Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tópico de visão geral de referência descreve os conceitos nos quais a autenticação do Windows se baseia.
A autenticação é um processo para verificar a identidade de um objeto ou pessoa. Quando você autentica um objeto, o objetivo é verificar se o objeto é genuíno. Quando você autentica uma pessoa, o objetivo é verificar se a pessoa não é um impostor.
Em um contexto de rede, a autenticação é o ato de provar a identidade de um aplicativo ou recurso de rede. Normalmente, a identidade é comprovada por uma operação criptográfica que usa uma chave que apenas o usuário conhece (como acontece com a criptografia de chave pública) ou uma chave compartilhada. O lado do servidor da troca de autenticação compara os dados assinados com uma chave criptográfica conhecida para validar a tentativa de autenticação.
Armazenar as chaves criptográficas em um local central seguro torna o processo de autenticação escalável e sustentável. O Ative Directory é a tecnologia recomendada e padrão para armazenar informações de identidade, que incluem as chaves criptográficas que são as credenciais do usuário. O Ative Directory é necessário para implementações NTLM e Kerberos padrão.
As técnicas de autenticação vão desde um simples logon em um sistema operacional ou um login em um serviço ou aplicativo, que identifica os usuários com base em algo que apenas o usuário sabe, como uma senha, até mecanismos de segurança mais poderosos que usam algo que o usuário tem, como tokens, certificados de chave pública, imagens ou atributos biológicos. Em um ambiente de negócios, os usuários podem acessar vários aplicativos em vários tipos de servidores em um único local ou em vários locais. Por esses motivos, a autenticação deve oferecer suporte a ambientes para outras plataformas e para outros sistemas operacionais Windows.
Autenticação e autorização: uma analogia de viagem
Uma analogia de viagem pode ajudar a explicar como funciona a autenticação. Geralmente, são necessárias algumas tarefas preparatórias para iniciar a viagem. O viajante deve provar a sua verdadeira identidade às autoridades de acolhimento. Esta prova pode assumir a forma de prova de cidadania, local de nascimento, comprovativo pessoal, fotografias, ou o que for exigido pela lei do país de acolhimento. A identidade do viajante é validada pela emissão de um passaporte, que é análogo a uma conta do sistema emitida e administrada por uma organização - a entidade de segurança. O passaporte e o destino pretendido baseiam-se num conjunto de regras e regulamentos emitidos pela autoridade governamental.
A viagem
Quando o viajante chega à fronteira internacional, um guarda de fronteira pede credenciais e o viajante apresenta seu passaporte. O processo tem duas vertentes:
O guarda autentica o passaporte verificando se foi emitido por uma autoridade de segurança em que o governo local confia (confia, pelo menos, para emitir passaportes) e verificando se o passaporte não foi modificado.
O guarda autentica o viajante verificando se o rosto corresponde ao rosto da pessoa retratada no passaporte e se outras credenciais necessárias estão em boas condições.
Se o passaporte provar ser válido e o viajante provar ser seu proprietário, a autenticação é bem-sucedida e o viajante pode ter acesso através da fronteira.
A confiança transitiva entre as autoridades de segurança é a base da autenticação; O tipo de autenticação que ocorre em uma fronteira internacional é baseado na confiança. O governo local não conhece o viajante, mas confia que o governo anfitrião o faça. Quando o governo anfitrião emitiu o passaporte, também não conhecia o viajante. Confiou no órgão que emitiu a certidão de nascimento ou outra documentação. O órgão que emitiu a certidão de nascimento, por sua vez, confiou no médico que assinou a certidão. O médico presenciou o nascimento do viajante e carimbou o atestado com comprovante direto da identidade, neste caso com a pegada do recém-nascido. A confiança que é transferida desta forma, através de intermediários confiáveis, é transitiva.
A confiança transitiva é a base para a segurança de rede na arquitetura cliente/servidor Windows. Uma relação de confiança flui através de um conjunto de domínios, como uma árvore de domínio, e forma uma relação entre um domínio e todos os domínios que confiam nesse domínio. Por exemplo, se o domínio A tem uma relação de confiança transitiva com o domínio B e se o domínio B confia no domínio C, então o domínio A confia no domínio C.
Há uma diferença entre autenticação e autorização. Com a autenticação, o sistema prova que você é quem diz ser. Com autorização, o sistema verifica se você tem direitos para fazer o que quiser. Para levar a analogia da fronteira para o próximo passo, a mera autenticação de que o viajante é o proprietário adequado de um passaporte válido não autoriza necessariamente o viajante a entrar em um país. Os residentes de um determinado país estão autorizados a entrar noutro país mediante a simples apresentação de um passaporte apenas em situações em que o país de entrada concede permissão ilimitada para todos os cidadãos desse país específico entrarem.
Da mesma forma, você pode conceder a todos os usuários de um determinado domínio permissões para acessar um recurso. Qualquer usuário que pertença a esse domínio tem acesso ao recurso, assim como o Canadá permite que cidadãos dos EUA entrem no Canadá. No entanto, os cidadãos dos EUA que tentam entrar no Brasil ou na Índia descobrem que não podem entrar nesses países apenas apresentando um passaporte, porque ambos os países exigem que os cidadãos dos EUA visitantes tenham um visto válido. Assim, a autenticação não garante acesso a recursos ou autorização para usar recursos.
