Guia de implementação da fidedignidade da chave híbrida

Este artigo descreve as funcionalidades ou cenários do Windows Hello para Empresas que se aplicam a:


Importante

A confiança kerberos na cloud do Windows Hello para Empresas é o modelo de implementação recomendado em comparação com o modelo de fidedignidade chave. Para obter mais informações, veja cloud Kerberos trust deployment (Implementação de confiança kerberos na cloud).

Requisitos

Antes de iniciar a implementação, reveja os requisitos descritos no artigo Planear uma Implementação do Windows Hello para Empresas .

Certifique-se de que os seguintes requisitos são cumpridos antes de começar:

Etapas de implantação

Assim que os pré-requisitos forem cumpridos, a implementação do Windows Hello para Empresas consiste nos seguintes passos:

Configurar e validar a Infraestrutura de Chaves Públicas

O Windows Hello para Empresas tem de ter uma Infraestrutura de Chaves Públicas (PKI) ao utilizar o modelo de fidedignidade chave . Os controladores de domínio têm de ter um certificado, que serve de raiz de confiança para os clientes. O certificado garante que os clientes não comunicam com controladores de domínio não autorizados.

As principais implementações de confiança não precisam de certificados emitidos pelo cliente para autenticação no local. O Microsoft Entra Connect Sync configura as contas de utilizador do Active Directory para mapeamento de chaves públicas ao sincronizar a chave pública da credencial do Windows Hello para Empresas com um atributo no objeto do Active Directory (msDS-KeyCredentialLink atributo) do utilizador.

Pode ser utilizada uma PKI baseada no Windows Server ou uma autoridade de certificação não Microsoft Enterprise. Para obter mais informações, veja Requisitos para certificados de controlador de domínio de uma AC que não seja da Microsoft.

Implementar uma autoridade de certificação empresarial

Este guia considera que a maioria das empresas tem uma infraestrutura de chave pública existente. O Windows Hello para Empresas depende de uma PKI empresarial que execute a função Serviços de Certificados do Windows Server Active Directory .
Se não tiver um PKI existente, reveja a Documentação de Orientação da Autoridade de Certificação para estruturar corretamente a sua infraestrutura. Em seguida, consulte o Guia do Laboratório de Teste: Implementar um AD CS Two-Tier Hierarquia PKI para obter instruções sobre como configurar a PKI com as informações da sua sessão de estrutura.

PKI baseada em laboratório

As instruções seguintes podem ser utilizadas para implementar uma infraestrutura de chave pública simples adequada para um ambiente de laboratório.

Inicie sessão com credenciais equivalentes do Administrador do Enterprise num Windows Server onde pretende instalar a autoridade de certificação (AC).

Observação

Nunca instale uma autoridade de certificação num controlador de domínio num ambiente de produção.

  1. Abrir uma linha de comandos elevada do Windows PowerShell
  2. Use o comando a seguir para instalar a função de Serviços de certificação do Active Directory.
    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
    
  3. Utilize o seguinte comando para configurar a AC com uma configuração de autoridade de certificação básica
    Install-AdcsCertificationAuthority
    

Configurar o PKI empresarial

Configurar certificados de controlador de domínio

Os clientes têm de confiar nos controladores de domínio e a melhor forma de ativar a confiança é garantir que cada controlador de domínio tem um certificado de Autenticação Kerberos . A instalação de um certificado nos controladores de domínio permite que o Centro de Distribuição de Chaves (KDC) prove a respetiva identidade a outros membros do domínio. Os certificados fornecem aos clientes uma raiz de confiança externa ao domínio, nomeadamente a autoridade de certificação empresarial.

Os controladores de domínio solicitam automaticamente um certificado de controlador de domínio (se publicado) quando detetam que uma AC empresarial é adicionada ao Active Directory. Os certificados baseados nos modelos de certificado de Autenticação do Controlador de Domínio e do Controlador de Domínio não incluem o identificador de objeto de Autenticação KDC (OID), que foi posteriormente adicionado ao RFC kerberos. Por conseguinte, os controladores de domínio têm de pedir um certificado com base no modelo de certificado de Autenticação Kerberos .

