Segurança de credenciais em cache no Windows Server 2003, no Windows XP e no Windows 2000

Este artigo aborda as credenciais em cache segurança no Microsoft Windows Server 2003, no Microsoft Windows XP e no Microsoft Windows 2000. Este artigo aborda principalmente as credenciais de domínio. No entanto, este artigo também descreve credenciais genéricas para clarificação.

Noções sobre a palavra-passe em cache

Computadores baseados no Windows utilizam duas formas de palavra-passe em cache: credenciais de domínio e credenciais genéricas.

Credenciais de domínio

Credenciais de domínio são utilizadas por componentes do sistema operativo e são autenticadas pela autoridade de segurança local (LSA). Normalmente, as credenciais de domínio são estabelecidas para um utilizador quando um pacote de segurança registadas autentica dados de início de sessão do utilizador. Este pacote de segurança registadas pode ser o protocolo Kerberos ou NTLM.

Credenciais genéricas

Credenciais genéricas são definidas e autenticadas por programas que gerem autorização e segurança directamente em vez de delegar estas tarefas para o sistema operativo. Por exemplo, um programa pode requerer que um utilizador introduza um nome de utilizador e uma palavra-passe que fornece o programa. Ou, um programa pode requerer que um utilizador produzir um certificado para aceder a um Web site.

Programas utilizam funções de gestão de credenciais para pedir aos utilizadores credenciais definidas pelo programa. Estas credenciais podem ter o formato de um nome de utilizador, uma palavra-passe, um certificado ou um cartão Smart Card. As credenciais que o utilizador introduz são devolvidas ao programa para autenticação.

Gestão de credenciais permite-lhe personalizar a gestão da cache. Gestão de credenciais também fornece armazenamento a longo prazo para credenciais genéricas. Credenciais genéricas podem ser lida e escritas por processos de utilizador.

Gestor de credenciais

Windows XP Professional e Windows Server 2003 incluem uma opção nomes de utilizador e palavras-passe funcionalidade que também fornece funcionalidades de gestão de credenciais. Dependendo do tipo de autenticação, esta funcionalidade pode guardar as credenciais de utilizador para que podem ser reutilizados mais tarde.

O Gestor de credenciais armazena as credenciais de utilizador com segurança. Estas credenciais incluem as palavras-passe e certificados X.509. Gestor de credenciais permite ambos os guardados no servidor e os utilizadores nonroaming fornecer credenciais apenas uma vez. Por exemplo, a primeira vez que um utilizador executa um programa na rede da empresa, é necessária autenticação. Por conseguinte, é pedido ao utilizador para fornecer credenciais. Depois do utilizador fornece estas credenciais, podem continuar a estar associado com o programa.

Fornecer a funcionalidade de domínio credenciais em cache

Credenciais de domínio em cache fornecem as seguintes funcionalidades:

• Único Sign-on
  Único Sign-on (SSO) utiliza as credenciais são reunidas durante um início de sessão interactivo domínio para permitir que o utilizador perante uma rede uma vez. Consequentemente, o utilizador tem acesso a todos os recursos de rede autorizado sem fornecer credenciais novamente. Estes recursos de rede podem variar entre dispositivos de hardware para programas, ficheiros e outros tipos de dados. Todos os estes recursos podem propagar-se toda uma empresa em servidores de vários tipos. Os recursos poderão estar em domínios diferentes ou podem estar em sistemas operativos diferentes.
• acesso a recursos do computador quando um controlador de domínio não está disponível
  Depois de início de sessão um domínio com êxito, uma forma das informações de início de sessão é colocada em cache. Mais tarde, um utilizador pode iniciar sessão no computador utilizando a conta de domínio, mesmo que o controlador de domínio que o utilizador autenticado esteja indisponível. Uma vez que o utilizador já tiver sido autenticado, o Windows utiliza localmente as credenciais em cache para início de sessão do utilizador. Por exemplo, suponha que um utilizador móvel utiliza uma conta de domínio para iniciar sessão para um computador portátil associado a um domínio. Em seguida, o utilizador leva o computador portátil para uma localização onde o domínio indisponível. Neste cenário, o Windows utiliza as credenciais em cache a partir do último início de sessão para sessão de utilizador local e atribuir acesso a recursos do computador local.

Segurança de credenciais de domínio em cache

As credenciais do termo em cache não descreve com exactidão o Windows coloca em cache informações de início de sessão para inícios de sessão de domínio. No Windows 2000 e versões posteriores do Windows, o nome de utilizador e palavra-passe são colocados em não cache. Em vez disso, o sistema guarda um verificador da palavra-passe encriptado. Esta verificação é um hash MD4 peixe calculada duas vezes. O cálculo duplo eficazmente torna o Verificador de um hash do hash da palavra-passe do utilizador. Este comportamento é ao contrário o comportamento do Microsoft Windows NT 4.0 e versões anteriores do Windows NT.

Se um intruso tenta realizar um ataque cryptanalytic no verificador, esta encriptação tem dois consequências:

• Uma pré-compilada tabela deve ser criada para cada salt.
• O verificador não pode ser utilizado para iniciar sessão em qualquer outro local.

Opções de configuração para credenciais de domínio em cache

• número de credenciais em cache domínio armazenados no cliente
  Por predefinição, o sistema operativo coloca em cache o Verificador de dez mais recentes válido inícios cada utilizador exclusivo de sessão. Este valor pode ser definido para qualquer valor entre 0 e 50. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  172931  (http://support.microsoft.com/kb/172931/ ) Informações de início de sessão de domínio em cache
• notificação de início de sessão utilizando credenciais de domínio em cache
  Quando tenta iniciar sessão no domínio de um computador cliente baseado no Windows e um controlador de domínio não estiver disponível, não receber uma mensagem de erro. Por conseguinte, não poderá reparar que iniciado sessão com credenciais de domínio em cache. Para obter mais informações sobre como apresentar uma mensagem quando utiliza as credenciais em cache para iniciar sessão no, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  242536  (http://support.microsoft.com/kb/242536/ ) Utilizador não é notificado quando iniciar sessão com o domínio de credenciais em cache

Considerações de segurança para credenciais de domínio em cache

Eliminar a cache de credenciais

Independentemente de qual o algoritmo de encriptação é utilizado para encriptar o Verificador de palavra-passe, Verificador de palavra-passe pode ser substituído para que um intruso pode autenticar como o utilizador a quem pertence o verificador. Por conseguinte, poderão ser substituída palavra-passe do administrador. Este procedimento requer o acesso físico ao computador. Existem utilitários que podem ajudar a substituir a verificação em cache. Utilizando um destes utilitários, um intruso pode autenticar utilizando o valor substituído.

Substituir a palavra-passe do administrador não ajuda os dados de acesso do intruso são encriptados utilizando essa palavra-passe. Além disso, substitua a palavra-passe não ajuda ao intruso aceder a quaisquer dados de sistema de encriptação de ficheiros (EFS) pertence a outros utilizadores nesse computador. Substituir a palavra-passe não ajuda intruso substituir a verificação, porque o material de chaves base está incorrecto. Por conseguinte, não irão desencriptar dados encriptados utilizando o sistema de encriptação de ficheiro ou utilizando a API de protecção de dados (DPAPI, Data Protection API). Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: