento, comprovante pessoal, fotografias ou o que for exigido pela lei do país anfitrião. A identidade do viajante é validada pela emissão de um passaporte, que é análoga a uma conta do sistema emitida e administrada por uma organização: a entidade de segurança. O passaporte e o destino pretendido são baseados em um conjunto de regras e regulamentos emitidos pela autoridade governamental.
O percurso
Quando o viajante chega à fronteira internacional, um guarda de fronteira solicita as credenciais e o viajante apresenta seu passaporte. O processo é duplo:
O guarda autentica o passaporte verificando se foi emitido por uma autoridade de segurança em que o governo local confia (confia, pelo menos, para emitir passaportes) e verificando se o passaporte não foi adulterado.
O guarda autentica o viajante verificando se o rosto corresponde ao rosto da pessoa retratada no passaporte e se as outras credenciais exigidas estão em ordem.
Se for comprovado que o passaporte é válido e o viajante provar ser o proprietário do documento, a autenticação será bem-sucedida e o viajante poderá passar pela fronteira.
A confiança transitiva entre as autoridades de segurança é a base da autenticação: o tipo de autenticação que ocorre em uma fronteira internacional baseia-se na confiança. O governo local não conhece o viajante, mas confia que o governo anfitrião conhece. Quando o governo anfitrião emitiu o passaporte, também não conhecia o viajante. Ele confiou na agência que emitiu a certidão de nascimento ou outra documentação. A agência que emitiu a certidão de nascimento, por sua vez, confiou no médico que assinou o certificado. O médico testemunhou o nascimento do viajante e carimbou o certificado com prova direta da identidade, nesse caso com a impressão digital do pé do recém-nascido. A confiança transferida dessa forma, por meio de intermediários confiáveis, é transitiva.
A confiança transitiva é a base para a segurança de rede na arquitetura de cliente/servidor do Windows. Uma relação de confiança flui em um conjunto de domínios, como uma árvore de domínio, e forma uma relacionamento entre um domínio e todos os domínios que confiam nesse domínio. Por exemplo, se o domínio A tiver uma relação de confiança transitiva com o domínio B e se o domínio B confiar no domínio C, então, o domínio A confiará no domínio C.
Há uma diferença entre autenticação e autorização. Com a autenticação, o sistema prova que você é quem diz ser. Com a autorização, o sistema verifica se você tem direitos para fazer o que deseja fazer. Para levar a analogia da fronteira ao próximo nível, apenas autenticar que o viajante é o real proprietário de um passaporte válido não necessariamente autoriza o viajante a entrar em um país. Os residentes de um determinado têm permissão para entrar em outro país simplesmente apresentando um passaporte apenas em situações em que o país que está sendo adentrado concede permissão ilimitada para a entrada de todos os cidadãos desse país específico.
Da mesma forma, você pode conceder a todos os usuários de determinadas permissões de domínio para acessar um recurso. Qualquer usuário que pertença a esse domínio tem acesso ao recurso, assim como o Canadá permite que cidadãos norte-americanos entrem no Canadá. No entanto, os cidadãos norte-americanos que tentam entrar no Brasil ou na Índia descobrem que não podem entrar nesses países apenas apresentando um passaporte porque ambos os países exigem que os cidadãos norte-americanos visitantes possuam um visto válido. Portanto, a autenticação não garante o acesso a recursos ou a autorização para usar recursos.
Credenciais
Um passaporte e vistos possivelmente associados são as credenciais aceitas para um viajante. No entanto, essas credenciais podem não permitir que um viajante entre ou acesse todos os recursos em um país. Por exemplo, credenciais adicionais são necessárias para participar de uma conferência. No Windows, as credenciais podem ser gerenciadas para possibilitar que os titulares de contas acessem recursos pela rede sem precisar fornecer suas credenciais repetidamente. Esse tipo de acesso permite que os usuários sejam autenticados uma vez pelo sistema para acessar todos os aplicativos e fontes de dados que eles estão autorizados a usar, sem inserir outro identificador de conta ou senha. A plataforma Windows aproveita a capacidade de usar uma única identidade de usuário (mantida pelo Active Directory) em toda a rede armazenando em cache localmente as credenciais do usuário na LSA (autoridade de segurança local) do sistema operacional. Quando um usuário faz logon no domínio, os pacotes de autenticação do Windows usam as credenciais de forma transparente para fornecer logon único ao autenticar as credenciais nos recursos de rede. Para saber mais sobre credenciais, confira Processos de credenciais na autenticação do Windows.