Por predefinição, a AC do Active Directory fornece e publica o modelo de certificado de Autenticação Kerberos . A configuração de criptografia incluída no modelo baseia-se em APIs de criptografia mais antigas e menos eficazes. Para garantir que os controladores de domínio pedem o certificado adequado com a melhor criptografia disponível, utilize o modelo de certificado autenticação Kerberos como uma linha de base para criar um modelo de certificado de controlador de domínio atualizado.

Importante

Os certificados emitidos para os controladores de domínio têm de cumprir os seguintes requisitos:

  • A extensão do ponto de distribuição da Lista de Revogação de Certificados (CRL) tem de apontar para uma CRL válida ou para uma extensão de Acesso a Informações de Autoridade (AIA) que aponte para um dispositivo de resposta do Protocolo OCSP (Online Certificate Status Protocol)
  • Opcionalmente, a secção Assunto do certificado pode conter o caminho do diretório do objeto de servidor (o nome único)
  • A secção Utilização da Chave de Certificado tem de conter Assinatura Digital e Cifragem de Chave
  • Opcionalmente, a secção Restrições Básicas do certificado deve conter: [Subject Type=End Entity, Path Length Constraint=None]
  • A secção utilização da chave expandida do certificado tem de conter Autenticação de Cliente (1.3.6.1.5.5.7.3.2), Autenticação do Servidor (1.3.6.1.5.5.7.3.1) e Autenticação KDC (1.3.6.1.5.2.3.5)
  • A secção Nome Alternativo do Requerente do Certificado tem de conter o nome do Sistema de Nomes de Domínio (DNS)
  • O modelo de certificado tem de ter uma extensão que tenha o valor DomainController, codificado como BMPstring. Se estiver a utilizar a Autoridade de Certificação Empresarial do Windows Server, esta extensão já está incluída no modelo de certificado do controlador de domínio
  • O certificado do controlador de domínio tem de ser instalado no arquivo de certificados do computador local

Inicie sessão numa AC ou estações de trabalho de gestão com credenciais equivalentes de Administrador de Domínio .

  1. Abrir a consola de gestão da Autoridade de Certificação

  2. Clique com o botão direito do rato em Gestão de Modelos > de Certificado

  3. Na Consola do Modelo de Certificado, clique com o botão direito do rato no modelo Autenticação Kerberos no painel de detalhes e selecione Duplicar Modelo

  4. Utilize a tabela seguinte para configurar o modelo:

    Nome do Separador Configurações
    Compatibilidade
    • Desmarque a caixa de verificação Mostrar alterações resultantes
    • Selecione Windows Server 2016 na lista Autoridade de Certificação
    • Selecione Windows 10/Windows Server 2016 na lista Destinatários da Certificação
    Geral
    • Especifique um Nome a apresentar do Modelo, por exemplo Autenticação do Controlador de Domínio (Kerberos)
    • Defina o período de validade para o valor pretendido
    • Tome nota do nome do modelo para mais tarde, que deve ser o mesmo que os espaços de subtração do nome a apresentar do modelo
    Nome do Requerente
    • Selecione Criar a partir destas informações do Active Directory
    • Selecione Nenhum na lista Formato do nome do requerente
    • Selecione Nome DNS na lista Incluir estas informações num assunto alternativo
    • Limpar todos os outros itens
    Criptografia
    • Defina a Categoria do Fornecedor como Fornecedor de Armazenamento de Chaves
    • Defina o Nome do algoritmo como RSA
    • Defina o tamanho mínimo da chave como 2048
    • Defina o Hash do pedido como SHA256
  5. Selecione OK para finalizar as alterações e criar o novo modelo

  6. Fechar a consola

Observação

A inclusão do OID de Autenticação KDC no certificado de controlador de domínio não é necessária para dispositivos associados híbridos do Microsoft Entra. O OID é necessário para ativar a autenticação com o Windows Hello para Empresas para recursos no local por dispositivos associados ao Microsoft Entra.

