Cenários de logon do Windows

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Este tópico de referência para o profissional de TI resume cenários comuns de logon e entrada do Windows.

Os sistemas operacionais Windows exigem que todos os usuários façam logon no computador com uma conta válida para acessar recursos locais e de rede. Os computadores baseados no Windows protegem os recursos implementando o processo de logon no qual os usuários são autenticados. Depois que um usuário é autenticado, as tecnologias de controle de autorização e acesso implementam a segunda fase de proteção dos recursos: determinar se um usuário autenticado tem as permissões corretas para acessar um recurso.

O conteúdo deste tópico se aplica a versões do Windows designadas na lista Aplica-se a no início deste tópico.

Além disso, aplicativos e serviços podem exigir que os usuários entrem para acessar os recursos oferecidos pelo aplicativo ou serviço. O processo de entrada é semelhante ao processo de logon, pois são necessárias uma conta válida e credenciais corretas, mas as informações de logon são armazenadas no banco de dados SAM (Gerenciador de Contas de Segurança) no computador local e no Active Directory, quando aplicável. As informações de conta de entrada e credencial são gerenciadas pelo aplicativo ou pelo serviço e, opcionalmente, podem ser armazenadas localmente no Cofre de Credenciais.

Para entender como a autenticação funciona, confira Conceitos de Autenticação do Windows.

Este tópico descreve os seguintes cenários:

Logon interativo

O processo de logon começa quando um usuário insere credenciais na caixa de diálogo de entrada de credenciais, quando o usuário insere um cartão inteligente no leitor de cartão inteligente ou quando o usuário interage com um dispositivo biométrico. Os usuários podem executar um logon interativo usando uma conta de usuário local ou uma conta de domínio para fazer logon em um computador.

O diagrama a seguir mostra os elementos de logon interativos e o processo de logon.

Diagram showing the interactive logon elements and logon process

Arquitetura de autenticação do Windows Client

Logon local e de domínio

As credenciais que o usuário apresenta para um logon de domínio contêm todos os elementos necessários para um logon local, como nome da conta e senha ou certificado, e informações de domínio do Active Directory. O processo confirma a identificação do usuário para o banco de dados de segurança no computador local do usuário ou para um domínio do Active Directory. Esse processo de logon obrigatório não pode ser desativado para usuários em um domínio.

Os usuários podem executar um logon interativo em um computador de duas maneiras:

  • Localmente, quando o usuário tem acesso físico direto ao computador ou quando o computador faz parte de uma rede de computadores.

    Um logon local concede a um usuário permissão para acessar recursos do Windows no computador local. Um logon local requer que o usuário tenha uma conta de usuário no SAM (Gerenciador de Contas de Segurança) no computador local. O SAM protege e gerencia informações de usuário e grupo na forma de contas de segurança armazenadas no registro de computador local. O computador pode ter acesso à rede, mas isso não é necessário. As informações de conta de usuário local e associação de grupo são usadas para gerenciar o acesso aos recursos locais.

    Um logon de rede concede a um usuário permissão para acessar recursos do Windows no computador local, além de todos os recursos nos computadores em rede, conforme definido pelo token de acesso da credencial. Tanto um logon local quanto de rede exigem que o usuário tenha uma conta de usuário no SAM (Gerenciador de Contas de Segurança) no computador local. As informações de conta de usuário local e associação de grupo são usadas para gerenciar o acesso aos recursos locais e o token de acesso para o usuário define quais recursos podem ser acessados nos computadores em rede.

    Um logon local e um logon de rede não são suficientes para conceder ao usuário e ao computador permissão para acessar e usar recursos de domínio.

  • Remotamente, por meio de Serviços do Terminal ou de RDS (Serviços de Área de Trabalho Remota), caso em que o logon é qualificado como interativo remoto.

Após um logon interativo, o Windows executa aplicativos em nome do usuário e o usuário pode interagir com esses aplicativos.

Um logon local concede a um usuário permissão para acessar recursos no computador local ou nos computadores em rede. Se o computador estiver ingressado em um domínio, a funcionalidade Winlogon tentará fazer logon nesse domínio.

Um logon de domínio concede a um usuário permissão para acessar recursos locais e de domínio. Um logon de domínio requer que o usuário tenha uma conta de usuário no Active Directory. O computador deve ter uma conta no domínio do Active Directory e estar fisicamente conectado à rede. Os usuários também devem ter direitos de usuário para fazer logon em um computador local ou em um domínio. As informações da conta de usuário do domínio e as informações de associação do grupo são usadas para gerenciar o acesso aos recursos locais e de domínio.

