What's New in Kerberos Authentication
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016 e Windows 10
Suporte do KDC para a autenticação de cliente baseada em relação de confiança de chave pública
A partir do Windows Server 2016, os KDCs dão suporte a uma forma de mapeamento de chave pública. Se a chave pública for provisionada para uma conta, o KDC dará suporte ao Kerberos PKInit explicitamente com essa chave. Como não há validação de certificado, há suporte para certificados autoassinados, mas não há suporte para a garantia do mecanismo de autenticação.
A Relação de Confiança de Chave é preferencial quando configurada para uma conta, independentemente da configuração de UseSubjectAltName.
Suporte ao cliente Kerberos e ao KDC para extensão de atualização do PKInit do RFC 8070
A partir do Windows 10, versão 1607 e do Windows Server 2016, os clientes Kerberos tentam usar a extensão de Atualização do PKInit do RFC 8070 para logons baseados em chave pública.
A partir do Windows Server 2016, os KDCs podem dar suporte à extensão de Atualização do PKInit. Por padrão, os KDCs não oferecem a extensão de Atualização do PKInit. Para habilitá-la, use o novo suporte do KDC para a configuração de política de modelo administrativo do KDC da Extensão de Atualização do PKInit em todos os controladores de domínio no domínio. Quando configurado, há suporte para as seguintes opções quando o domínio é o DFL (nível funcional de domínio) do Windows Server 2016:
- Desabilitado: o KDC nunca oferece a Extensão de Atualização do PKInit e aceita solicitações de autenticação válidas sem verificar se há uma atualização. Os usuários nunca receberão o SID de identidade de chave pública atualizado.
- Com suporte: há suporte para a Extensão de Atualização do PKInit na solicitação. Os clientes Kerberos que se autenticam com sucesso na Extensão de Atualização do PKInit obterão o novo SID de identidade de chave pública.
- Obrigatório: a Extensão de Atualização do PKInit é necessária para a autenticação bem-sucedida. Os clientes Kerberos que não dão suporte à Extensão de Atualização do PKInit sempre falharão ao usar credenciais de chave pública.
Suporte ao dispositivo ingressado no domínio para a autenticação usando a chave pública
A partir do Windows 10 versão 1507 e do Windows Server 2016, se um dispositivo ingressado no domínio tiver a capacidade de registrar a chave pública associada em um controlador de domínio do Windows Server 2016, o dispositivo poderá se autenticar com a chave pública usando a autenticação Kerberos em um controlador de domínio do Windows Server 2016. Para obter mais informações, confira Autenticação de chave pública do dispositivo ingressado no domínio
Os clientes Kerberos permitem nomes do host de endereço IPv4 e IPv6 em SPNs (Nomes da Entidade de Serviço)
A partir do Windows 10 versão 1507 e do Windows Server 2016, os clientes Kerberos podem ser configurados para dar suporte a nomes do host IPv4 e IPv6 em SPNs.
Caminho de Registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Para configurar o suporte para nomes do host de endereço IP em SPNs, crie uma entrada TryIPSPN. Essa entrada não existe no Registro por padrão. Depois de criar a entrada, altere o valor de DWORD para 1. Se isso não estiver configurado, não será feita a tentativa de suporte de nomes do host de endereço IP.
Se o SPN estiver registrado no Active Directory, a autenticação terá sucesso com o Kerberos.
Para obter mais informações, confira o documento Como configurar o Kerberos para endereços IP.
Suporte do KDC para mapeamento de conta da Relação de Confiança de Chave
A partir do Windows Server 2016, há suporte para os controladores de domínio no mapeamento de conta da Relação de Confiança de Chave, bem como o fallback para o nome UPN e a AltSecID existentes no comportamento da SAN. Quando o UseSubjectAltName é definido como:
- 0: o mapeamento explícito é obrigatório. Em seguida, é preciso haver uma:
- Relação de Confiança de Chave (novidade do Windows Server 2016)
- ExplicitAltSecID
- 1: o mapeamento implícito é permitido (padrão):
- Se a Relação de Confiança de Chave estiver configurada para a conta, ela será usada para o mapeamento (novidade do Windows Server 2016).
- Se não houver nenhum UPN na SAN, será feita a tentativa de usar a AltSecID para o mapeamento.
- Se houver um UPN na SAN, será feita a tentativa de usar o UPN para o mapeamento.