Uma forma de autenticação multifator para o viajante pode ser a exigência de portar e apresentar vários documentos para autenticar sua identidade, como um passaporte e informações de inscrição na conferência. O Windows implementa esse formulário ou a autenticação por meio de cartões inteligentes, cartões inteligentes virtuais e tecnologias biométricas.
Grupos e entidades de segurança
No Windows, qualquer usuário, serviço, grupo ou computador que possa iniciar a ação é uma entidade de segurança. As entidades de segurança têm contas, que podem ser locais para um computador ou baseadas em domínio. Por exemplo, os computadores cliente Windows conectados ao domínio podem participar de um domínio de rede, comunicando-se com um controlador de domínio, mesmo quando nenhum usuário está conectado. Para iniciar as comunicações, o computador deve ter uma conta ativa no domínio. Antes de aceitar as comunicações do computador, a autoridade de segurança local no controlador de domínio autentica a identidade do computador e define o contexto de segurança do computador, da mesma forma que faria para a entidade de segurança humana. Esse contexto de segurança define a identidade e as capacidades de um usuário ou serviço em um computador específico ou de um usuário, serviço, grupo ou computador em uma rede. Por exemplo, ele define os recursos, como um compartilhamento de arquivos ou uma impressora, que podem ser acessados e as ações, como Leitura, Gravação ou Modificação, que podem ser executadas por um usuário, serviço ou computador nesse recurso. Para saber mais, confira Entidades de Segurança.
Uma conta é um meio de identificar um requerente (o usuário ou serviço humano) que está solicitando acesso ou recursos. O viajante que detém o passaporte autêntico possui uma conta com o país anfitrião. Usuários, grupos de usuários, objetos e serviços podem ter contas individuais ou contas de compartilhamento. As contas podem ser membros de grupos e podem receber direitos e permissões específicos. As contas podem ser restritas ao computador local, ao grupo de trabalho, à rede ou ser associadas a um domínio.
Contas internas e os grupos de segurança, dos quais são membros, são definidos em cada versão do Windows. Usando grupos de segurança, você pode atribuir as mesmas permissões de segurança a muitos usuários autenticados com êxito, o que simplifica a administração de acesso. As regras para emissão de passaportes podem exigir que o viajante seja atribuído a determinados grupos, como negócios, turista ou governo. Esse processo garante permissões de segurança consistentes entre todos os membros de um grupo. Usar grupos de segurança para atribuir permissões significa que o controle de acesso dos recursos permanece constante e fácil de gerenciar e auditar. Ao adicionar e remover dos grupos de segurança apropriados os usuários que precisam de acesso conforme necessário, é possível minimizar a frequência de alterações nas ACLs (listas de controle de acesso).
Contas de serviço gerenciado autônomas e contas virtuais foram introduzidas no Windows Server 2008 R2 e no Windows 7 para fornecer aplicativos necessários, como Microsoft Exchange Server e IIS (Serviços de Informações da Internet), com o isolamento de suas próprias contas de domínio, eliminando assim a necessidade de um administrador gerenciar manualmente o SPN (nome da entidade de serviço) e as credenciais dessas contas. As contas de serviço gerenciado de grupo foram introduzidas no Windows Server 2012 e fornecem a mesma funcionalidade dentro do domínio, mas também estendem essa funcionalidade por vários servidores. Ao se conectarem a um serviço hospedado em um farm de servidores, como o Balanceamento de Carga de Rede, os protocolos de autenticação que oferecem suporte para autenticação mútua exigem que todas as instâncias dos serviços usem a mesma entidade de segurança.
