Autenticação de usuários finais da MED-V
A autenticação Microsoft Enterprise Desktop Virtualization (MED-V) 2.0 é um problema de segurança muito importante. Nesse contexto, a autenticação refere-se à verificação da identidade do usuário final do MED-V.
A seção a seguir fornece informações e diretrizes sobre a autenticação do usuário final no MED-V.
Autenticação de usuário no MED-V
A autenticação no MED-V geralmente ocorre em dois níveis: quando um usuário acessa o MED-V pela primeira vez e sempre que altera sua senha.
Dependendo de como você definiu as configurações do MED-V para autenticação, o usuário final normalmente é solicitado em algum momento a inserir sua senha, seja na primeira vez que o MED-V é iniciado ou na primeira vez que ele tenta abrir um aplicativo publicado.
Há vários aspectos da autenticação do usuário final que você pode controlar, incluindo o seguinte:
Se as credenciais inseridas pelo usuário final serão armazenadas no Gerenciador de Credenciais
De que maneira o usuário final é apresentado com a opção de inserir e salvar sua senha
Dependendo do processo preferencial da sua empresa para gerenciar a autenticação do usuário final, você pode especificar se o cache de credenciais ocorre para um workspace med-V específico. Armazenar em cache as credenciais de um usuário final é útil porque eles só são solicitados uma vez para a senha. Se o usuário final não tiver permissão para salvar sua senha ou decidir não salvá-la, sempre que iniciar uma nova sessão MED-V, ele deverá inseri-la novamente. Por exemplo, se o MED-V estiver configurado para iniciar quando o usuário final fizer logon no host, mas a Autenticação estiver desabilitada, o usuário final só será solicitado uma vez durante o logon. Nesse caso, as credenciais são válidas até o usuário final fazer logoff do host.
Se for necessário, você poderá usar o Gerenciador de Credenciais para remover quaisquer credenciais armazenadas do usuário final.
Por padrão, o armazenamento de credenciais está desabilitado, mas você pode alterar essa configuração por meio de um dos seguintes métodos:
Enquanto você estiver criando o pacote de workspace do MED-V. Para obter mais informações, consulte Criar um pacote de workspace MED-V.
Depois de implantar o workspace do MED-V. Edite o parâmetro de cmdlet MED-V UxCredentialCacheEnabled para definir a chave do Registro dos Serviços de Terminal. Para obter mais informações, consulte Windows PowerShell Ajuda.
Após a implantação do workspace do MED-V, você pode definir sua preferência para autenticação do usuário final modificando a política de Serviços de Terminal chamada DisablePasswordSaving. DisablePasswordSaving controla se a caixa de seleção de salvamento de senha aparece na janela de diálogo do cliente RDP e se o prompt de credencial MED-V é exibido.
A seguir está o caminho de política para a política de Serviços de Terminal chamada DisablePasswordSaving.
Regedit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Virtual Machine\Policies\DisablePasswordSaving
Observação
As alterações feitas em DisablePasswordSaving afetam apenas o prompt de RDP para uma máquina virtual.
A tabela a seguir lista as diferentes maneiras pelas quais você pode definir suas configurações para o armazenamento de credenciais e os efeitos das diferentes configurações:
| Valor | Configuração | Resultado |
|---|---|---|
DisablePasswordSaving |
Desabilitado |
O prompt do MED-V é apresentado e uma caixa de seleção para aceitar está disponível e desmarcada. Se o usuário final marcar a caixa de seleção, as credenciais serão armazenadas em cache para uso subsequente. O usuário final também tem o benefício de ser solicitado apenas quando a senha expira. |
Se o usuário final não marcar a caixa de seleção, o prompt do cliente RDC (Conexão de Área de Trabalho Remota) será apresentado em vez do prompt do MED-V e a caixa de seleção a ser aceita será desmarcada. Se o usuário final marcar a caixa de seleção, a credencial do cliente RDC será armazenada para uso posterior.
Importante
O RDC não valida credenciais quando o usuário final as insere. Se o usuário final armazenar em cache as credenciais por meio do prompt do RDC, há um risco de que credenciais incorretas possam ser armazenadas. Nesse caso, as credenciais incorretas devem ser excluídas no Gerenciador de Credenciais do Windows. |
||
DisablePasswordSaving |
Habilitado |
Observação
Essa configuração é mais segura porque não permite que as credenciais do usuário final sejam armazenadas em cache. |
Por padrão, a instalação do MED-V define uma chave do Registro no convidado para suprimir o prompt "senha prestes a expirar". O usuário final só será solicitado a alterar a senha no host. As credenciais atualizadas no host são passadas para o convidado.
Cuidado
Se você usar Política de Grupo em seu ambiente, saiba que ela pode substituir a chave do Registro, fazendo com que os prompts de senha do convidado reaparecerem.
Preocupações de segurança com autenticação
Embora armazenar em cache as credenciais do usuário final forneça a melhor experiência do usuário, você deve estar ciente dos riscos envolvidos.
Quando o cache de credenciais está habilitado, a credencial de domínio do usuário final é armazenada em um formato reversível no Gerenciador de Credenciais do Windows. Como resultado, um invasor pode escrever uma ferramenta que é executada como um processo no nível do sistema ou um processo de usuário final e que recupera as credenciais do usuário final. Você só pode reduzir esse risco definindo DisablePasswordSaving como Habilitado.
Essa mesma preocupação existe quando a autenticação MED-V está desabilitada, mas a configuração de política dos Serviços de Terminal está habilitada.