Silos de política de autenticação no Windows Server fornecem uma maneira de conter credenciais de alto privilégio em sistemas que são relevantes apenas para usuários, computadores ou serviços selecionados. A criação de um silo de política de autenticação envolve várias etapas, desde a configuração dos pré-requisitos até a criação e vinculação de políticas e silos.
Importante: Antes de aplicar estas configurações em um ambiente produtivo, leia a documentação sobre o assunto e realize testes para entender seu comportamento. É importante lembrar que configurações que impõe restrições para aumentar a segurança, podem parar algo que esta funcionando. Teste antes de aplicar.
Passos para funcionar (importante para o exame):
- Habilite a GPO no AD (se não estiver habilitado),
- Crie a política,
- Crie o Silo,
- Atribua a política.
Inclusive, este é um assunto cobrado pelo exame AZ-801 do Windows Server.
https://learn.microsoft.com/pt-br/credentials/certifications/exams/az-801/?tab=tab-instructor-led
Pré-requisitos: Habilitar o Suporte Kerberos. Isso significa que tanto a floresta quanto o domínio precisam ser Windows Server 2012 R2 ou superior.
Antes de criar um silo de política de autenticação, é necessário habilitar o suporte a declarações, autenticação composta e armadura Kerberos no Centro de Administração do Active Directory. Esta configuração é essencial para que as políticas de autenticação funcionem corretamente.
Você pode verificar se o Kerberos esta ativo com estes passos:
- Abra o Gerenciamento de Política de Grupo: No Gerenciador de Servidor, vá em "Ferramentas" e selecione "Gerenciamento de Política de Grupo".
- Localize a GPO dos Controladores de Domínio: Navegue até a Unidade Organizacional (OU) "Domain Controllers" do seu domínio. Geralmente, há uma política chamada "Default Domain Controllers Policy" ou uma política personalizada aplicada a esta OU.
- Edite a Política: Clique com o botão direito na política relevante e selecione "Editar".
- Navegue até a configuração do KDC: No Editor de Gerenciamento de Política de Grupo, siga o seguinte caminho:
- Configuração do Computador > Políticas > Modelos Administrativos > Sistema > KDC
- Verifique a política de suporte Kerberos: Procure pela configuração chamada "Suporte do KDC para declarações, autenticação composta e proteção Kerberos" ("KDC support for claims, compound authentication and Kerberos armoring").
Valide o status da política:
A política deve estar Habilitada.
No menu suspenso de opções, o valor deve ser no mínimo "Suportado" ("Supported").
Outros valores como "Sempre fornecer declarações" ou "Falhar solicitações de autenticação não blindadas" também habilitam o recurso, mas com restrições mais rigorosas.
Passos para Criar um Silo de Política de Autenticação:
A criação de um silo de política de autenticação é um processo de várias etapas que envolve a criação de uma política de autenticação e, em seguida, a criação do próprio silo.
1. Criar uma Política de Autenticação
Abra o Centro Administrativo do Active Directory: Navegue até o Centro Administrativo do Active Directory em suas ferramentas administrativas.
Vá para Autenticação: No painel de navegação esquerdo, selecione "Autenticação".
Crie uma Nova Política de Autenticação: Clique com o botão direito em "Políticas de Autenticação" e selecione "Novo" > "Política de Autenticação".
1.1. Configure a Política:
Dê um nome à política (por exemplo, "Política para Contas Restritas").
Marque a opção para "Impor restrições de política".
Você pode especificar a vida útil de um Ticket Granting Ticket (TGT), por exemplo, 60 minutos, para contas de alto privilégio (lembre-se que o mínimo em minutos é de 40).
Clique em Ok e veja a política criada.
2. Criar o Silo de Política de Autenticação
Navegue até Silos de Política de Autenticação: No Centro Administrativo do Active Directory, em "Autenticação", clique em "Silos de Política de Autenticação".
Crie um Novo Silo: Clique com o botão direito e selecione "Novo" > "Silo de Política de Autenticação".
2.1. Configure o Silo:
Dê um nome ao silo (por exemplo, "Silo de Servidores Críticos").
Em "Contas Permitidas", adicione os usuários, computadores e contas de serviço que farão parte deste silo. Em meu exemplo utilizei uma conta chamada homolog-app.
Desça a barra de rolagem. Aqui em meu exemplo, marquei a opção Use uma única política para todas as entidades de segurança pertencentes a este silo de políticas de autenticação. Avalie em seu ambiente real a melhor forma de trabalhar com as políticas de autenticação (este é apenas um dos inúmeros exemplos).
3. Vincular a Política de Autenticação ao Silo
Edite a Política de Autenticação: Volte para a política de autenticação que você criou.
Adicione uma Condição: Na seção de condições da política, adicione uma nova condição.
Especifique o Silo: A condição deve especificar que a política se aplica a usuários, computadores ou serviços que são membros do silo de política de autenticação que você criou. Você precisará inserir o nome do silo manualmente.
Depois de concluídas essas etapas, as contas de usuário e computador adicionadas ao silo de política de autenticação estarão sujeitas às restrições definidas na política de autenticação associada. Por exemplo, um usuário no silo só poderá fazer logon nos computadores que também estão no mesmo silo.
Isso ajuda a evitar que invasores usem credenciais comprometidas para se mover lateralmente pela rede e acessar sistemas críticos. É uma técnica simples mas bem eficiente.
Ref Learn: