Nova configuração modifica o comportamento de autenticação de rede NTLM

Este artigo descreve um novo comportamento que afeta as alterações de senha do NTLM e como alterar esse comportamento usando um registro.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 906305

Introdução

Começando com o Microsoft Windows Server 2003 Service Pack 1 (SP1), há uma alteração no comportamento de autenticação de rede NTLM. Os usuários de domínio podem usar sua senha antiga para acessar a rede por uma hora após a alteração da senha. Os componentes existentes projetados para usar Kerberos para autenticação não são afetados por essa alteração.

O objetivo dessa alteração é permitir que processos em segundo plano, como serviços, continuem em execução por algum tempo até que um administrador tenha a oportunidade de atualizar as credenciais para a nova senha.

Comportamento de autenticação de rede NTLM

Para dar suporte confiável ao acesso à rede para autenticação de rede NTLM em ambientes distribuídos, o comportamento de autenticação de rede NTLM é o seguinte:

• Depois que um usuário de domínio altera com êxito uma senha usando o NTLM, a senha antiga ainda pode ser usada para acesso à rede para um período de tempo de definível pelo usuário. Esse comportamento permite que contas, como contas de serviço, que estão conectadas a vários computadores acessem a rede enquanto a alteração de senha se propaga.
• A extensão do período de tempo de vida da senha se aplica apenas ao acesso à rede usando o NTLM. O comportamento de logon interativo não é alterado. Esse comportamento não se aplica a contas hospedadas em servidores autônomos ou em servidores membros. Somente usuários de domínio são afetados por esse comportamento.
• O período de vida da senha antiga pode ser configurado editando o registro em um controlador de domínio. Nenhuma reinicialização é necessária para que essa alteração de registro entre em vigor.

Alterar o período de vida de uma senha antiga

Para alterar o período de vida de uma senha antiga, adicione uma entrada DWORD chamada OldPasswordAllowedPeriod à seguinte subchave de registro em um controlador de domínio:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Para fazer isso, siga estas etapas:

1. Clique em Iniciar e em Executar, digite regedit e clique em OK.

2. Localize e clique na seguinte subchave do Registro:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. No menu Editar, aponte para Novo e clique em Valor DWORD.

4. Digite OldPasswordAllowedPeriod como o nome do DWORD e pressione ENTER.

5. Clique com o botão direito do mouse em OldPasswordAllowedPeriod e clique em Modificar.

6. Na caixa de dados Valor , digite o valor em minutos que você deseja usar e clique em OK.

   Observação

   O período de tempo de vida é definido em minutos. Se esse valor de registro não estiver definido, o período de tempo de vida padrão para uma senha antiga será de 60 minutos.

7. Saia do Editor do Registro.

Se a senha de um usuário for conhecida por estar comprometida, o administrador deverá redefinir a senha para esse usuário. O administrador deve pedir ao usuário que altere a senha no próximo logon para invalidar a senha antiga o mais rápido possível.

Para redefinir a senha de um usuário, siga estas etapas:

1. Inicie Usuários e Computadores do Active Directory.
2. Localize a conta de usuário cuja senha deve ser redefinida.
3. Clique com o botão direito do mouse no objeto do usuário e clique em Redefinir Senha.
4. Digite a nova senha na caixa Nova senha e na caixa Confirmar senha .
5. Clique para selecionar a senha Usuário deve alterar a senha na próxima caixa marcar logon e clique em OK.