Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Kerberos é um protocolo de autenticação usado para verificar a identidade de um usuário ou host. Este tópico contém informações sobre a autenticação Kerberos no Windows Server e no Windows.
Os sistemas operacionais Windows Server implementam o protocolo de autenticação Kerberos versão 5 e extensões para autenticação de chave pública, transporte de dados de autorização e delegação. O cliente de autenticação Kerberos é implementado como um SSP (provedor de suporte de segurança) e pode ser acessado por meio da SSPI (Security Support Provider Interface). A autenticação inicial do usuário é integrada com a arquitetura de logon único do Winlogon.
O Centro de Distribuição de Chaves Kerberos (KDC) é integrado com outros serviços de segurança do Windows Server executados no controlador de domínio. O KDC utiliza a base de dados dos Serviços de Domínio Active Directory do domínio como a sua base de dados de contas de segurança. Os Serviços de Domínio Ative Directory são necessários para implementações Kerberos padrão dentro do domínio ou floresta.
Aplicações práticas
Os benefícios obtidos com o uso do Kerberos para autenticação baseada em domínio são descritos nas seções a seguir.
Autenticação delegada
Os serviços executados em sistemas operacionais Windows podem representar um computador cliente ao acessar recursos em nome do cliente. Em muitos casos, um serviço pode concluir seu trabalho para o cliente acessando recursos no computador local. Quando um computador cliente se autentica no serviço, o NTLM e o protocolo Kerberos fornecem as informações de autorização de que um serviço precisa para representar o computador cliente localmente. No entanto, alguns aplicativos distribuídos são projetados para que um serviço front-end deve usar a identidade do computador cliente quando ele se conecta a serviços back-end em outros computadores. A autenticação Kerberos suporta um mecanismo de delegação que permite que um serviço aja em nome de seu cliente ao se conectar a outros serviços.
Logon único
O uso da autenticação Kerberos em um domínio ou em uma floresta permite que o usuário ou serviço acesse recursos permitidos por administradores sem várias solicitações de credenciais. Após o logon inicial do domínio através do Winlogon, o Kerberos gerencia as credenciais em toda a floresta sempre que o acesso aos recursos é tentado.
Interoperability
A implementação do protocolo Kerberos V5 pela Microsoft é baseada em especificações em processos de padronização recomendadas pela IETF (Internet Engineering Task Force). Como resultado, em sistemas operacionais Windows, o protocolo Kerberos estabelece uma base para a interoperabilidade com outras redes nas quais o protocolo Kerberos é usado para autenticação. Além disso, a Microsoft publica a documentação dos Protocolos do Windows para implementar o protocolo Kerberos. A documentação contém os requisitos técnicos, limitações, dependências e comportamento de protocolo específico do Windows para a implementação do protocolo Kerberos pela Microsoft.
Autenticação mais eficiente para servidores
Antes do Kerberos, a autenticação NTLM podia ser usada, o que requer que um servidor de aplicativos se conecte a um controlador de domínio para autenticar cada computador cliente ou serviço. Com o protocolo Kerberos, bilhetes de sessão renováveis substituem a autenticação pass-through. O servidor não é obrigado a ir para um controlador de domínio, a menos que precise validar um certificado de atributo de privilégio (PAC). Em vez disso, o servidor pode autenticar o computador cliente examinando as credenciais apresentadas pelo cliente. Os computadores clientes podem obter credenciais para um determinado servidor uma vez e, em seguida, reutilizar essas credenciais durante uma sessão de logon de rede.
Autenticação mútua
Usando o protocolo Kerberos, uma parte em qualquer extremidade de uma conexão de rede pode verificar se a parte na outra extremidade é a entidade que afirma ser. O NTLM não permite que os clientes verifiquem a identidade de um servidor ou que um servidor verifique a identidade de outro. A autenticação NTLM foi projetada para um ambiente de rede no qual os servidores eram considerados genuínos. O protocolo Kerberos não faz essa suposição.
Tipos de encriptação
A partir do Windows Server 2025, o Kerberos já não respeita a chave herdada do Registro encontrada no caminho REG_DWORD SupportedEncryptionTypes. Em vez disso, a Microsoft recomenda o uso da política de grupo. Para saber mais sobre as configurações de diretiva de grupo, consulte Segurança de rede: configurar tipos de criptografia permitidos para Kerberos.