O que é a autenticação do diretório? - Security Center 5.10

Guia do administrador da Central de segurança 5.10

Product
Security Center
Content type
Guias > Guias do administrador
Version
5.10
Language
Português
Last updated
2023-07-07

A autenticação no Directory é uma opção do Security Center que força todas as aplicações do cliente e do servidor em determinada máquina a validar o certificado de identidade do Directory antes de se conectar a ele. Esta medida impede ataques man-in-the-middle.

Quando preciso de autenticação do Directory?

A finalidade da autenticação no Directory é proteger contra ataques man-in-the-middle (MITM). Se você não tiver aplicativos conectados ao seu sistema pela Internet (ou por qualquer rede não confiável), o potencial desse tipo de ataque é muito baixo. Nesse caso, você provavelmente está seguro sem ativar esta opção.

O que é um certificado de identidade?

Um certificado de identidade é um certificado digital usado para autenticar uma parte a outra em uma comunicação segura através de uma rede pública. Os certificados de identidade são geralmente emitidos por uma autoridade de confiança de ambas as partes, chamada de autoridade certificada (AC).

NOTA: Todos os certificados de identidade utilizados no Security Center são certificados de servidor. Um certificado de servidor é um certificado de identidade usado para autenticar a identidade do servidor para o cliente. Os certificados de servidor também são usados para criptografar os dados em trânsito para garantir a confidencialidade dos dados. No contexto da segurança da comunicação, a parte que inicia a conexão é o cliente e a parte que aceita a conexão é o servidor.

Como funciona

Ao instalar os componentes do servidor do Security Center, um certificado auto-assinadochamado GenetecServer-{MachineName} é automaticamente criado no Local Computer Certificate Store. Você pode ver o certificado atual na Server Admin, na seção Comunicação segura com o servidor.

Os certificados auto-assinados são usados para identificar os servidores de expansão para o servidor principal para que a senha usada para se conectar ao servidor principal não precise ser armazenada localmente nos servidores de expansão.

Autenticação no Directory está habilitada na instalação do Security Center quando você escolhe as configurações recomendadas de segurança ou selecionando Sempre validar o certificado do Directory ao escolher as configurações personalizadas de segurança.

MELHOR PRÁTICA: Se optar por ativar a autenticação do Directory, recomendamos que substitua o certificado autoassinado no servidor principal por um emitido por uma confiável autoridade de certificação (CA — certificate authority). A CA pode ser interna ou de um terceiro. Isso permite que você implante um sistema altamente seguro sem forçar seus usuários a estar cientes do mecanismo subjacente.

Se você optar por manter o certificado autoassinado no servidor principal, a primeira vez que uma estação de trabalho for usada para se conectar ao Directory, o usuário será solicitado a confirmar se o servidor do Directory pode ser confiável.

Uma vez que um usuário confirma que o servidor principal pode ser confiável, o certificado fica na lista de permissões, e a caixa de diálogo não aparecerá novamente.

A mesma confirmação é necessária nos servidores de expansão. Na primeira vez que você fizer logon no servidor de expansão com o Server Admin, você verá esta mensagem no painel.

Você deve clicar em Conexão ao servidor principal e então em Aceitar certificado na caixa de diálogo que aparecerá.

Depois que o servidor principal for confirmado, você poderá alterar a senha ou o certificado no servidor principal ou no servidor de expansão e nunca mais terá que confirmar sua confiança, desde que os dois servidores permaneçam conectados enquanto faz a alteração.

Requisitos

Para que a autenticação do Directory funcione, as seguintes condições devem ser atendidas:
  • O DNS deve ser configurado na rede. Servidores e estações de trabalho de cliente devem ser capazes de resolver o nome do servidor principal.
  • O nome do servidor principal deve ser resolvido pelo DNS para o nome comum no certificado do Directory.
  • As estações de trabalho do cliente e os servidores de expansão devem ser capazes de confiar no certificado fornecido pelo servidor principal. Caso contrário, uma intervenção do usuário é sempre necessária para aceitar o certificado na primeira vez que uma máquina é usada para se conectar ao servidor principal.

Como altero essa configuração após a instalação?

Para alterar a configuração de autenticação do Directory após a instalação do software, é necessário editar o arquivo GeneralSettings.gconfig em cada computador onde você queira a alteração.