A autenticação multifator (MFA) tornou-se um dos principais pilares da segurança digital nas organizações. A adoção dessa camada adicional de proteção é recomendada por frameworks de segurança, provedores de identidade e especialistas em defesa cibernética como uma das formas mais eficazes de reduzir o impacto do roubo de credenciais. Na prática, o MFA reduz drasticamente o risco de acesso indevido quando senhas são comprometidas em ataques de phishing, vazamentos de dados ou reutilização de credenciais. No entanto, em ambientes Windows corporativos, essa proteção possui limitações importantes que muitas empresas ainda desconhecem.
Mesmo com MFA habilitado em provedores de identidade na nuvem, existem diversos caminhos de autenticação que ocorrem diretamente dentro da rede corporativa e não passam por esses controles. Protocolos e mecanismos nativos do sistema operacional podem permitir acesso com credenciais válidas sem acionar qualquer solicitação de segundo fator.
Esse cenário cria uma superfície de ataque significativa em ambientes híbridos e pode facilitar ataques de movimentação lateral após um comprometimento inicial. Neste artigo, explicamos por que o MFA não protege completamente ambientes Windows, quais são os principais caminhos de autenticação explorados por atacantes e quais práticas podem reduzir esses riscos.
O limite do MFA em ambientes Windows
A autenticação multifator funciona quando o processo de login passa por um provedor de identidade responsável por validar o usuário antes de conceder acesso a um sistema.
Soluções como Microsoft Entra ID, Okta e Google Workspace são capazes de aplicar MFA com eficiência em aplicações SaaS, serviços em nuvem e acessos federados.
Nesse modelo, o usuário precisa comprovar sua identidade utilizando dois ou mais fatores de autenticação, como senha, aplicativo autenticador ou biometria.
O problema é que uma parte relevante das autenticações realizadas em ambientes Windows não passa por esses provedores.
Em redes corporativas tradicionais, a autenticação ocorre diretamente no Active Directory, o serviço responsável por gerenciar usuários, grupos, permissões e políticas de acesso dentro do domínio.
Isso significa que muitos logins acontecem inteiramente dentro da infraestrutura interna da organização, sem interação com controles de MFA baseados em nuvem.
Para atacantes que conseguem obter credenciais válidas, essa lacuna pode ser suficiente para acessar sistemas internos e iniciar processos de escalonamento de privilégios ou movimentação lateral.
7 caminhos de autenticação no Windows que podem contornar o MFA
Diversos mecanismos nativos do Windows permitem autenticação direta dentro da rede corporativa. Em muitos casos, esses processos não passam por provedores de identidade modernos e, por isso, não acionam MFA.
A seguir estão alguns dos principais vetores explorados em ataques reais.
Logon direto em máquinas do domínio
Quando um usuário realiza login em uma estação de trabalho ou servidor Windows conectado ao domínio corporativo, a autenticação é realizada pelo controlador de domínio.
Esse processo normalmente utiliza protocolos como Kerberos ou NTLM.
Como a validação ocorre diretamente no Active Directory, o login não passa por sistemas de identidade em nuvem e nenhuma verificação de MFA é solicitada.
Caso um invasor obtenha credenciais válidas de um usuário do domínio, ele pode utilizá-las para acessar máquinas internas sem enfrentar controles adicionais de autenticação.
Acesso remoto via RDP
O Remote Desktop Protocol é amplamente utilizado por equipes de TI para administração remota de servidores, suporte técnico e acesso a estações de trabalho.
Esse mesmo protocolo também está entre os mais explorados em ataques contra redes corporativas.
Sessões RDP diretas geralmente são autenticadas pelo Active Directory e não passam por mecanismos de MFA baseados em nuvem.
Mesmo quando o RDP não está exposto diretamente à internet, atacantes frequentemente o utilizam após um comprometimento inicial para se movimentar entre sistemas da rede.
NTLM e ataques Pass-the-Hash
O NTLM é um protocolo de autenticação legado que ainda existe em muitas redes corporativas por razões de compatibilidade com sistemas antigos.
Uma das técnicas mais conhecidas associadas a esse protocolo é o ataque conhecido como pass-the-hash.
Nesse tipo de ataque, o invasor captura o hash criptográfico da senha armazenado em um sistema comprometido e utiliza esse hash diretamente para autenticação, sem precisar conhecer a senha original.
Como o hash já é aceito pelo sistema como prova de identidade, o MFA aplicado em aplicações externas não impede esse tipo de acesso.
Tickets Kerberos comprometidos
O Kerberos é considerado mais seguro que NTLM porque utiliza tickets de autenticação temporários em vez de transmitir senhas pela rede.
Apesar disso, esses tickets permanecem armazenados na memória da máquina durante a sessão ativa do usuário.
