Alterações de autenticação SSO opcionais do Windows NTLM

A Microsoft está lançando um aprimoramento de segurança opcional para o NT LAN Manager (NTLM), limitando quais recursos de rede vários clientes nos sistemas operacionais Windows 10 ou Windows Server 2016 podem usar a Conexão Única (SSO) NTLM como um método de autenticação. Quando você implantar o novo aprimoramento de segurança com uma Política de Isolamento de Rede que define os recursos da sua organização, os invasores não poderão mais redirecionar um usuário para um recurso mal-intencionado fora da sua organização para obter as mensagens de autenticação NTLM. Esse novo comportamento é opcional e requer que os clientes que desejem habilitá-lo optem por uma configuração do Registro do Windows ou outros meios descritos abaixo.

Os clientes devem estar cientes de que permitir esse novo comportamento impedirá a autenticação SSO NTLM com recursos que não estejam marcados como internos pelo Firewall do Windows. Isso pode interromper algumas funcionalidades, impedindo a autenticação SSO NTLM nos recursos marcados como externos, embora outros métodos de autenticação permaneçam disponíveis. Exemplos em que a autenticação SSO NTLM aparece é o Internet Explorer ou o Edge, ou um serviço chamando WinHTTP para acessar um recurso da Web, um usuário que tenta se conectar a um compartilhamento de arquivo SMB ou processos que fazem chamadas RPC. A Microsoft está lançando essa nova funcionalidade como mitigação para ataques de dicionário NTLM. A Microsoft continua a recomendar que os clientes se movam para métodos de autenticação de chave pública para aplicativos sem suporte para autenticação moderna e usem a autenticação de negociação com Kerberos sempre que possível.

A nova funcionalidade funciona negando a autenticação SSO NTLM como um método para recursos públicos. Isso é possível quando o cliente NTLM aproveita a capacidade do Firewall do Windows para determinar se um recurso é um recurso Público, Privado ou da Empresa, conforme definido pelas configurações do Windows Information Protection definidas pelo cliente. Dependendo dessa determinação, a conexão será permitida ou negada.

Perguntas frequentes

1. Que configuração do Registro devo definir para permitir esse comportamento?

Os clientes podem adicionar uma chave DWORD32 denominada “EnterpriseAccountSSO” ao local do Registro do Windows HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0 com as seguintes opções:

• 2 – Sempre permitir SSO. (Este é o estado padrão.)
• 1 – Negar a SSO se o recurso for público. Permitir se o recurso for particular ou empresarial. Permitir a SSO se o recurso não for especificado.
• 0 – Negar a SSO se o recurso for público. Permitir se o recurso for particular ou empresarial. Negar a SSO se o recurso não for especificado.

2. É necessária alguma outra configuração para esse novo comportamento??

Sim. Os clientes precisam configurar uma Política de Isolamento de Rede (NIP) que defina quais redes devem ser consideradas internas/corporativas e, portanto, que permitirão o NTLM como um método de autenticação SSO. Um NIP corretamente configurado é crítico para o SSO NTLM continuar a funcionar.

3. Quais sistemas operacionais são vulneráveis a esse tipo de ataque?

Todas as versões do Windows que utilizam o NTLM estão suscetíveis a esse tipo de ataque. A Microsoft está lançando esse novo comportamento somente nas plataformas Windows 10 e Windows Server 2016, devido às limitações nas versões antigas do Firewall do Windows, que impedem sistemas operacionais mais antigos de usar esse novo comportamento. A Microsoft recomenda que os clientes atualizem para as ofertas mais recentes e mais seguras.

4. Onde posso encontrar mais informações sobre o Windows Information Protection?

• Para obter informações gerais, consulte Introdução ao Windows Information Protection
• Para obter detalhes de configuração, consulte a seção "Escolher onde os aplicativos podem acessar dados da empresa" de: Criar e implantar uma política do Windows Information Protection (WIP) usando o System Center Configuration Manager

5. Onde posso encontrar detalhes sobre como habilitar essa funcionalidade por meio da Política de Grupo?

Consulte [https://docs.microsoft.com/pt-br/windows/access-protection/windows-firewall/isolating-apps-on-your-network#step-1-define-your-network](Consulte https://docs.microsoft.com/pt-br/windows/access-protection/windows-firewall/isolating-apps-on-your-network#step-1-define-your-network)

6. Existem outras formas de optar por esse novo comportamento?

Sim. Tanto as configurações de isolamento de rede da Política de Grupo quanto o Windows Information Protection abrangem a mesma área, tanto para aplicativos quanto para a autenticação SSO NTLM. Usar qualquer um deles é igualmente eficaz para a mitigação do roubo de hash do SSO NTLM, mas os clientes devem selecionar uma delas. A combinação de vários meios pode criar um comportamento inesperado.

7. É necessária uma reinicialização para habilitar esse novo comportamento?

Será necessária uma reinicialização para instalar a atualização de segurança. Quando você habilitar esse novo comportamento com uma alteração no Registro do Windows, o novo comportamento entrará em vigor imediatamente e não exigirá uma reinicialização. As alterações para o Firewall do Windows terá um atraso variado dependendo se o WIP ou o GP tiver sido usado e de quando essa configuração é atualizada.

8. Minha empresa habilitou esse comportamento e agora os usuários estão sendo solicitados a inserir credenciais em locais onde elas anteriormente não eram necessárias. Por que isso está acontecendo?

Esta é uma indicação de que o recurso está marcado como público ou que sua designação é incerta, se o modo mais rigoroso tiver sido habilitado. Provavelmente, esse é um sintoma de que o recurso está incorretamente representado no NIP da sua empresa ou de que você configurou 0 e o aplicativo não está usando SMB, RPC ou HTTP.

Para verificar se um recurso é público, habilite os logs "Operacionais de Isolamento da Rede", no Firewall do Windows com Segurança Avançada do Visualizador de Eventos. Para fins do log, os recursos da empresa são considerados privados. Observe que as políticas de isolamento de rede da Política de Grupo e as configurações de WIP afetam apenas redes cujo perfil é "Domínio". Para obter mais informações sobre os perfis de rede, consulte: Compreendendo perfis de firewall.