1.4 - Kerberos no Windows

A implementação Kerberos do Windows ocorreu a partir do Windows 2000 Server, o qual passou a ser padrão no Active Directory, o serviço de diretórios da Microsoft.

O Active Directory consiste em um diretório X.500 (LDAP), combinado com autenticação Kerberos. No Active Directory, o Kerberos substitui a autenticação NTLM, facilitando o uso de single sign-on (SSO) e tornando a solução mais segura.

Apesar de o Kerberos ser um protocolo mais robusto, as senhas ainda são armazenadas em formato de Hash no diretório e podem ser obtidas através de utilitários encontrados na internet, como o Cain & Abel, Pwdump e Ophcrack.

A figura a seguir mostra o funcionamento geral do Kerberos.