Novidades na Proteção de Credenciais
Credential Guard para usuário conectado
A partir do Windows 10, versão 1507, Kerberos e NTLM usam a segurança baseada em virtualização para proteger os segredos kerberos & NTLM da sessão de logon do usuário conectado.
A partir do Windows 10, versão 1511, o Gerenciador de Credenciais usa a segurança baseada em virtualização para proteger as credenciais salvas do tipo de credencial de domínio. As credenciais de entrada e as credenciais de domínio salvas não serão passadas para um host remoto usando a área de trabalho remota. O Credential Guard pode ser habilitado sem bloqueio UEFI.
A partir do Windows 10, versão 1607, o modo de usuário isolado está incluído no Hyper-V para que ele não seja mais instalado separadamente para implantação do Credential Guard.
Saiba mais sobre o Credential Guard.
Remote Credential Guard para usuário conectado
A partir do Windows 10, versão 1607, o Remote Credential Guard protege as credenciais de usuário conectado ao usar a Área de Trabalho Remota protegendo os segredos Kerberos e NTLM no dispositivo cliente. Para que o host remoto avalie os recursos de rede como usuário, as solicitações de autenticação exigem que o dispositivo cliente use os segredos.
A partir do Windows 10, versão 1703, o Remote Credential Guard protege as credenciais de usuário fornecidas ao usar a Área de Trabalho Remota.
Saiba mais sobre o Remote credential guard.
Proteções de domínio
As proteções de domínio exigem um domínio do Active Directory.
Suporte ao dispositivo ingressado no domínio para autenticação usando a chave pública
Começando com Windows 10 versão 1507 e Windows Server 2016, se um dispositivo ingressado no domínio for capaz de registrar sua chave pública associada com um DC (controlador de domínio Windows Server 2016), o dispositivo poderá se autenticar com a chave pública usando a autenticação Kerberos PKINIT em um Windows Server 2016 DC.
A partir de Windows Server 2016, os KDCs dão suporte à autenticação usando a confiança de chave Kerberos.
Suporte à extensão de freshness do PKINIT
A partir do Windows 10, versão 1507 e Windows Server 2016, os clientes Kerberos tentarão a extensão de atualização PKInit para logons baseados em chave pública.
A partir de Windows Server 2016, os KDCs podem dar suporte à extensão de atualização do PKInit. Por padrão, os KDCs não oferecerão a extensão de atualização PKInit.
Saiba mais sobre o suporte à extensão de atualização PKINIT.
Somente segredos NTLM do usuário de chave pública
Começando com Windows Server 2016 DFL (nível funcional de domínio), os DCs podem dar suporte à distribuição de segredos NTLM de uma chave pública somente do usuário. Esse recurso não está disponível em DFLs inferiores.
Aviso
A adição de um controlador de domínio a um domínio com segredos NTLM sem interrupção habilitados antes que o DC seja atualizado com pelo menos a manutenção de 8 de novembro de 2016 corre o risco de falha de DC.
Configuração: para novos domínios, esse recurso é habilitado por padrão. Para domínios existentes, ele deve ser configurado no centro administrativo do Active Directory:
No Centro Administrativo do Active Directory, clique com o botão direito do mouse no domínio no painel esquerdo e selecione Propriedades.
Selecione Habilitar a rolagem de segredos NTLM expirados durante o logon, para os usuários que precisam usar Windows Hello para Empresas ou cartão inteligente para logon interativo.
Clique em OK.
Permitindo o NTLM de rede quando o usuário está restrito a dispositivos específicos ingressados no domínio
Começando com Windows Server 2016 DFL (nível funcional de domínio), os DCs podem dar suporte à permissão de NTLM de rede quando um usuário é restrito a dispositivos específicos ingressados no domínio. Esse recurso não está disponível em DFLs inferiores.
Configuração: Na política de autenticação, clique em Permitir autenticação de rede NTLM quando o usuário estiver restrito a dispositivos selecionados.