Suporte do KDC a declarações, autenticação composta e proteção Kerberos

Essa configuração de política permite definir um controlador de domínio para dar suporte a declarações e autenticação composta para o DAC (Controle de Acesso Dinâmico) e a proteção Kerberos usando a autenticação Kerberos.

Se você habilitar essa configuração de política, os computadores clientes que têm suporte a declarações e autenticação composta para DAC e proteção Kerberos usarão esse recurso para mensagens de autenticação do Kerberos. Essa política deve ser aplicada a todos os controladores de domínio para garantir a aplicação consistente dessa política no domínio.

Se você desabilitar ou não definir essa configuração de política, o controlador de domínio não terá suporte a declarações, autenticação composta ou proteção.

Se você configurar a opção "Sem Suporte", o controlador de domínio não terá suporte a declarações, autenticação composta nem proteção, o que é o comportamento padrão para controladores de domínio que executam o Windows Server 2008 R2 ou sistemas operacionais anteriores.

Observação: para que as seguintes opções desta política do KDC entrem em vigor, a Política de Grupo do Kerberos "Suporte do cliente Kerberos a declarações, autenticação composta e proteção Kerberos" deve estar habilitada nos sistemas com suporte. Se a configuração de política do Kerberos não estiver habilitada, as mensagens da autenticação Kerberos não usarão esses recursos.

Se você configurar a opção "Com Suporte", o controlador de domínio dará suporte a declarações, autenticação composta e proteção Kerberos. O controlador de domínio avisa aos computadores clientes Kerberos que o domínio é compatível com declarações e autenticação composta para o Controle de Acesso Dinâmico e proteção Kerberos.

Requisitos de nível funcional de domínio
Para as opções "Sempre fornecer declarações" e "Recusar solicitações de autenticação sem proteção", quando o nível funcional de domínio estiver definido para Windows Server 2008 R2 ou anterior, os controladores de domínio se comportarão como se a opção "Suportado" estiver selecionada.

Quando o nível funcional de domínio estiver definido para o Windows Server 2012, o controlador de domínio anunciará aos computadores clientes Kerberos que o domínio é compatível com declarações e autenticação composta para o Controle de Acesso Dinâmico e a proteção Kerberos, e:
- Se você definir a opção "Sempre fornecer declarações", ele sempre retornará declarações de contas e oferecerá suporte ao comportamento RFC para promover FAST (flexible authentication secure tunneling).
- Se você definir a opção "Recusar solicitações de autenticação sem proteção", ele rejeitará mensagens do Kerberos sem proteção.

Aviso: quando a opção "Recusar solicitações de autenticação sem proteção" for definida, os computadores clientes que não oferecem suporte à proteção Kerberos emitirão falhas de autenticação para o controlador de domínio.

Para garantir a eficiência deste recurso, implante controladores de domínio suficientes com suporte a declarações e autenticação composta para o Controle de Acesso Dinâmico e proteção Kerberos para manipular as solicitações de autenticação. Se houver um número insuficiente de controladores de domínio com suporte a essa política, ocorrerão falhas de autenticação sempre que o Controle de Acesso Dinâmico ou a proteção Kerberos forem exigidos (isto é, se a opção "Suportado" estiver habilitada).

Impacto sobre o desempenho do controlador de domínio quando essa configuração de política está habilitada:
- A descoberta de recursos de domínio Kerberos é exigida, gerando trocas de mensagens adicionais.
- As declarações e a autenticação composta para o Controle de Acesso Dinâmico aumentam o tamanho e a complexidade dos dados na mensagem, o que aumenta o tempo de processamento e o tamanho dos tíquetes de serviço do Kerberos.
- A proteção Kerberos criptografa completamente as mensagens Kerberos e sinaliza erros Kerberos, o que resulta em maior tempo de processamento, mas não altera o tamanho do tíquete de serviço.

Suporte em: Windows Server 2012, Windows 8 ou Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameEnableCbacAndArmor
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Declarações, autenticação composta para o Controle de Acesso Dinâmico e opções de proteção Kerberos:


  1. Sem suporte
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value0
  2. Suportado
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value1
  3. Sempre fornecer declarações
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value2
  4. Recusar solicitações de autenticação sem proteção
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value3


kdc.admx

Modelos Administrativos (Computadores)

Modelos Administrativos (Usuários)