Novidades na Proteção de Credenciais

Credential Guard para usuário conectado

A partir do Windows 10, versão 1507, Kerberos e NTLM usam a segurança baseada em virtualização para proteger os segredos kerberos & NTLM da sessão de logon do usuário conectado.

A partir do Windows 10, versão 1511, o Gerenciador de Credenciais usa a segurança baseada em virtualização para proteger as credenciais salvas do tipo de credencial de domínio. As credenciais de entrada e as credenciais de domínio salvas não serão passadas para um host remoto usando a área de trabalho remota. O Credential Guard pode ser habilitado sem bloqueio UEFI.

A partir do Windows 10, versão 1607, o modo de usuário isolado está incluído no Hyper-V para que ele não seja mais instalado separadamente para implantação do Credential Guard.

Saiba mais sobre o Credential Guard.

Remote Credential Guard para usuário conectado

A partir do Windows 10, versão 1607, o Remote Credential Guard protege as credenciais de usuário conectado ao usar a Área de Trabalho Remota protegendo os segredos Kerberos e NTLM no dispositivo cliente. Para que o host remoto avalie os recursos de rede como usuário, as solicitações de autenticação exigem que o dispositivo cliente use os segredos.

A partir do Windows 10, versão 1703, o Remote Credential Guard protege as credenciais de usuário fornecidas ao usar a Área de Trabalho Remota.

Saiba mais sobre o Remote credential guard.

Proteções de domínio

As proteções de domínio exigem um domínio do Active Directory.

Suporte ao dispositivo ingressado no domínio para autenticação usando a chave pública

Começando com Windows 10 versão 1507 e Windows Server 2016, se um dispositivo ingressado no domínio for capaz de registrar sua chave pública associada com um DC (controlador de domínio Windows Server 2016), o dispositivo poderá se autenticar com a chave pública usando a autenticação Kerberos PKINIT em um Windows Server 2016 DC.

A partir de Windows Server 2016, os KDCs dão suporte à autenticação usando a confiança de chave Kerberos.

Saiba mais sobre o suporte à chave pública para dispositivos ingressados & no domínio Confiança de chave Kerberos.

Suporte à extensão de freshness do PKINIT

A partir do Windows 10, versão 1507 e Windows Server 2016, os clientes Kerberos tentarão a extensão de atualização PKInit para logons baseados em chave pública.

A partir de Windows Server 2016, os KDCs podem dar suporte à extensão de atualização do PKInit. Por padrão, os KDCs não oferecerão a extensão de atualização PKInit.

Saiba mais sobre o suporte à extensão de atualização PKINIT.

Somente segredos NTLM do usuário de chave pública

Começando com Windows Server 2016 DFL (nível funcional de domínio), os DCs podem dar suporte à distribuição de segredos NTLM de uma chave pública somente do usuário. Esse recurso não está disponível em DFLs inferiores.

Aviso

A adição de um controlador de domínio a um domínio com segredos NTLM sem interrupção habilitados antes que o DC seja atualizado com pelo menos a manutenção de 8 de novembro de 2016 corre o risco de falha de DC.

Configuração: para novos domínios, esse recurso é habilitado por padrão. Para domínios existentes, ele deve ser configurado no centro administrativo do Active Directory:

  1. No Centro Administrativo do Active Directory, clique com o botão direito do mouse no domínio no painel esquerdo e selecione Propriedades.

    Domain properties

  2. Selecione Habilitar a rolagem de segredos NTLM expirados durante o logon, para os usuários que precisam usar Windows Hello para Empresas ou cartão inteligente para logon interativo.

    Autoroll expiring NTLM secrets

  3. Clique em OK.

Permitindo o NTLM de rede quando o usuário está restrito a dispositivos específicos ingressados no domínio

Começando com Windows Server 2016 DFL (nível funcional de domínio), os DCs podem dar suporte à permissão de NTLM de rede quando um usuário é restrito a dispositivos específicos ingressados no domínio. Esse recurso não está disponível em DFLs inferiores.

Configuração: Na política de autenticação, clique em Permitir autenticação de rede NTLM quando o usuário estiver restrito a dispositivos selecionados.

Saiba mais sobre políticas de autenticação.