Para saber mais sobre contas, confira:
Autenticação delegada
Para usar a analogia de viagem, os países podem emitir o mesmo acesso a todos os membros de uma delegação governamental oficial, desde que os delegados sejam bem conhecidos. Essa delegação permite que um membro aja na autoridade de outro membro. No Windows, a autenticação delegada ocorre quando um serviço de rede aceita uma solicitação de autenticação de um usuário e assume a identidade desse usuário para iniciar uma nova conexão com um segundo serviço de rede. Para dar suporte à autenticação delegada, você deve estabelecer servidores front-end ou de primeira camada, como servidores Web, responsáveis por lidar com solicitações de autenticação de cliente e servidores back-end ou de N camadas, como bancos de dados grandes, responsáveis por armazenar informações. Você pode delegar o direito de configurar a autenticação delegada aos usuários na organização para reduzir a carga administrativa nos administradores.
Ao estabelecer um serviço ou computador como confiável para delegação, você permite que esse serviço ou computador conclua a autenticação delegada, recebe um tíquete para o usuário que está fazendo a solicitação e, em seguida, acessa as informações desse usuário. Esse modelo restringe o acesso a dados em servidores back-end apenas para os usuários ou serviços que apresentam credenciais com os tokens de controle de acesso corretos. Além disso, ele permite acessar a auditoria desses recursos de back-end. Ao exigir que todos os dados sejam acessados por meio de credenciais delegadas ao servidor para uso em nome do cliente, você garante que o servidor não possa ser comprometido e que você possa obter acesso a informações confidenciais armazenadas em outros servidores. A autenticação delegada é útil para aplicativos multicamadas projetados para usar recursos de logon único em vários computadores.
Autenticação em relações de confiança entre domínios
A maioria das organizações que possuem mais de um domínio têm uma necessidade legítima de que os usuários acessem recursos compartilhados localizados em um domínio diferente, assim como o viajante tem permissão para viajar para diferentes regiões do país. Controlar esse acesso requer que os usuários em um domínio também possam ser autenticados e autorizados a usar recursos em outro domínio. Para fornecer as funcionalidades de autenticação e autorização entre clientes e servidores em domínios diferentes, é necessário haver uma relação de confiança entre os dois domínios. Relações de confiança são a tecnologia subjacente pela qual as comunicações protegidas do Active Directory ocorrem e são um componente de segurança integral da arquitetura de rede do Windows Server.
Quando existe uma relação de confiança entre dois domínios, os mecanismos de autenticação para cada domínio confiam nas autenticações provenientes do outro domínio. As relações de confiança ajudam a fornecer acesso controlado a recursos compartilhados em um domínio de recursos (o domínio confiante), verificando se as solicitações de autenticação recebidas são provenientes de uma autoridade confiável (o domínio confiável). Dessa forma, as relações de confiança atuam como pontes que permitem que apenas as solicitações de autenticação validadas viajem entre domínios.
A maneira como uma relação de confiança específica passa solicitações de autenticação depende de como ela está configurada. As relações de confiança podem ser unidirecionais, fornecendo acesso do domínio confiável aos recursos no domínio confiável ou bidirecionais, fornecendo acesso de cada domínio aos recursos no outro domínio. As relações de confiança também são não transitivas, caso em que a confiança existe apenas entre os dois domínios de parceiros confiáveis; ou transitivas, nesse caso, a confiança se estende automaticamente a quaisquer outros domínios que qualquer um dos parceiros confia.
Para obter informações sobre como uma relação de confiança funciona, confira Como funcionam as relações de confiança de domínio e floresta.
Transição de protocolo
A transição de protocolo auxilia os designers de aplicativos, permitindo que os aplicativos ofereçam suporte a diferentes mecanismos de autenticação na camada de autenticação do usuário e alternando para o protocolo Kerberos para recursos de segurança, como autenticação mútua e delegação restrita, nas camadas de aplicativo subsequentes.
Para saber mais sobre a transição de protocolo, confira Transição de protocolo Kerberos e delegação restrita.
Delegação restrita
A delegação restrita permite aos administradores de serviços especificar e impor limites de confiança para o aplicativo, restringindo o escopo em que os serviços do aplicativo podem atuar em nome do usuário. É possível especificar determinados serviços dos quais um computador confiável para delegação pode solicitar recursos. A flexibilidade para restringir direitos de autorização para serviços ajuda a melhorar o design de segurança do aplicativo, reduzindo as oportunidades de comprometimento por serviços não confiáveis.
Para saber mais sobre a delegação restrita, confira Visão geral da delegação restrita do Kerberos.