Importante

Para que os dispositivos associados ao Microsoft Entra se autentiquem em recursos no local, certifique-se de que:

  • Instale o certificado de AC de raiz no arquivo de certificados de raiz fidedigna do dispositivo. Veja como implementar um perfil de certificado fidedigno através do Intune
  • Publique a lista de revogação de certificados numa localização que esteja disponível para dispositivos associados ao Microsoft Entra, como um URL baseado na Web

Substituir certificados de controlador de domínio existentes

Os controladores de domínio podem ter um certificado de controlador de domínio existente. Os Serviços de Certificados do Active Directory fornecem um modelo de certificado predefinido para controladores de domínio denominados certificado de controlador de domínio. As versões posteriores do Windows Server forneceram um novo modelo de certificado denominado certificado de autenticação do controlador de domínio. Estes modelos de certificado foram fornecidos antes da atualização da especificação Kerberos que indica que os Centros de Distribuição de Chaves (KDCs) efetuam a autenticação de certificados necessária para incluir a extensão de Autenticação KDC .

O modelo de certificado de Autenticação Kerberos é o modelo de certificado mais atual designado para controladores de domínio e deve ser aquele que implementa em todos os controladores de domínio.
A funcionalidade de inscrição automática permite-lhe substituir os certificados do controlador de domínio. Utilize a seguinte configuração para substituir certificados de controlador de domínio mais antigos por novos, utilizando o modelo de certificado autenticação Kerberos .

Inicie sessão numa AC ou estações de trabalho de gestão com credenciais equivalentes do Administrador do Enterprise .

  1. Abrir a consola de gestão da Autoridade de Certificação
  2. Clique com o botão direito do rato em Gestão de Modelos > de Certificado
  3. Na Consola do Modelo de Certificado, clique com o botão direito do rato no modelo Autenticação do Controlador de Domínio (Kerberos) (ou o nome do modelo de certificado que criou na secção anterior) no painel de detalhes e selecione Propriedades
  4. Selecione o separador Modelos Substituídos . Selecione Adicionar
  5. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado Controlador de Domínio e selecione OK > Adicionar
  6. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado Autenticação do Controlador de Domínio e selecione OK
  7. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado autenticação Kerberos e selecione OK
  8. Adicione outros modelos de certificado empresarial que tenham sido configurados anteriormente para controladores de domínio ao separador Modelos Substituídos
  9. Selecione OK e feche a consola Modelos de Certificado

O modelo de certificado está configurado para substituir todos os modelos de certificado fornecidos na lista de modelos substituídos .
No entanto, o modelo de certificado e a substituição de modelos de certificado não estão ativos até que o modelo seja publicado numa ou mais autoridades de certificação.

Observação

O certificado do controlador de domínio tem de ser ligado a uma raiz no arquivo NTAuth. Por predefinição, o certificado de raiz da Autoridade de Certificação do Active Directory é adicionado ao arquivo NTAuth. Se estiver a utilizar uma AC que não seja da Microsoft, tal poderá não ser feito por predefinição. Se o certificado do controlador de domínio não encadear a uma raiz no arquivo NTAuth, a autenticação do utilizador falhará. Para ver todos os certificados no arquivo NTAuth, utilize o seguinte comando:

Certutil -viewstore -enterprise NTAuth

Cancelar a publicação de modelos de certificado obsoletos

A autoridade de certificação apenas emite certificados com base em modelos de certificado publicados. Para segurança, é uma boa prática anular a publicação de modelos de certificado que a AC não está configurada para emitir, incluindo os modelos pré-publicados da instalação da função e quaisquer modelos substituídos.

