Os segredos do Windows 2000 - Parte II

O processo de autenticação de uma estação de trabalho com um controlador de domínio na arquitetura Microsoft sempre foi alvo de inúmeras críticas, devido a algumas falhas e inseguranças. O protocolo de autenticação de rede utilizado pelo Windows NT é o NTLM (NT Lan Manager), e possui uma série de vantagens e desvantagens. O NTLM faz a autenticação através do método Challenge/Response, da seguinte forma: durante o processo de logon, o client envia uma solicitação de autenticação ao Domain Controller (DC). O DC conhece a senha do usuário, pois a possui armazenada em sua base de dados (Security Account Manager, ou SAM). Na verdade, esta senha conhecida pelo DC é apenas uma representação da senha, ou Hash, através do algorítmo MD4 (Message Digest 4). O DC encripta uma aleatoriamente em um bloco de dados, usando o hash do MD4, e envia de volta para o client. Por sua vez, este desencripta esse bloco de dados, e envia novamente ao DC. Se a senha utilizada foi a correta, então o DC realiza a autenticação, e fornece um Acess Token.

Existe um pacote chamado Directory Services Client, para ser instalado em clientes Windows 9x, e um erro extremamente comum é acreditar que esse pacote habilita Kerberos nesses clientes. Na realidade, permite apenas que os clientes façam consultas por objetos no Active Directoy pelo Search, e habilitam o NTLM V2, um modelo mais aperfeiçoado do NTLM original, mas com um pouco mais de segurança. O Windows NT 4.0, com os últimos Service Packs já habilita o NTLM V2. Apesar de ser um método rápido de autenticação, sua eficiência é baixa, pois quando um client acessa um servidor de aplicações, este servidor precisa contatar um Controlador de Domínio para verificar as credenciais de cada client. Outro problema é que, durante o processo de autenticação do client, não há certeza de que o Controlador de Domínio que está autenticando REALMENTE seja ele mesmo.

O modelo Kerberos foi desenvolvido inicialmento pelo Massachusetts Institute of Technology (MIT), e a versão implementada no Windows é a V5 (Kerberos version 5). Assim como na Mitologia Grega, onde Cerberus era o cão de três cabeças que guardava a porta do inferno, o Kerberos possui três unidades envolvidas no processo de autenticação: AS - Authentication Service, TGS - Ticket-Granting Service e CS - Client/Server. O seu método de criptografia é baseado em Shared Secret, ou chaves simétricas. A mesma chave que é utilizada para encriptar é utilizada para desencriptar.

Sempre que um client utilizando Windows 2000 Professional tenta realizar o logon em uma rede, utiliza o Kerberus como protocolo na primeira tentativa. Caso o mesmo client esteja realizando o logon em uma rede com um Domain Controller Windows NT 4.0, não haverá resposta. Portanto, tentará o NTLM na sequência.

Vamos analisar a seguir o passo a passo, demonstrando o que ocorre durante o processo de Logon e autenticação de um usuário em uma rede 100% baseada em Windows 2000. Neste exemplo, vamos utilizar um usuário chamado Bill, fazendo o logon em sua estação de trabalho, rodando o Windows 2000 Professional.

O usuário pressiona Ctrl+Alt+Del.

O serviço de Winlogon faz uma chamada ao MSGINA (Microsoft Graphical Identification and Authentication).

O arquivo MSGINA.DLL é acionado, exibindo a tela de Logon para que o usuário forneça o Username e o Password.

Bill digita seu Username e seu Password, e pressiona Enter.

O Kerberos Client existente na máquina utilizada por Bill converte a senha, com uma chave de criptografia usando a função de Hash. O algorítmo utilizado aqui é o DES-CBC-CRC (Data Encryption Standard-Cypher Block Chaining with Cyclic Redundancy Check), que é um algoritmo de chave secreta usada para confidencialidade. Um número aleatório é gerado e usado como chave secreta para encriptar os dados, e uma verificação final é feita dos dados para certificar-se de que não existem erros durante a transmissão e recepção. Na implementação original do Kerberos, é utilizado outro algoritmo que é o DES-CBC-MD5. O resultado disso é chamado de User Long-Term Key, e é armazenado no cache de credenciais. Isto só ocorre durante esta fase de logon.

Continua na próxima página.