NUNCA MAIS PASSE RAIVA POR NÃO CONSEGUIR RESOLVER UM PROBLEMA COM O EXCEL - GARANTIDO!

UNIVERSIDADE DO VBA - Domine o VBA no Excel Criando Sistemas Completos - Passo a Passo - CLIQUE AQUI

Você está em: PrincipalFabianoArtigos : Autenticacao_2003
Quer receber novidades e e-books gratuitos?

Windows Server 2003

Introdução aos protocolos de segurança

 

Autor: Fabiano de Santana

Certificações: MVP – MCSA 2000/2003 Security – MCSE 2000/2003 Security – ITIL Foundation
Data de criação: 10/12/2008

 

Introdução

 

Os protocolos de segurança no Windows Server 2003 são utilizados para gerenciar e proteger a autenticação, autorização, confidencialidade, integridade e não repúdio. Os protocolos de segurança mais utilizados no Windows Server 2003 são: Kerberos, NTLM e IPSEC (e alguns sub-protocolos). Na tabela abaixo temos uma visão onde cada protocolo atua.

 

Tabela 9.1 – Segurança da Informação

Nível de segurança Descrição Protocolos
Autenticação Garante que você é realmente você mesmo Kerberos e NTLM
Autorização Determina o que você pode fazer em uma rede após ser autenticado Kerberos e NTLM
Confidencialidade Mantém os dados protegidos Kerberos, NTLM e IPSEC
Integridade Garantir que os dados recebidos são os mesmos dados que foram enviados Kerberos, NTLM e IPSEC
Não repúdio Determina exatamente quem recebeu uma mensagem e quem enviou a mensagem Kerberos e IPSEC

 

Percebam que a tabela acima nos mostra que os protocolos disponíveis no Windows Server 2003 nos ajudam a implementar mecanismos de segurança que atuam diretamente nos princípios básicos da segurança da informação. É extremamente utilizar esses protocolos para aumentar ainda mais o nível de segurança do Windows Server 2003.

 

O NTLM (NT LAN Manager) é o protocolo de autenticação de rede padrão do Windows NT 4.0. Apesar de ser suportado no Windows Server 2003, não recomenda-se o uso desse protocolo. A autenticação desse protocolo é lenta, não executa autenticação mútua, as relações de confiança criadas por esse protocolo não são transitivas e é um protocolo incompatível com redes não Microsoft. Deve ser utilizado para autenticar clientes Windows 3.x e Windows 9.x. Um detalhe importante é que os clientes Windows 95, Windows 98 e Windows NT 4.0 que possuam o DS Client instalado podem utilizar o NTLM V2 para autenticação.

 

O Kerberos V5 é um protocolo que foi projetado para ser utilizado em redes UNIX. Devido a sua superioridade quando comparado ao NTLM, a Microsoft incluiu no Windows Server 2003 o suporte para o protocolo Kerberos V5. Com isso, se tornou o protocolo de autenticação padrão do Windows Server 2003. O Kerberos é um protocolo bem mais eficiente, executa a autenticação mútua, as relações de confiança são transitivas, é compatível com vários sistemas operacionais e o mais importante, é bem mais seguro.

 

O IPSEC é um protocolo utilizado para garantir a segurança na comunicação entre 2 computadores, mesmo que estejamos utilizando a Internet. É um protocolo baseado em um modelo ponto-a-ponto, no qual ambos os computadores envolvidos na comunicação deverão possuir um conjunto de regras em comum.

 

Além dos protocolos, temos uma série de diretivas de segurança que aumentam ainda mais o nível de segurança de uma rede Windows Server 2003, como por exemplo, políticas de senha, direitos de usuários e muitos outros parâmetros. Mais adiante veremos esses parâmetros.

 

Autenticação em uma rede Windows Server 2003

 

Em uma rede Windows Server 2003, 2 métodos de autenticação são suportados:

  • NTLM (NT LAN Manager): esse é o protocolo de autenticação de rede padrão do Windows NT 4.0. Apesar de ser suportado no Windows Server 2003, não recomenda-se o uso desse protocolo. A autenticação desse protocolo é lenta, não executa autenticação mútua, as relações de confiança criadas por esse protocolo não são transitivas e é um protocolo incompatível com redes não Microsoft. Deve ser utilizado para autenticar clientes Windows 3.x e Windows 9.x. Um detalhe importante é que os clientes Windows 95, Windows 98 e Windows NT 4.0 que possuam o DS Client instalado podem utilizar o NTLM V2 para autenticação.
  • Kerberos V5: esse protocolo foi projetado para ser utilizado em redes UNIX. Devido a sua superioridade quando comparado ao NTLM, a Microsoft incluiu no Windows Server 2003 o suporte para o protocolo Kerberos V5. Com isso, se tornou o protocolo de autenticação padrão do Windows Server 2003. O Kerberos é um protocolo bem mais eficiente, executa a autenticação mútua, as relações de confiança são transitivas, é compatível com vários sistemas operacionais e o mais importante, é um protocolo que possui um nível de segurança muito alto.

No Windows Server 2003 podemos habilitar a diretiva de segurança Kerberos via GPO.

 

Exemplo prático – Configurar a diretiva Kerberos.