O modelo de certificado de autenticação do controlador de domínio recentemente criado substitui os modelos de certificado de controlador de domínio anteriores. Portanto, você deve cancelar esses modelos de certificado de todas as autoridades de certificação emissoras.

Inicie sessão na AC ou estação de trabalho de gestão com credenciais equivalentes do Administrador do Enterprise .

  1. Abrir a consola de gestão da Autoridade de Certificação
  2. Expandir o nó principal a partir do painel de navegação >Modelos de Certificado
  3. Clique com o botão direito do rato no modelo de certificado Controlador de Domínio e selecione Eliminar. Selecione Sim na janela Desativar modelos de certificado
  4. Repita o passo 3 para os modelos de certificado de Autenticação do Controlador de Domínio e Autenticação Kerberos

Publicar o modelo de certificado na AC

Uma autoridade de certificação só pode emitir certificados para modelos de certificado publicados no mesmo. Se tiver mais do que uma AC e quiser que mais ACs emitam certificados com base no modelo de certificado, tem de publicar o modelo de certificado nos mesmos.

Inicie sessão na AC ou nas estações de trabalho de gestão com credenciais equivalentes do Administrador de Empresa .

  1. Abrir a consola de gestão da Autoridade de Certificação
  2. Expandir o nó principal a partir do painel de navegação
  3. Selecione Modelos de Certificado no painel de navegação
  4. Clique com botão direito do mouse no nó de Modelos de certificado. Selecione Novo > Modelo de Certificado para emitir
  5. Na janela Ativar Modelos de Certificados , selecione o modelo Autenticação do Controlador de Domínio (Kerberos) que criou nos passos > anteriores, selecione OK
  6. Fechar a consola

Importante

Se planear implementar dispositivos associados ao Microsoft Entra e exigir o início de sessão único (SSO) em recursos no local ao iniciar sessão com o Windows Hello para Empresas, siga os procedimentos para atualizar a SUA AC para incluir um ponto de distribuição CRL baseado em http.

Configurar e implementar certificados em controladores de domínio

Configurar a inscrição automática de certificados para os controladores de domínio

Os controladores de domínio solicitam automaticamente um certificado do modelo de certificado controlador de domínio. No entanto, os controladores de domínio desconhecem modelos de certificado mais recentes ou configurações sobrepostas em modelos de certificado. Para que os controladores de domínio se inscrevam e renovem automaticamente certificados, configure um GPO para inscrição automática de certificados e associe-o à UO dos Controladores de Domínio .

  1. Abra a Consola de Gestão de Políticas de Grupo (gpmc.msc)
  2. Expanda o domínio e selecione o nó Objeto de Política de Grupo no painel de navegação
  3. Clique com o botão direito do mouse no Objeto de política de grupo e selecione Novo
  4. Escreva Inscrição de Certificado Automático do Controlador de Domínio na caixa nome e selecione OK
  5. Clique com o botão direito do rato no objeto Política de Grupo de Inscrição de Certificados Automáticas do Controlador de Domínio e selecione Editar
  6. No painel de navegação, expanda Políticas em Configuração do Computador
  7. Expandir As Políticas > de Chave Pública das Definições > de Segurança do Windows
  8. No painel de detalhes, clique com o botão direito do rato em Cliente de Serviços de Certificados – Inscrição Automática e selecione Propriedades
  9. Selecione Ativado na lista Modelo de Configuração
  10. Selecione a caixa de verificação Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados
  11. Selecione a caixa de verificação Atualizar certificados que utilizam modelos de certificado
  12. Selecione OK
  13. Fechar o Editor de Gestão de Políticas de Grupo

Implementar o GPO de inscrição de certificados automáticos do controlador de domínio

Inicie sessão em estações de trabalho de gestão ou controlador de domínio com credenciais equivalentes de Administrador de Domínio .