Credenciais
Atenção
Quando um usuário executa um logon local, suas credenciais são verificadas localmente em relação a uma cópia em cache antes de serem autenticadas com um provedor de identidade pela rede. Se a verificação de cache for bem-sucedida, o usuário terá acesso à área de trabalho, mesmo que o dispositivo esteja offline. No entanto, se o usuário alterar sua senha na nuvem, o verificador armazenado em cache não será atualizado, o que significa que ele ainda poderá acessar sua máquina local usando sua senha antiga.
Um passaporte e possivelmente vistos associados são as credenciais aceitas para um viajante. No entanto, essas credenciais podem não permitir que um viajante entre ou acesse todos os recursos dentro de um país. Por exemplo, são necessárias credenciais adicionais para participar numa conferência. No Windows, as credenciais podem ser gerenciadas para possibilitar que os titulares de contas acessem recursos pela rede sem precisar fornecer repetidamente suas credenciais. Esse tipo de acesso permite que os usuários sejam autenticados uma vez pelo sistema para acessar todos os aplicativos e fontes de dados que eles estão autorizados a usar sem inserir outro identificador de conta ou senha. A plataforma Windows aproveita a capacidade de usar uma única identidade de usuário (mantida pelo Ative Directory) em toda a rede, armazenando localmente em cache as credenciais do usuário na Autoridade de Segurança Local (LSA) do sistema operacional. Quando um usuário faz logon no domínio, os pacotes de autenticação do Windows usam as credenciais de forma transparente para fornecer logon único ao autenticar as credenciais nos recursos da rede. Para obter mais informações sobre credenciais, consulte Processos de Credenciais na Autenticação do Windows.
Uma forma de autenticação multifator para o viajante pode ser a exigência de portar e apresentar vários documentos para autenticar sua identidade, como passaporte e informações de registro de conferência. O Windows implementa esse formulário ou autenticação por meio de cartões inteligentes, cartões inteligentes virtuais e tecnologias biométricas.
Entidades de segurança e contas
No Windows, qualquer utilizador, serviço, grupo ou computador que possa iniciar uma ação é uma entidade de segurança. As entidades de segurança têm contas, que podem ser locais num computador ou baseadas em domínio. Por exemplo, os computadores que ingressaram no domínio do cliente Windows podem participar de um domínio de rede comunicando-se com um controlador de domínio mesmo quando nenhum usuário humano está conectado. Para iniciar comunicações, o computador deve ter uma conta ativa no domínio. Antes de aceitar comunicações do computador, a autoridade de segurança local no controlador de domínio autentica a identidade do computador e, em seguida, define o contexto de segurança do computador da mesma forma que faria para uma entidade de segurança humana. Esse contexto de segurança define a identidade e os recursos de um usuário ou serviço em um determinado computador ou um usuário, serviço, grupo ou computador em uma rede. Por exemplo, ele define os recursos, como um compartilhamento de arquivos ou impressora, que podem ser acessados e as ações, como Ler, Gravar ou Modificar, que podem ser executadas por um usuário, serviço ou computador nesse recurso. Para obter mais informações, consulte Princípios de Segurança.
Uma conta é um meio de identificar um requerente - o usuário humano ou serviço - solicitando acesso ou recursos. O viajante que possui o passaporte autêntico possui uma conta no país de acolhimento. Usuários, grupos de usuários, objetos e serviços podem ter contas individuais ou compartilhar contas. As contas podem ser membros de grupos e podem receber direitos e permissões específicos. As contas podem ser restritas ao computador local, grupo de trabalho, rede ou receber associação a um domínio.
As contas incorporadas e os grupos de segurança, dos quais são membros, são definidos em cada versão do Windows. Usando grupos de segurança, você pode atribuir as mesmas permissões de segurança a muitos usuários autenticados com êxito, o que simplifica a administração de acesso. As regras para a emissão de passaportes podem exigir que o viajante seja atribuído a determinados grupos, como negócios, turismo ou governo. Esse processo garante permissões de segurança consistentes em todos os membros de um grupo. O uso de grupos de segurança para atribuir permissões significa que o controle de acesso de recursos permanece constante e fácil de gerenciar e auditar. Ao adicionar e remover usuários que exigem acesso dos grupos de segurança apropriados, conforme necessário, você pode minimizar a frequência das alterações nas listas de controle de acesso (ACLs).
Contas de serviço gerenciadas autônomas e contas virtuais foram introduzidas no Windows Server 2008 R2 e no Windows 7 para fornecer aplicativos necessários, como o Microsoft Exchange Server e o IIS (Serviços de Informações da Internet), com o isolamento de suas próprias contas de domínio, eliminando a necessidade de um administrador administrar manualmente o SPN (nome da entidade de serviço) e as credenciais dessas contas. As contas de serviço gerenciado de grupo foram introduzidas no Windows Server 2012 e fornecem a mesma funcionalidade dentro do domínio, mas também estende essa funcionalidade a vários servidores. Ao conectar-se a um serviço hospedado num grupo de servidores, como o Balanceamento de Carga de Rede, os protocolos de autenticação que dão suporte à autenticação mútua exigem que todas as instâncias dos serviços usem a mesma entidade.
