top of page
Buscar

CredSSP (Credential Security Support Provider): O que é, Como Funciona e Quando Utilizar com Segurança

  • Foto do escritor: Rodrigo Motta
    Rodrigo Motta
  • há 7 dias
  • 3 min de leitura

Introdução


Em ambientes corporativos baseados em Windows Server, Active Directory e acesso remoto, é comum a necessidade de delegar credenciais de forma controlada para permitir que um usuário se autentique em um servidor remoto e, a partir dele, acesse outros recursos da rede.


É exatamente nesse cenário que entra o CredSSP (Credential Security Support Provider).

Apesar de amplamente utilizado — muitas vezes sem o devido entendimento — o CredSSP é um dos mecanismos de autenticação mais sensíveis do ecossistema Windows, exigindo configuração correta e atenção redobrada à segurança.


Neste artigo, você vai entender:


  • O que é o CredSSP

  • Como ele funciona tecnicamente

  • Quando deve (e quando não deve) ser utilizado

  • Como habilitar e configurar corretamente

  • Riscos de segurança e boas práticas


O que é o CredSSP?


O CredSSP é um provedor de autenticação do Windows que permite o encaminhamento (delegation) das credenciais do usuário para um servidor remoto.

Em termos simples:

O CredSSP permite que o servidor remoto utilize as credenciais do usuário como se ele estivesse autenticado localmente, possibilitando o acesso a outros serviços dentro da rede.

Ele é amplamente utilizado em cenários como:

  • Remote Desktop (RDP)

  • PowerShell Remoting

  • Windows Admin Center

  • Execução de comandos que acessam recursos adicionais (file servers, SQL, AD)

Como o CredSSP funciona (visão técnica)

O funcionamento do CredSSP resolve o clássico problema do Double Hop, comum em autenticações Kerberos.


Fluxo simplificado


  1. O usuário se autentica no computador cliente

  2. Ao conectar via RDP ou PowerShell, o cliente envia suas credenciais criptografadas para o servidor remoto

  3. O servidor remoto descriptografa e reutiliza essas credenciais para acessar outros serviços (AD, SQL, File Server etc.)


📌 Diferente do Kerberos tradicional, as credenciais completas são delegadas, não apenas tickets.


O problema do “Double Hop”


Sem CredSSP:

  • Usuário → Servidor A (funciona)

  • Servidor A → Servidor B (falha)

Com CredSSP:

  • Usuário → Servidor A → Servidor B (funciona)


Por isso, CredSSP costuma ser habilitado “para resolver erro”, sem análise de impacto — o que é perigoso.


Quando o CredSSP é realmente necessário?


Casos legítimos de uso


✔ Execução de scripts PowerShell remotos que acessam:

  • Active Directory

  • SQL Server

  • File Shares


✔ Uso do Windows Admin Center✔ Administração remota avançada✔ Ambientes de homologação e troubleshooting✔ Saltos administrativos controlados (Jump Servers)


Quando NÃO utilizar CredSSP


🚫 Em servidores de produção sem necessidade clara

🚫 Em acesso RDP comum de usuários finais

🚫 Como solução definitiva para erro de autenticação

🚫 Em ambientes sem controle de hardening e patching

CredSSP não é solução padrão — é exceção técnica.

Riscos de segurança do CredSSP

O principal risco é simples e crítico:

Se o servidor remoto for comprometido, as credenciais do usuário podem ser roubadas.

Ataques possíveis

  • Credential Theft

  • Pass-the-Credential

  • Escalada lateral

  • Comprometimento de contas privilegiadas


Por isso, nunca utilize CredSSP com contas administrativas sensíveis sem mitigação.


Como habilitar o CredSSP corretamente

1. No cliente (PowerShell)

Enable-WSManCredSSP -Role Client -DelegateComputer "SERVIDOR01.DOMINIO.LOCAL"

📌 Use sempre FQDN, nunca *.

2. No servidor

Enable-WSManCredSSP -Role Server

3. Verificar status

Get-WSManCredSSP

Configuração via GPO (recomendado)

Caminho da GPO:

Computer Configuration
 └ Administrative Templates
   └ System
     └ Credentials Delegation

Ativar:

  • Allow delegating fresh credentials

  • Allow delegating fresh credentials with NTLM-only server authentication

Adicionar apenas:

WSMAN/SERVIDOR01.DOMINIO.LOCAL

🚨 Nunca use WSMAN/* em produção.

CredSSP x Kerberos Constrained Delegation (KCD)

Característica

CredSSP

KCD

Segurança

Média

Alta

Complexidade

Baixa

Alta

Delegação

Credencial completa

Ticket controlado

Uso recomendado

Temporário / Admin

Produção

👉 Se o cenário permitir, prefira KCD.


Boas práticas de segurança

✔ Usar apenas em servidores confiáveis

✔ Restringir via GPO por FQDN

✔ Evitar contas Domain Admin

✔ Preferir contas dedicadas (gMSA / service accounts)

✔ Monitorar eventos de autenticação

✔ Remover após uso


Conclusão


O CredSSP é uma ferramenta poderosa — e perigosa se mal utilizada.


Ele resolve problemas reais de administração e automação, mas não deve ser tratado como solução padrão. Em ambientes maduros, o CredSSP deve ser:

  • Pontual

  • Controlado

  • Monitorado

  • Substituído por KCD sempre que possível


Se você administra ambientes Windows, entender CredSSP é obrigatório — e agora você tem o mapa completo.

Posts recentes

Ver tudo

Comentários

bottom of page