Autenticação de usuários finais da MED-V
A autenticação dos utilizadores finais do Microsoft Enterprise Desktop Virtualization (MED-V) 2.0 é um problema de segurança muito importante. Neste contexto, a autenticação refere-se à verificação da identidade do utilizador final MED-V.
A secção seguinte fornece informações e orientações sobre a autenticação do utilizador final no MED-V.
Autenticação de Utilizador no MED-V
Geralmente, a autenticação no MED-V ocorre em dois níveis: quando um utilizador acede pela primeira vez ao MED-V e sempre que altera a palavra-passe.
Consoante a forma como configurou as definições MED-V para autenticação, normalmente é pedido ao utilizador final que introduza a palavra-passe, seja a primeira vez que o MED-V é iniciado ou a primeira vez que tentar abrir uma aplicação publicada.
Existem vários aspetos da autenticação do utilizador final que pode controlar, incluindo o seguinte:
Se as credenciais introduzidas pelo utilizador final são armazenadas no Gestor de Credenciais
De que forma é apresentada ao utilizador final a opção de introduzir e guardar a palavra-passe
Consoante o processo preferencial da sua empresa para gerir a autenticação do utilizador final, pode especificar se a colocação em cache de credenciais ocorre para uma área de trabalho MED-V específica. A colocação em cache das credenciais de um utilizador final é útil porque só lhes é pedida uma vez a palavra-passe. Se o utilizador final não tiver permissão para guardar a palavra-passe ou decidir não o fazer, sempre que iniciar uma nova sessão MED-V, terá de introduzi-la novamente. Por exemplo, se MED-V estiver configurado para iniciar quando o utilizador final iniciar sessão no anfitrião, mas a Autenticação estiver desativada, o utilizador final só é solicitado uma vez durante o início de sessão. Neste caso, as credenciais são válidas até que o utilizador final termine sessão no anfitrião.
Se for necessário, pode utilizar o Gestor de Credenciais para remover as credenciais do utilizador final armazenadas.
Por predefinição, o armazenamento de credenciais está desativado, mas pode alterar esta definição através de um dos seguintes métodos:
Enquanto está a criar o pacote de área de trabalho MED-V. Para obter mais informações, veja Criar um Pacote de Área de Trabalho MED-V.
Depois de implementar a área de trabalho MED-V. Edite o parâmetro de cmdlet MED-V UxCredentialCacheEnabled para definir a chave de registo dos Serviços de Terminal. Para obter mais informações, consulte Ajuda do Windows PowerShell.
Após a implementação da área de trabalho MED-V, pode definir a sua preferência para a autenticação do utilizador final ao modificar a política dos Serviços de Terminal denominada DisablePasswordSaving. DisablePasswordSaving controla se a caixa de verificação de gravação de palavra-passe aparece na janela de diálogo do cliente RDP e se o pedido de credenciais MED-V é apresentado.
Segue-se o caminho da política para a política dos Serviços de Terminal denominada DisablePasswordSaving.
Regedit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Virtual Machine\Policies\DisablePasswordSaving
Nota As alterações efetuadas a DisablePasswordSaving afetam apenas o pedido RDP para uma máquina virtual.
A tabela seguinte lista as diferentes formas de configurar as suas definições para o armazenamento de credenciais e os efeitos das diferentes configurações:
Valor | Configuração | Resultado |
---|---|---|
DisablePasswordSaving |
Desabilitado |
É apresentada a linha de comandos MED-V e está disponível e desmarcada uma caixa de verificação a aceitar. Se o utilizador final selecionar a caixa de verificação, as credenciais serão colocadas em cache para utilização subsequente. O utilizador final também tem a vantagem de ser solicitado apenas quando a palavra-passe expirar. |
Se o utilizador final não selecionar a caixa de verificação, o pedido de Cliente ligação ao ambiente de trabalho remoto (RDC) é apresentado em vez da linha de comandos MED-V e a caixa de verificação a aceitar é desmarcada. Se o utilizador final selecionar a caixa de verificação, a credencial do Cliente RDC será armazenada para utilização posterior.
Importante
O RDC não valida as credenciais quando o utilizador final as introduz. Se o utilizador final colocar as credenciais em cache através do pedido RDC, existe o risco de as credenciais incorretas poderem ser armazenadas. Neste caso, as credenciais incorretas têm de ser eliminadas no Gestor de Credenciais do Windows. |
||
DisablePasswordSaving |
Habilitada |
Observação
Esta configuração é mais segura porque não permite que as credenciais do utilizador final sejam colocadas em cache. |
Por predefinição, a instalação MED-V define uma chave de registo no convidado para suprimir o pedido de "palavra-passe prestes a expirar". Só é pedido ao utilizador final uma alteração de palavra-passe no anfitrião. As credenciais atualizadas no anfitrião são transmitidas ao convidado.
Atenção Se utilizar a Política de Grupo no seu ambiente, saiba que pode substituir a chave do registo, o que faz com que os pedidos de palavra-passe do convidado reapareçam.
Preocupações de Segurança com a Autenticação
Apesar de a colocação em cache das credenciais do utilizador final proporcionar a melhor experiência de utilizador, tem de estar ciente dos riscos envolvidos.
Quando a colocação em cache de credenciais está ativada, a credencial de domínio do utilizador final é armazenada num formato reversível no Gestor de Credenciais do Windows. Como resultado, um atacante pode escrever uma ferramenta que é executada como um processo ao nível do sistema ou um processo de utilizador final e que obtém as credenciais do utilizador final. Só pode diminuir este risco ao definir DisablePasswordSaving como Ativado.
Esta mesma preocupação existe quando a autenticação MED-V está desativada, mas a definição de política dos Serviços de Terminal está ativada.