Para obter mais informações sobre contas, consulte:
Autenticação delegada
Para usar a analogia de viagem, os países podem conceder o mesmo acesso a todos os membros de uma delegação governamental oficial, desde que os delegados sejam bem conhecidos. Esta delegação permite que um membro aja sob a autoridade de outro membro. No Windows, a autenticação delegada ocorre quando um serviço de rede aceita uma solicitação de autenticação de um usuário e assume a identidade desse usuário para iniciar uma nova conexão com um segundo serviço de rede. Para oferecer suporte à autenticação delegada, você deve estabelecer servidores front-end ou de primeira camada, como servidores Web, responsáveis por lidar com solicitações de autenticação de cliente e servidores back-end ou de n camadas, como bancos de dados grandes, responsáveis pelo armazenamento de informações. Você pode delegar o direito de configurar a autenticação delegada aos usuários em sua organização para reduzir a carga administrativa sobre os administradores.
Ao estabelecer um serviço ou computador como confiável para delegação, você permite que esse serviço ou computador conclua a autenticação delegada, receba um tíquete para o usuário que está fazendo a solicitação e, em seguida, acesse as informações desse usuário. Esse modelo restringe o acesso a dados em servidores back-end apenas aos usuários ou serviços que apresentam credenciais com os tokens de controle de acesso corretos. Além disso, permite a auditoria de acesso desses recursos de back-end. Ao exigir que todos os dados sejam acessados por meio de credenciais delegadas ao servidor para uso em nome do cliente, você garante que o servidor não seja comprometido e que você possa obter acesso a informações confidenciais armazenadas em outros servidores. A autenticação delegada é útil para aplicativos de várias camadas projetados para usar recursos de logon único em vários computadores.
Autenticação em relações de confiança entre domínios
A maioria das organizações que têm mais de um domínio tem uma necessidade legítima de que os usuários acessem recursos compartilhados localizados em um domínio diferente, assim como o viajante pode viajar para diferentes regiões do país. O controle desse acesso requer que os usuários em um domínio também possam ser autenticados e autorizados a usar recursos em outro domínio. Para fornecer recursos de autenticação e autorização entre clientes e servidores em domínios diferentes, deve haver uma confiança entre os dois domínios. As relações de confiança são a tecnologia subjacente pela qual ocorrem comunicações seguras do Ative Directory e são um componente de segurança integral da arquitetura de rede do Windows Server.
Quando existe uma relação de confiança entre dois domínios, os mecanismos de autenticação para cada domínio confiam nas autenticações provenientes do outro domínio. As relações de confiança ajudam a fornecer acesso controlado a recursos compartilhados em um domínio de recurso - o domínio confiável - verificando se as solicitações de autenticação de entrada vêm de uma autoridade confiável - o domínio confiável. Dessa forma, as relações de confiança atuam como pontes que permitem que apenas solicitações de autenticação validadas viajem entre domínios.
Como uma relação de confiança específica passa solicitações de autenticação depende de como ela é configurada. As relações de confiança podem ser unidirecionais, fornecendo acesso do domínio confiável a recursos no domínio confiável, ou bidirecionais, fornecendo acesso de cada domínio a recursos no outro domínio. As relações de confiança também são não transitivas, caso em que a confiança existe apenas entre os dois domínios de parceiros de confiança, ou transitivas, caso em que a confiança se estende automaticamente a quaisquer outros domínios em que qualquer um dos parceiros confia.
Para obter informações sobre como funciona um trust, consulte Como funcionam os trusts de domínios e florestas.
Transição de protocolo
A transição de protocolo auxilia os designers de aplicativos permitindo que os aplicativos ofereçam suporte a diferentes mecanismos de autenticação na camada de autenticação do usuário e alternando para o protocolo Kerberos para recursos de segurança, como autenticação mútua e delegação restrita, nas camadas de aplicativo subsequentes.
Para obter mais informações sobre transição de protocolo, consulte Transição de Protocolo Kerberos e Delegação Restrita.
Delegação restrita
A delegação restrita dá aos administradores a capacidade de especificar e impor limites de confiança do aplicativo, limitando o escopo em que os serviços de aplicativo podem agir em nome de um usuário. Você pode especificar serviços específicos dos quais um computador confiável para delegação pode solicitar recursos. A flexibilidade para restringir os direitos de autorização para serviços ajuda a melhorar o design de segurança do aplicativo, reduzindo as oportunidades de comprometimento por serviços não confiáveis.
Para obter mais informações sobre delegação restrita, consulte Descrição geral da delegação restrita de Kerberos.
Referências Adicionais
Visão geral técnica de logon e autenticação do Windows