Logon remoto

No Windows, o acesso a outro computador por meio de logon remoto depende do Protocolo RDP. Como o usuário já deve ter feito logon com êxito no computador cliente antes de tentar uma conexão remota, os processos de logon interativos foram concluídos com êxito.

O RDP gerencia as credenciais inseridas pelo usuário usando o Cliente de Área de Trabalho Remota. Essas credenciais são destinadas ao computador de destino e o usuário deve ter uma conta nesse computador de destino. Além disso, o computador de destino deve estar configurado para aceitar uma conexão remota. As credenciais de computador de destino são enviadas para tentar executar o processo de autenticação. Se a autenticação for bem-sucedida, o usuário será conectado a recursos locais e de rede acessíveis usando as credenciais fornecidas.

Logon de rede

Um logon de rede só pode ser usado depois que a autenticação de usuário, serviço ou computador tiver ocorrido. Durante o logon de rede, o processo não usa as caixas de diálogo de entrada de credenciais para coletar dados. Em vez disso, credenciais estabelecidas anteriormente ou outro método para coletar credenciais são usados. Esse processo confirma a identidade do usuário para qualquer serviço de rede que o usuário esteja tentando acessar. Normalmente, esse processo é invisível para o usuário, a menos que as credenciais alternativas precisem ser fornecidas.

Para fornecer esse tipo de autenticação, o sistema de segurança inclui estes mecanismos de autenticação:

  • Protocolo Kerberos versão 5

  • Certificados de chave pública

  • Protocolo SSL/Protocolo TLS (SSL/TLS)

  • Digest

  • NTLM, para compatibilidade com sistemas baseados no Microsoft Windows NT 4.0

Para obter informações sobre os elementos e os processos, consulte o diagrama de logon interativo acima.

Logon com cartão inteligente

Os cartões inteligentes podem ser usados para fazer logon em contas de domínio, não em contas locais. A autenticação de cartão inteligente requer o uso do protocolo de autenticação Kerberos. Introduzido no Windows 2000 Server, em sistemas operacionais baseados no Windows, uma extensão de chave pública para a solicitação de autenticação inicial do protocolo Kerberos é implementada. Ao contrário da criptografia de chave secreta compartilhada, a criptografia de chave pública é assimétrica, ou seja, duas chaves diferentes são necessárias: uma para criptografar, outra para descriptografar. Juntas, as chaves necessárias para executar ambas as operações compõem um par de chaves públicas/privadas.

Para iniciar uma sessão de logon típica, um usuário deve provar sua identidade fornecendo informações conhecidas apenas para o usuário e a infraestrutura de protocolo Kerberos subjacente. As informações secretas são uma chave compartilhada criptográfica derivada da senha do usuário. Uma chave secreta compartilhada é simétrica, o que significa que a mesma chave é usada para criptografar e descriptografar.

O diagrama a seguir mostra os elementos e os processos necessários para o logon de cartão inteligente.

Diagram showing the elements and processes required for smart card logon

Arquitetura do provedor de credenciais do cartão inteligente

Quando um cartão inteligente é usado em vez de uma senha, um par de chaves privada/pública armazenado no cartão inteligente do usuário é substituído pela chave secreta compartilhada, que é derivada da senha do usuário. A chave privada é armazenada somente no cartão inteligente. A chave pública pode ser disponibilizada para qualquer pessoa com quem o proprietário queira trocar informações confidenciais.

Para obter mais informações sobre o processo de logon de cartão inteligente no Windows, consulte Como funciona a entrada com cartão inteligente no Windows.

Logon biométrico

Um dispositivo é usado para capturar e criar uma característica digital de um artefato, como uma impressão digital. Essa representação digital é então comparada a uma amostra do mesmo artefato e, quando os dois são comparados com êxito, a autenticação pode ocorrer. Os computadores que executam qualquer um dos sistemas operacionais designados na lista Aplica-se a no início deste tópico podem ser configurados para aceitar essa forma de logon. No entanto, se o logon biométrico estiver configurado apenas para logon local, o usuário precisará apresentar credenciais de domínio ao acessar um domínio do Active Directory.

Recursos adicionais

Para obter informações sobre como o Windows gerencia as credenciais enviadas durante o processo de logon, consulte Gerenciamento de credenciais na Autenticação do Windows.

Visão geral técnica de autenticação e Logon do Windows