Neste artigo conheçeremos os protocolos de autenticação do Windows Server 2003.

 

 

Tabela 9.1 – Segurança da Informação

 

 

 

Percebam que a tabela acima nos mostra que os protocolos disponíveis no Windows Server 2003 nos ajudam a implementar mecanismos de segurança que atuam diretamente nos princípios básicos da segurança da informação. É extremamente utilizar esses protocolos para aumentar ainda mais o nível de segurança do Windows Server 2003.

 

O NTLM (NT LAN Manager) é o protocolo de autenticação de rede padrão do Windows NT 4.0. Apesar de ser suportado no Windows Server 2003, não recomenda-se o uso desse protocolo. A autenticação desse protocolo é lenta, não executa autenticação mútua, as relações de confiança criadas por esse protocolo não são transitivas e é um protocolo incompatível com redes não Microsoft. Deve ser utilizado para autenticar clientes Windows 3.x e Windows 9.x. Um detalhe importante é que os clientes Windows 95, Windows 98 e Windows NT 4.0 que possuam o DS Client instalado podem utilizar o NTLM V2 para autenticação.

 

O Kerberos V5 é um protocolo que foi projetado para ser utilizado em redes UNIX. Devido a sua superioridade quando comparado ao NTLM, a Microsoft incluiu no Windows Server 2003 o suporte para o protocolo Kerberos V5. Com isso, se tornou o protocolo de autenticação padrão do Windows Server 2003. O Kerberos é um protocolo bem mais eficiente, executa a autenticação mútua, as relações de confiança são transitivas, é compatível com vários sistemas operacionais e o mais importante, é bem mais seguro.

 

O IPSEC é um protocolo utilizado para garantir a segurança na comunicação entre 2 computadores, mesmo que estejamos utilizando a Internet. É um protocolo baseado em um modelo ponto-a-ponto, no qual ambos os computadores envolvidos na comunicação deverão possuir um conjunto de regras em comum.

 

Além dos protocolos, temos uma série de diretivas de segurança que aumentam ainda mais o nível de segurança de uma rede Windows Server 2003, como por exemplo, políticas de senha, direitos de usuários e muitos outros parâmetros. Mais adiante veremos esses parâmetros.

 

 

Autenticação em uma rede Windows Server 2003

 

Em uma rede Windows Server 2003, 2 métodos de autenticação são suportados:

 

• NTLM (NT LAN Manager): esse é o protocolo de autenticação de rede padrão do Windows NT 4.0. Apesar de ser suportado no Windows Server 2003, não recomenda-se o uso desse protocolo. A autenticação desse protocolo é lenta, não executa autenticação mútua, as relações de confiança criadas por esse protocolo não são transitivas e é um protocolo incompatível com redes não Microsoft. Deve ser utilizado para autenticar clientes Windows 3.x e Windows 9.x. Um detalhe importante é que os clientes Windows 95, Windows 98 e Windows NT 4.0 que possuam o DS Client instalado podem utilizar o NTLM V2 para autenticação.

• Kerberos V5: esse protocolo foi projetado para ser utilizado em redes UNIX. Devido a sua superioridade quando comparado ao NTLM, a Microsoft incluiu no Windows Server 2003 o suporte para o protocolo Kerberos V5. Com isso, se tornou o protocolo de autenticação padrão do Windows Server 2003. O Kerberos é um protocolo bem mais eficiente, executa a autenticação mútua, as relações de confiança são transitivas, é compatível com vários sistemas operacionais e o mais importante, é um protocolo que possui um nível de segurança muito alto.

No Windows Server 2003 podemos habilitar a diretiva de segurança Kerberos via GPO.

 

Exemplo prático – Configurar a diretiva Kerberos.

 

a)   Efetue logon com uma conta de usuário com direitos administrativos.

 

b)   Abra o console Usuários e Computadores do Active Directory.

 

c)   Clique com o botão direito sobre o domínio e escolha a opção Propriedades.

 

d)   Clique na aba Diretiva de grupo.

 

e)   Dê 2 cliques sobre a GPO desejada ou selecione a GPO e clique em Editar.

 

f)    Acesse a opção Configuração do computador, Configurações do Windows, Configurações de segurança, Diretivas de conta, Diretivas do Kerberos.

 

 

g)   As seguintes diretivas podem ser configuradas aqui:

 

a.   Aplicar restrições ao logon do usuário: usado para validar a solicitação de ticket de sessão, verificando se a conta de usuário possui direitos para efetuar o logon.

 

b.   Vida útil máxima para permissão de serviço: define o tempo em que o ticket de sessão será válido. O valor padrão é de 600 minutos.

 

c.   Vida útil máxima para permissão de usuário: define o tempo em que o ticket de usuário será válido. O valor padrão é de 10 horas minutos.

 

d.  Vida útil máxima para renovação da permissão de usuário: define o tempo em que o ticket de concessão de ticket será válido. O valor padrão é de 7 dias.

 

e.  Tolerância máxima para minutos de sincronização do relógio: define a diferença máxima para o tempo permitido entre um remetente e um receptor. O valor padrão é 5.

 

h)    Faça as configurações desejadas.

 

 

Todas as versões do Windows possuem um método de autenticação padrão. Quando os clientes se autenticam com o servidor Windows Server 2003, o método de autenticação padrão tentará ser utilizado. Os métodos são os seguintes:

 

• LM: método de autenticação padrão do Windows 95 e Windows 98.

• NTLM: método de autenticação padrão do Windows NT 4.0.

• NTLM V2: método de autenticação padrão do Windows 95, Windows 98 e Windows NT com o DS Client instalado.

• Kerberos: método de autenticação padrão do Windows 2000, Windows XP e Windows Server 2003.

Veremos agora um exemplo no qual configuraremos a diretiva de segurança para que force os clientes a utilizarem o protocolo NTLM V2.

 

Exemplo prático – Configurar a diretiva NTLM.

 

a)   Efetue logon com uma conta de usuário com direitos administrativos.

 

b)   Abra o console Usuários e Computadores do Active Directory.

 

c)   Clique com o botão direito sobre o domínio e escolha a opção Propriedades.

 

d)   Clique na aba Diretiva de grupo.

 

e)   Dê 2 cliques sobre a GPO desejada ou selecione a GPO e clique em Editar.

 

f)    Acesse a opção Configuração do computador, Configurações do Windows, Configurações de segurança, Diretivas locais, Opções de segurança.

 

 

g)   Clique 2 vezes sobre a diretiva Segurança de rede: nível de autenticação LAN Manager.

 

 

h)   Agora selecione a opção Enviar somente respostas NTLM V2\recusar LM ou a opção Enviar somente respostas NTLM V2\recusar LM e NTLM. Não se esqueça que os clientes Windows 95, Windows 98 e Windows NT devem possuir o DS Client instalado para que possam utilizar o NTLM V2. Outro detalhe é que o DS Client só poderá ser instalado no Windows 9.x caso o computador possua o Internet Explorer 4.0 instalado. E para os clientes Windows 95, o recurso Active Desktop deve estar ativado.

 

i)     Clique em OK.

 

Para maiores informações sobre o Kerberos e o NTLM, visite os sites abaixo:

 

• http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx
• http://support.microsoft.com/default.aspx?scid=kb;pt-br;239869
• http://support.microsoft.com/kb/239869
• http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/76052.mspx?mfr=true

 

 

Conclusão

 

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.

 

Autor: Fabiano Santana – MVP, MCP, MCDST, MCSA Security, MCSE Security