Windows Hello for Business com Cloud Kerberos Trust

O que é o Windows Hello?

Windows Hello é um método de autenticação de dois fatores forte e moderno que permite substituir a utilização de senha para acesso a um dispositivo Windows, ao invés disso ele utiliza um fator de segurança adicional para autenticação, entre eles o acesso por biometria, reconhecimento facial ou PIN (os métodos de autenticação dependem do suporte que o dispositivo tem disponível)

Porque utilizar o Windows Hello?

O Windows Hello é uma alternativa mais segura à utilização de senha.

O maior risco das senhas é simples: um invasor pode roubá-las facilmente. Todos os locais em que uma senha é inserida, processada ou armazenada são vulneráveis. Por exemplo, um invasor pode roubar uma coleção de senhas ou hashes de um servidor de autenticação espiando o tráfego de rede para um servidor de aplicativos, implantando malware em um aplicativo ou em um dispositivo, registrando em log pressionamentos de teclas do usuário em um dispositivo ou observando quais caracteres um usuário digita. Esses são apenas os métodos de ataque mais comuns.

Implantando o Windows Hello em um cenário de Azure AD Hybrid Join utilizando o Cloud Kerberos Trust

Em um cenário de configuração Cloud Only, ou seja, quando os dispositivos tem o ingresso diretamente no Azure AD basta aplicar a política de configuração através do Intune, porém quando falamos em um cenário hibrido precisamos ter um modelo de implantação de confiança com o ambiente On-premises, o modelo de confiança Kerberos permite resolver complicações antigas que existiam, simplificando a implantação, não sendo necessário requisitos como uma infraestrutura de PKI interna ou de serviços de federação (ADFS).

  1. Os usuários entram no Windows com o Windows Hello for Business autenticando com o Azure AD.
  2. O Azure AD verifica se há uma chave de servidor Kerberos correspondente ao domínio local do AD do usuário e gera um tíquete de concessão de tíquete Kerberos parcial (TGT) para o domínio local. O TGT parcial contém apenas o identificador de segurança do usuário (SID) e nenhum dado de autorização, como grupos.
  3. O TGT parcial é retornado ao cliente junto com o PRT (Token de Atualização Primária) do Azure AD.
  4. O cliente entra em contato com o controlador de domínio do AD local e troca o TGT parcial por um TGT completo. Esse é o mesmo fluxo de protocolo usado atualmente para cenários de controlador de domínio somente leitura.
  5. O cliente tem o PRT do Azure AD e um TGT completo do Active Directory.

Fonte: O Windows Hello for Business Hybrid Cloud Kerberos Trust já está disponível! – Hub da Comunidade Microsoft

RequisitoObservações
Autenticação multifatorEsse requisito pode ser atendido usando Azure AD autenticação multifator, autenticação multifator fornecida por meio do AD FS ou uma solução comparável.
Windows 10, versão 21H2 ou Windows 11 e posteriorSe você estiver usando Windows 10 21H2, o KB5010415 deverá ser instalado. Se você estiver usando Windows 11 21H2, o KB5010414 deverá ser instalado. Não há diferença de suporte para versão do Windows entre dispositivos ingressados Azure AD e híbridos ingressados em Azure AD.
controladores de domínio Windows Server 2016 ou posterioresSe você estiver usando Windows Server 2016, o KB3534307 deverá ser instalado. Se você estiver usando o Server 2019, o KB4534321 deverá ser instalado.
Azure AD módulo Kerberos PowerShellEste módulo é usado para habilitar e gerenciar Azure AD Kerberos. Ele está disponível por meio do Galeria do PowerShell.
Gerenciamento de dispositivosWindows Hello para Empresas confiança kerberos na nuvem pode ser gerenciada com a política de grupo ou por meio da política de MDM (gerenciamento de dispositivo móvel). Esse recurso está desabilitado por padrão e deve ser habilitado usando a política.

Cenários sem suporte

  • Não há suporte para os seguintes cenários usando Windows Hello para Empresas confiança Kerberos na nuvem:
  • Implantações locais apenas
  • Cenários RDP/VDI usando credenciais fornecidas (RDP/VDI podem ser usados com o Remote Credential Guard ou se um certificado for registrado no contêiner Windows Hello para Empresas)
  • Usando a confiança Kerberos de nuvem para “Executar como”
  • Entrar com a confiança do Kerberos na nuvem em um dispositivo ingressado do Hybrid Azure AD sem entrar anteriormente com conectividade DC

Habilitando o Windows Hello com Cloud Kerberos Trust

Instalar o modulo do Powershell do Kerberos do Azure AD: https://www.powershellgallery.com/packages/AzureADHybridAuthenticationManagement       

Após instalar, abra o Powershell como admin e execute o seguinte comando para instalar o modulo Kerberos Azure AD:

# First, ensure TLS 1.2 for PowerShell gallery access.

[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12

# Install the Azure AD Kerberos PowerShell Module.

Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

Com o modulo instalado iremos criar o objeto de controlador de domínio do Active Directory, executando o seguinte comando:

# Specify the on-premises Active Directory domain. A new Azure AD

# Kerberos Server object will be created in this Active Directory domain.

$domain = $env:USERDNSDOMAIN

# Enter an Azure Active Directory global administrator username and password.

$cloudCred = Get-Credential -Message ‘An Active Directory user who is a member of the Global Administrators group for Azure AD.’

# Enter a domain administrator username and password.

$domainCred = Get-Credential -Message ‘An Active Directory user who is a member of the Domain Admins group.’

# Create the new Azure AD Kerberos Server object in Active Directory

# and then publish it to Azure Active Directory.

Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred

Após isso execute o comando abaixo para verificar se o objeto foi criado corretamente:

Get-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred

Um objeto de computador será criado na OU Domain Controllers no Active Directory.

A partir daí podemos realizar a criação da política do Windows Hello pelo Intune, a política pode utilizar como base esse passo a passo: https://learn.microsoft.com/pt-br/windows/security/identity-protection/hello-for-business/hello-hybrid-cloud-kerberos-trust-provision?tabs=intune#configure-windows-hello-for-business-policy

Importante lembrar que além da política de configuração do Windows Hello, uma política de confiança Kerberos precisa ser criada e atribuída aos dispositivos que utilizarão o Windows Hello: https://learn.microsoft.com/pt-br/windows/security/identity-protection/hello-for-business/hello-hybrid-cloud-kerberos-trust-provision?tabs=intune#configure-the-cloud-kerberos-trust-policy

Após aplicar as políticas basta realizar a autenticação no dispositivo e configurar o PIN ou biometria.

Processo de registro do PIN: https://learn.microsoft.com/pt-br/windows/security/identity-protection/hello-for-business/hello-hybrid-cloud-kerberos-trust-provision?tabs=intune#pin-setup

Considerações finais:

Com o crescente aumento e evolução de ameaças cibernéticas é altamente recomendável que múltiplos fatores de autenticação sejam utilizados ao invés de senhas convencionais, por fornecerem maior segurança e evitar usurpação de credenciais.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Secured By miniOrange