top of page
Buscar

Autenticação no Active Directory: Kerberos, NTLM e LDAP

  • Foto do escritor: Rodrigo Motta
    Rodrigo Motta
  • 5 de abr.
  • 4 min de leitura

Introdução

A autenticação no Active Directory é essencial para garantir que apenas usuários e dispositivos autorizados possam acessar os recursos da rede. O AD suporta três principais protocolos de autenticação: Kerberos, NTLM e LDAP. Cada um deles tem suas características específicas, vantagens e desvantagens.

Este artigo abordará detalhadamente cada um desses métodos, explicando seu funcionamento, diferenças e casos de uso.


1. Autenticação Kerberos


O que é Kerberos?

O Kerberos é um protocolo de autenticação seguro que utiliza um sistema de tickets para evitar o envio de senhas pela rede. Ele é baseado em criptografia de chave simétrica e depende de um servidor central chamado KDC (Key Distribution Center) para gerenciar as autenticações.


Como funciona a autenticação Kerberos?

  1. Autenticação Inicial: O usuário insere suas credenciais, e o cliente Kerberos as envia ao KDC.

  2. Emissão do Ticket Granting Ticket (TGT): O KDC verifica as credenciais e emite um TGT, criptografado e assinado.

  3. Solicitação de Ticket para um Serviço: Quando o usuário tenta acessar um serviço, o cliente Kerberos apresenta o TGT ao KDC para obter um Ticket de Serviço (TGS).

  4. Acesso ao Serviço: O cliente apresenta o TGS ao servidor do serviço desejado, que valida o ticket e concede acesso sem necessidade de reenviar credenciais.


Principais Benefícios do Kerberos

  • Autenticação única (SSO): O usuário autentica-se uma vez e pode acessar múltiplos serviços sem precisar digitar sua senha repetidamente.

  • Proteção contra ataques de repetição: Como os tickets têm um tempo de validade limitado, ataques baseados na reexecução de credenciais capturadas são mitigados.

  • Alta eficiência e segurança: O uso de criptografia forte reduz a exposição de credenciais na rede.


Desafios do Kerberos

  • Dependência de horário sincronizado: O Kerberos exige sincronização de tempo entre os dispositivos para evitar falhas na autenticação.

  • Necessidade de infraestrutura robusta: Um KDC comprometido pode causar impacto significativo na segurança do ambiente.


Ferramentas para verificar e configurar Kerberos

  • Event Viewer: Monitora falhas e alertas de autenticação Kerberos.

  • Comando klist: Lista tickets ativos.

  • Group Policy Management Console (GPMC): Configura políticas do Kerberos.


2. Autenticação NTLM


O que é NTLM?

O NTLM (NT LAN Manager) é um protocolo de autenticação antigo da Microsoft baseado em um sistema de desafio-resposta. Ele não requer um servidor central como o Kerberos e pode ser usado quando não há conectividade com um controlador de domínio.


Como funciona a autenticação NTLM?

  1. O cliente envia um nome de usuário ao servidor.

  2. O servidor responde com um desafio (um número aleatório).

  3. O cliente criptografa esse desafio usando o hash da senha do usuário e envia a resposta ao servidor.

  4. O servidor compara a resposta com a versão esperada usando os hashes armazenados no AD.


Desvantagens do NTLM

  • Menos seguro: Baseia-se em hashes que podem ser capturados e reutilizados em ataques de passagem de hash.

  • Não suporta autenticação única (SSO): Cada serviço requer um novo processo de autenticação.

  • Menor eficiência: O processo de desafio-resposta consome mais recursos e tempo do que a autenticação baseada em tickets do Kerberos.


Casos em que NTLM ainda é usado

  • Quando há sistemas legados incompatíveis com Kerberos.

  • Autenticação em redes sem conectividade com um controlador de domínio.

  • Acesso a recursos compartilhados em grupos de trabalho.


Ferramentas para verificar e configurar NTLM

  • Event Viewer: Verifique logs de autenticação NTLM.

  • AuditPol.exe: Audita eventos relacionados ao NTLM.

  • GPO (Group Policy Object): Permite restringir ou desativar NTLM no domínio.


3. LDAP (Lightweight Directory Access Protocol)

O que é LDAP?

O LDAP é um protocolo utilizado para acessar e gerenciar informações armazenadas em serviços de diretório, como o Active Directory. Ele permite tanto autenticação quanto consultas a objetos do AD.


Como funciona a autenticação LDAP?

  1. O cliente envia um Bind Request ao servidor LDAP contendo as credenciais.

  2. O servidor verifica as credenciais e responde com um Bind Response.

  3. Se autenticado, o cliente pode realizar consultas no diretório para obter informações sobre usuários, grupos e outros objetos.


LDAP vs LDAPS

  • LDAP (porta 389): Comunicação sem criptografia.

  • LDAPS (porta 636): Utiliza SSL/TLS para criptografar as comunicações, aumentando a segurança.


Quando utilizar LDAP?

  • Integração de aplicações corporativas com o Active Directory.

  • Autenticação de usuários em sistemas externos.

  • Busca de informações detalhadas sobre usuários, grupos e permissões.


Ferramentas para verificar e configurar LDAP

  • LDP.exe: Interface gráfica para explorar conexões LDAP.

  • PowerShell: Teste conexões LDAP usando Test-NetConnection.

  • Wireshark: Permite analisar tráfego LDAP na rede.


4. Comparando Kerberos, NTLM e LDAP

Protocolo

Segurança

Desempenho

Uso Principal

Kerberos

Alta (uso de TGT e TGS)

Rápido (uso de tickets)

Autenticação interna no AD

NTLM

Baixa (baseado em hashes)

Mais lento (desafio-resposta)

Ambientes legados, fora do domínio

LDAP

Média (uso de LDAPS melhora)

Depende da consulta

Consulta de diretório, autenticação externa

Conclusão

O Active Directory oferece múltiplos métodos de autenticação, cada um adequado para diferentes cenários:

  • Kerberos é a opção mais segura e eficiente para autenticação dentro do domínio.

  • NTLM deve ser evitado sempre que possível devido às suas vulnerabilidades.

  • LDAP é ideal para integração com sistemas externos e para consulta de dados no diretório.


Se você deseja melhorar a segurança do seu ambiente, migre para Kerberos e utilize LDAPS ao invés de LDAP sem criptografia.


Tem alguma dúvida ou deseja aprofundar um dos temas? Deixe um comentário! 🚀

 
 
 

Posts recentes

Ver tudo

Comments

bottom of page