Se um atacante comprometer um endpoint ou obtiver privilégios elevados, ele pode capturar esses tickets e reutilizá-los para acessar outros sistemas dentro do domínio.
Ataques conhecidos como Golden Ticket e Silver Ticket exploram esse mecanismo, permitindo que invasores obtenham acesso prolongado à infraestrutura mesmo após alterações de senha.
Contas de administrador local
Muitos ambientes corporativos mantêm contas administrativas locais em estações de trabalho e servidores para suporte técnico ou recuperação de sistemas.
Quando essas contas utilizam a mesma senha em diferentes máquinas, um único comprometimento pode permitir acesso a vários dispositivos da rede.
Essas contas são autenticadas diretamente no endpoint e não passam por políticas de acesso condicional aplicadas em provedores de identidade como o Microsoft Entra ID.
Isso significa que o MFA não é aplicado nesse processo de autenticação.
Compartilhamentos de rede via SMB
O Server Message Block é o protocolo utilizado pelo Windows para compartilhamento de arquivos, pastas e recursos administrativos na rede.
Em muitas organizações, o tráfego SMB é tratado como confiável por ocorrer dentro da infraestrutura interna.
Com credenciais válidas, um atacante pode acessar compartilhamentos administrativos, coletar dados sensíveis ou utilizar esses recursos para se mover entre sistemas da rede.
Na maioria dos casos, esse tipo de autenticação também não aciona MFA.
Contas de serviço com privilégios elevados
Contas de serviço são utilizadas por aplicações, integrações automatizadas e tarefas agendadas dentro do ambiente corporativo.
Por serem destinadas a sistemas e não a usuários humanos, essas contas frequentemente apresentam características de alto risco.
Entre as práticas comuns estão senhas que não expiram, permissões amplas e uso contínuo em processos automatizados.
Como essas contas precisam se autenticar sem interação humana, a aplicação de MFA normalmente não é viável.
Isso faz com que contas de serviço sejam frequentemente exploradas por atacantes durante processos de movimentação lateral e escalonamento de privilégios.
Como reduzir o risco em ambientes Windows
Proteger ambientes Windows exige tratar a autenticação interna como uma superfície de segurança própria. Confiar apenas em MFA aplicado a serviços na nuvem não é suficiente para impedir ataques baseados em credenciais.
Algumas práticas são fundamentais para reduzir esse risco.
Fortalecer políticas de senha no Active Directory
Senhas fracas continuam sendo uma das principais portas de entrada para ataques baseados em credenciais.
Organizações devem adotar políticas que incentivem o uso de passphrases com pelo menos quinze caracteres, bloquear padrões previsíveis e impedir a reutilização de senhas.
Também é importante implementar mecanismos que bloqueiem credenciais presentes em bases públicas de vazamentos de dados.
Ataques de credential stuffing utilizam exatamente esse tipo de informação para tentar autenticações em massa.
Reduzir ou eliminar o uso de NTLM
O uso de NTLM deve ser monitorado e reduzido sempre que possível.
Isso envolve identificar sistemas que ainda dependem desse protocolo, migrar aplicações para autenticação baseada em Kerberos e restringir autenticações NTLM remotas.
Ambientes que mantêm NTLM ativo permanecem expostos a técnicas como pass-the-hash.
Controlar contas de serviço
Contas de serviço precisam ser tratadas como identidades críticas dentro do ambiente corporativo.
Boas práticas incluem inventariar todas as contas existentes, reduzir privilégios sempre que possível, rotacionar credenciais regularmente e remover contas que não estão mais em uso.
Sem esse controle, essas identidades podem fornecer acesso privilegiado persistente a invasores.
Gerenciar credenciais administrativas locais
Ferramentas de gerenciamento de privilégios e rotação automática de senhas podem impedir que credenciais administrativas sejam reutilizadas entre máquinas.
Essa prática reduz significativamente o risco de movimentação lateral após um comprometimento inicial.
MFA continua essencial, mas não resolve tudo
A autenticação multifator continua sendo uma das defesas mais importantes contra o roubo de credenciais, especialmente em aplicações expostas à internet e serviços em nuvem.
No entanto, em ambientes Windows corporativos, confiar exclusivamente nessa camada de proteção pode gerar uma falsa sensação de segurança.
Grande parte da autenticação dentro da rede ainda depende de protocolos e mecanismos que operam fora do alcance dos provedores de identidade modernos.
Para reduzir o risco real de comprometimento, as organizações precisam proteger também os caminhos de autenticação internos do sistema operacional e da infraestrutura de rede.
Avaliações contínuas de segurança, análises de exposição e simulações de ataque ajudam equipes de segurança a identificar esses pontos antes que sejam explorados em um incidente real.