  • Efetue logon com uma conta de usuário com direitos administrativos.
  • Abra o console Usuários e Computadores do Active Directory.
  • Clique com o botão direito sobre o domínio e escolha a opção Propriedades.
  • Clique na aba Diretiva de grupo.
  • Dê 2 cliques sobre a GPO desejada ou selecione a GPO e clique em Editar.
  • Acesse a opção Configuração do computador, Configurações do Windows, Configurações de segurança, Diretivas de conta, Diretivas do Kerberos.

Figura 1 – Diretiva Kerberos

  • As seguintes diretivas podem ser configuradas aqui:
    • Aplicar restrições ao logon do usuário: usado para validar a solicitação de ticket de sessão, verificando se a conta de usuário possui direitos para efetuar o logon.
    • Vida útil máxima para permissão de serviço: define o tempo em que o ticket de sessão será válido. O valor padrão é de 600 minutos.
    • Vida útil máxima para permissão de usuário: define o tempo em que o ticket de usuário será válido. O valor padrão é de 10 horas minutos.
    • Vida útil máxima para renovação da permissão de usuário: define o tempo em que o ticket de concessão de ticket será válido. O valor padrão é de 7 dias.
    • Tolerância máxima para minutos de sincronização do relógio: define a diferença máxima para o tempo permitido entre um remetente e um receptor. O valor padrão é 5.
  •  Faça as configurações desejadas.

Todas as versões do Windows possuem um método de autenticação padrão. Quando os clientes se autenticam com o servidor Windows Server 2003, o método de autenticação padrão tentará ser utilizado. Os métodos são os seguintes:

  • LM: método de autenticação padrão do Windows 95 e Windows 98.
  • NTLM: método de autenticação padrão do Windows NT 4.0.
  • NTLM V2: método de autenticação padrão do Windows 95, Windows 98 e Windows NT com o DS Client instalado.
  • Kerberos: método de autenticação padrão do Windows 2000, Windows XP e Windows Server 2003.

Veremos agora um exemplo no qual configuraremos a diretiva de segurança para que force os clientes a utilizarem o protocolo NTLM V2.

 

Exemplo prático – Configurar a diretiva NTLM.

  • Efetue logon com uma conta de usuário com direitos administrativos.
  • Abra o console Usuários e Computadores do Active Directory.
  • Clique com o botão direito sobre o domínio e escolha a opção Propriedades.
  • Clique na aba Diretiva de grupo.
  • Dê 2 cliques sobre a GPO desejada ou selecione a GPO e clique em Editar.
  • Acesse a opção Configuração do computador, Configurações do Windows, Configurações de segurança, Diretivas locais, Opções de segurança.

Figura 2 – Opções de Segurança

  • Clique 2 vezes sobre a diretiva Segurança de rede: nível de autenticação LAN Manager.

Figura 3 – Diretiva LAN Manager

  • Agora selecione a opção Enviar somente respostas NTLM V2\recusar LM ou a opção Enviar somente respostas NTLM V2\recusar LM e NTLM. Não se esqueça que os clientes Windows 95, Windows 98 e Windows NT devem possuir o DS Client instalado para que possam utilizar o NTLM V2. Outro detalhe é que o DS Client só poderá ser instalado no Windows 9.x caso o computador possua o Internet Explorer 4.0 instalado. E para os clientes Windows 95, o recurso Active Desktop deve estar ativado.
  • Clique em OK.

Para maiores informações sobre o Kerberos e o NTLM, visite os sites abaixo:

Conclusão

 

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail: fabianodesantana@terra.com.br. ou contato@fabianosantana.com.br.
_____________________________________________________________________________

Fabiano de Santana, bacharelado em Análise de Sistemas, trabalha com TI a mais de 7 anos. Atualmente é membro do time de Windows Security da IBM Brasil. Realizou vários projetos, entre eles implementação do WSUS, migração de correio eletrônico, implementação do ISA Server 2004, implementação de Lotus Notes, implementação de políticas de segurança, entre outros. Possui as certificações MCP, MCSA / MCSE 2000 Security, MCSA 2003 Security, MCSE 2003, Itil Foundation e IBM Certified System Administrator – Lotus Notes and Domino 7.

Autor de ebooks e artigos em parceria com o Julio Battisti há mais de 2 anos, moderador do Fórum de Windows e Certificações do site www.juliobattisti.com.br. Autor de artigos para o Technet Brasil e iMasters. Atua também como professor e autor de cursos para o site iPED.

Visite o site do autor: www.juliobattisti.com.br/fabiano

Quer receber novidades e e-books gratuitos?

Cursos Online

  • Banco de Dados
  • Carreira
  • Criação/Web
  • Excel/Projetos
  • Formação
  • + Todas as categorias
  • Contato: Telefone: (51) 3717-3796 | E-mail: webmaster@juliobattisti.com.br | Whatsapp: (51) 99627-3434

    Júlio Battisti Livros e Cursos Ltda | CNPJ: 08.916.484/0001-25 | Rua Vereador Ivo Cláudio Weigel, 537 - Universitário, Santa Cruz do Sul/RS, CEP: 96816-208

    Todos os direitos reservados, Júlio Battisti 2001-2019 ®

    [LIVRO]: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2010 - PASSO-A-PASSO

    APRENDA COM JULIO BATTISTI - 1124 PÁGINAS: CLIQUE AQUI