  1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
  2. No painel de navegação, expanda o domínio e expanda o nó com o nome de domínio do Active Directory. Clique com o botão direito do rato na unidade organizacional Controladores de Domínio e selecione Ligar um GPO existente...
  3. Na caixa de diálogo Selecionar GPO, selecioneInscrição de Certificado Automático do Controlador de Domínio ou o nome do objeto de Política de Grupo de inscrição de certificados do controlador de domínio que criou anteriormente
  4. Selecione OK

Validar a configuração

O Windows Hello para Empresas é um sistema distribuído que, na superfície, aparenta ser complexo e difícil de usar. A chave para uma implementação bem-sucedida é validar fases de trabalho antes de passar para a fase seguinte.

Confirme que os controladores de domínio inscrevem os certificados corretos e não os modelos de certificado substituídos. Verifique se cada controlador de domínio concluiu a inscrição automática do certificado.

Utilizar os registos de eventos

Inicie sessão em estações de trabalho de gestão ou controlador de domínio com credenciais equivalentes de Administrador de Domínio .

  1. Com o Visualizador de Eventos, navegue para o Registo de eventosDo Microsoft>Windows>CertificateServices-Lifecycles-System da Aplicação e Serviços>
  2. Procure um evento que indique uma nova inscrição de certificados (inscrição automática):
    • Os detalhes do evento incluem o modelo de certificado no qual o certificado foi emitido
    • O nome do modelo de certificado utilizado para emitir o certificado deve corresponder ao nome do modelo de certificado incluído no evento
    • O thumbprint do certificado e as EKUs do certificado também estão incluídos no evento
    • O EKU necessário para a autenticação adequada do Windows Hello para Empresas é a Autenticação Kerberos, além de outras EKUs fornecidas pelo modelo de certificado

Os certificados substituídos pelo novo certificado do controlador de domínio geram um evento de arquivo no Registo de Eventos. O evento de arquivo contém o nome de modelo de certificado e a impressão digital do certificado substituído pelo novo certificado.

Gerenciador de certificados

Você pode usar o console do Gerenciador de certificados para validar se o controlador de domínio tem o certificado devidamente registrado com base no modelo de certificado correto com as EKUs adequadas. Use certlm.msc para exibir o certificado no armazenamento de certificados dos computadores locais. Expanda o armazenamento Pessoal e visualize os certificados registrados para o computador. Os certificados arquivados não aparecem no Gestor de Certificados.

Certutil.exe

Pode utilizar certutil.exe o comando para ver os certificados inscritos no computador local. O Certutil mostra certificados registrados e arquivados do computador local. Numa linha de comandos elevada, execute o seguinte comando:

certutil.exe -q -store my

Para ver informações detalhadas sobre cada certificado no arquivo e validar a inscrição automática de certificados inscritos nos certificados adequados, utilize o seguinte comando:

certutil.exe -q -v -store my

Solução de problemas

O Windows ativa o registro automático de certificado do computador durante a inicialização e quando a Política de grupo é atualizada. Você pode atualizar a Política de grupo de um prompt de comando com privilégios elevados usando gpupdate.exe /force.

Como alternativa, você pode acionar o registro automático de certificado usando certreq.exe -autoenroll -q em um prompt de comando com privilégios elevados.

Use os logs de eventos para monitorar o registro e o arquivamento de certificado. Reveja a configuração, como publicar modelos de certificado para emitir autoridade de certificação e permitir permissões de inscrição automática.

Revisão da secção e passos seguintes

Antes de avançar para a secção seguinte, certifique-se de que os seguintes passos estão concluídos:

  • Configurar o modelo de certificado do controlador de domínio
  • Substituir certificados de controlador de domínio existentes
  • Cancelar a publicação de modelos de certificado obsoletos
  • Publicar o modelo de certificado na AC
  • Implementar certificados nos controladores de domínio
  • Validar a configuração dos controladores de domínio