Segurança de credenciais em cache no Windows Server 2003, no Windows XP e no Windows 2000

Este artigo descreve segurança de credenciais em cache no Microsoft Windows Server 2003, no Microsoft Windows XP e no Microsoft Windows 2000. Este artigo aborda principalmente credenciais de domínio. No entanto, este artigo também descreve credenciais genéricas para esclarecimento.

Noções básicas sobre o cache de senhas

Computadores baseados no Windows usam duas formas de cache de senhas: credenciais de domínio e credenciais genéricas.

Credenciais de domínio

Credenciais de domínio são usadas por componentes do sistema operacional e são autenticadas pela autoridade de segurança local (LSA). Normalmente, credenciais de domínio são estabelecidas para um usuário quando um pacote de segurança registrado autentica dados de logon do usuário. Este pacote de segurança registrado pode ser o protocolo Kerberos ou NTLM.

Credenciais genéricas

Credenciais genéricas são definidas e autenticadas por programas que gerenciam a autorização e a segurança diretamente em vez de delegar essas tarefas para o sistema operacional. Por exemplo, um programa pode exigir que um usuário digite um nome de usuário e uma senha que o programa fornece. Ou, um programa pode exigir que um usuário produzir um certificado para acessar um site.

Programas usam funções de gerenciamento de credenciais para solicitar aos usuários credenciais definidas pelo programa. Essas credenciais podem assumir a forma de um nome de usuário, uma senha, um certificado ou um cartão inteligente. As credenciais que o usuário insere são retornadas ao programa para autenticação.

Gerenciamento de credenciais permite que você personalizar o gerenciamento de cache. Gerenciamento de credenciais também fornece armazenamento de longo prazo para credenciais genéricas. Credenciais genéricas podem ser lidos e gravadas por processos de usuário.

Gerenciador de credenciais

Windows XP Professional e Windows Server 2003 incluem um armazenados nomes de usuário e o recurso de senhas que também fornece funcionalidade de gerenciamento de credenciais. Dependendo do tipo de autenticação, esse recurso pode salvar as credenciais do usuário para que eles podem ser reutilizados mais tarde.

O Gerenciador de credenciais armazena as credenciais do usuário com segurança. Essas credenciais incluem senhas e certificados X.509. O Gerenciador de credenciais permite que ambos os móveis e os usuários nonroaming fornecer credenciais apenas uma vez. Por exemplo, na primeira vez que um usuário executa um programa na rede da empresa, autenticação é necessária. Portanto, o usuário é solicitado a fornecer credenciais. Depois que o usuário fornecer essas credenciais, continuam a ser associado com o programa.

Fornecer funcionalidade que credenciais de domínio armazenadas em cache

Credenciais de domínio em cache fornecem a seguinte funcionalidade:

• Logon único
  Único Sign-on (SSO) usa as credenciais que são coletadas durante um logon interativo domínio para permitir que o usuário autenticar para uma rede uma vez. Daí em diante, o usuário tem acesso a todos os recursos de rede autorizado sem fornecer as credenciais novamente. Esses recursos de rede podem variar de dispositivos de hardware para programas, arquivos e outros tipos de dados. Todos esses recursos estejam espalhados em toda a empresa em servidores de vários tipos. Os recursos podem estar em domínios diferentes ou podem estar em sistemas operacionais diferentes.
• acesso a recursos da máquina quando um controlador de domínio não está disponível
  Depois de um logon de domínio bem-sucedida, uma forma das informações de logon é armazenadas em cache. Posteriormente, um usuário pode fazer logon para o computador usando a conta de domínio, mesmo se o controlador de domínio que o usuário autenticado não está disponível. Porque o usuário já foi autenticado, Windows usa as credenciais em cache para o usuário logon localmente. Por exemplo, suponha que um usuário móvel usa uma conta de domínio para fazer logon em um laptop que tenha ingressado em um domínio. Em seguida, o usuário leva o laptop para um local onde o domínio está indisponível. Nesse cenário, o Windows usa as credenciais em cache do último logon para logon de usuário local e para alocar o acesso aos recursos do computador local.

Segurança de credenciais de domínio em cache

As credenciais do termo em cache não descrever com precisão como o Windows armazena em cache informações de logon para logons de domínio. No Windows 2000 e versões posteriores do Windows, o nome de usuário e senha são armazenados em não cache. Em vez disso, o sistema armazena um verificador criptografada da senha. Essa verificação é um salted hash MD4 que é calculado duas vezes. A computação dupla torna efetivamente o verificador de um hash do hash da senha do usuário. Esse comportamento é diferente o comportamento do Microsoft Windows NT 4.0 e versões anteriores do Windows NT.

Se um invasor tentar conduzir um ataque cryptanalytic o verificador, essa criptografia tem dois conseqüências:

• Uma tabela de pré-compilada deve ser criada para cada salt.
• O verificador não pode ser usado para fazer logon em nenhum outro lugar.

Opções de configuração para credenciais de domínio em cache

• número de credenciais de domínio em cache armazenados no cliente
  Por padrão, o sistema operacional armazena em cache o verificador para dez mais recentes válido logons cada usuário exclusivo. Esse valor pode ser definido como qualquer valor entre 0 e 50. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  172931  (http://support.microsoft.com/kb/172931/ ) Informações de logon de domínio em cache
• notificação de logon usando credenciais de domínio em cache
  Ao tentar fazer logon em um domínio em um computador cliente baseado em Windows e um controlador de domínio não está disponível, você não receber uma mensagem de erro. Portanto, você pode não perceber que você conectado com credenciais de domínio em cache. Para obter mais informações sobre como exibir uma mensagem quando você usa as credenciais em cache para fazer logon, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  242536  (http://support.microsoft.com/kb/242536/ ) O usuário não é alertado ao fazer logon com domínio armazenados em cache as credenciais

Considerações de segurança para credenciais de domínio em cache

Excluindo o cache de credencial

Independentemente de qual algoritmo de criptografia é usado para criptografar o verificador de senha, um verificador de senha pode ser substituído para que um invasor possa autenticar como o usuário ao qual pertence o verificador. Portanto, a senha do administrador pode ser substituída. Este procedimento requer o acesso físico ao computador. Existem utilitários que pode ajudar a substituir o verificador em cache. Usando um desses utilitários, um invasor pode autenticar usando o valor substituído.

Substituir a senha do administrador não ajuda os dados de acesso do invasor são criptografados usando a senha. Além disso, substituindo a senha não ajuda o invasor acesse dados qualquer sistema de arquivos com criptografia (EFS) que pertençam a outros usuários no computador. Substituir a senha não ajuda a um invasor substituir o verificador, porque o material de chaveamento base está incorreto. Portanto, dados que são criptografados usando o EFS ou usando o DPAPI (Data Protection API) não serão descriptografar. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: