Partilhar via

Proteção e Gestão de Credenciais

  • Artigo

 

Aplica-se a: Windows Server 2012 R2

Este tópico destinado ao profissional de TI aborda funcionalidades e métodos apresentados no Windows Server 2012 R2 e Windows 8.1 para proteção de credenciais e controlos de autenticação de domínios no sentido de reduzir o roubo de credenciais.

Modo de Administração Restrita para Ligação ao Ambiente de Trabalho Remoto

O modo de Administração Restrita proporciona um método de início de sessão interativo num servidor anfitrião remoto sem transmitir as suas credenciais para o servidor. Esta ação impede que as credenciais sejam recolhidas durante o processo de ligação inicial, se o servidor estiver comprometido.

Ao utilizar este modo com credenciais de administrador, o cliente de ambiente de trabalho remoto tenta interativamente iniciar sessão para um anfitrião que também suporta este modo sem enviar credenciais. Quando o anfitrião verificar que a conta de utilizador que está a ligar tem direitos de administrador e suporta o modo de Administração Restrita, a ligação é bem-sucedida. Caso contrário, a tentativa de ligação falha. O modo Admin Restrito nunca, em qualquer altura, envia texto não encriptado ou outras formas reutilizáveis de credenciais para computadores remotos.

Para obter mais informações, consulte Novidades dos Serviços de Ambiente de Trabalho Remoto no Windows Server.

Proteção da LSA

A LSA (Autoridade de Segurança Local), que reside no processo do LSASS (Serviço de Subsistema de Autoridade de Segurança Local), valida os utilizadores para inícios de sessão locais e remotos e impõe as políticas de segurança locais. O sistema operativo Windows 8.1 garante proteção adicional que permite à LSA impedir a injeção de códigos por processos não protegidos. Isto fornece maior segurança para as credenciais que o LSA armazena e gere. Esta definição de processo protegido para a LSA pode ser configurada no Windows 8.1, mas está ativa por predefinição no Windows RT 8.1 e não pode ser alterada.

Para obter informações sobre como configurar a proteção LSA, consulte Configurar a Proteção LSA Adicional.

Grupo de segurança Utilizadores Protegidos

Este novo grupo global de domínio aciona uma nova proteção não configurável em dispositivos e computadores anfitriões que executam o Windows Server 2012 R2 e Windows 8.1. O grupo Utilizadores Protegidos ativa proteções adicionais para controladores de domínio e domínios em domínios do Windows Server 2012 R2. Isto reduz consideravelmente os tipos de credenciais disponíveis quando os utilizadores tiverem iniciado sessão em computadores da rede a partir de um computador não comprometido.

Os membros do grupo Utilizadores Protegidos são limitados também pelos seguintes métodos de autenticação:

  • Um membro do grupo Utilizadores Protegidos só pode iniciar sessão utilizando o protocolo Kerberos. A conta não pode autenticar utilizando o NTLM, a Autenticação de Texto Implícita ou o CredSSP. Num dispositivo a executar o Windows 8.1, as palavras-passe não são colocadas em cache, pelo que o dispositivo que utilizar um destes Fornecedores de Suporte de Segurança (SPPs) falhará a autenticação num domínio quando a conta é um membro do grupo Utilizadores Protegidos.

  • O protocolo Kerberos não utilizará os tipos de encriptação RC4 ou DES mais fracos no processo de pré-autenticação. Isto significa que o domínio deve ser configurado para suportar, pelo menos, o conjunto de cifras AES.

  • A conta de utilizador não pode ser delegada com a delegação restrita ou não restrita do Kerberos. Isto significa que as ligações anteriores a outros sistemas podem falhar se o utilizador for um membro do grupo Utilizadores Protegidos.

  • A definição predefinida da duração da Permissão de Concessão de Permissões (TGT) Kerberos de quatro horas é configurável utilizando Silos e Políticas de Autenticação acedidos através do ADAC (Centro de Administração do Active Directory). Isto significa que depois de quatro horas, o utilizador tem de autenticar novamente.

Aviso

As contas de serviços e de computadores não devem ser membros do grupo Utilizadores Protegidos. Este grupo não fornece proteções locais uma vez que a palavra-passe ou o certificado está sempre disponível no anfitrião. A autenticação falhará com o erro "o nome de utilizador ou a palavra-passe estão incorretos" para o serviço ou computador adicionado ao grupo Utilizadores Protegidos.

Para obter mais informações sobre este grupo, consulte Grupo de Segurança Utilizadores Protegidos.

Política de Autenticação e Silos de Políticas de Autenticação

As políticas do Active Directory baseadas em florestas são apresentadas e podem ser aplicadas a contas num domínio com um nível funcional de domínio do Windows Server 2012 R2. Estas políticas de autenticação podem controlar os anfitriões que um utilizador pode utilizar para iniciar sessão. Funcionam em conjunto com o grupo de segurança Utilizadores Protegidos e os administradores podem aplicar às contas condições de controlo de acesso para efeitos de autenticação. Estas políticas de autenticação isolam contas relacionadas para restringir o âmbito de uma rede.

A nova classe de objetos do Active Directory, a Política de Autenticação, permite-lhe aplicar a configuração de autenticação a classes de conta em domínios com um nível funcional de domínio do Windows Server 2012 R2. As políticas de autenticação são impostas durante o intercâmbio Kerberos TGS ou AS. As classes de contas do Active Directory são:

  • Utilizador

  • Computador

  • Conta de Serviço Gerida

  • Conta de Serviço Gerida de Grupo

Para obter mais informações, consulte Políticas de Autenticação e Silos de Políticas de Autenticação.

Para obter mais informações sobre como configurar contas protegidas, consulte Como Configurar Contas Protegidas.

Consulte também

Para obter mais informações sobre a LSA e o LSASS, consulte a Descrição Geral Técnica do Início de Sessão e Autenticação no Windows.

Para obter mais informações sobre como o Windows gere credenciais, consulte Descrição Geral Técnica de Credenciais em Cache e Armazenadas.