Artigo: 968389 - �ltima revis�o: quarta-feira, 28 de Julho de 2010 - Revis�o: 3.0

Protec��o Expandida para Autentica��o

Ver produtos para os quais este artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

A Microsoft est� a anunciar a disponibilidade de uma nova funcionalidade, Protec��o Expandida para Autentica��o, na plataforma Windows. Esta funcionalidade melhora a protec��o e o processamento de credenciais na autentica��o das liga��es de rede utilizando a Autentica��o Integrada do Windows (IWA).

A actualiza��o n�o fornece directamente protec��o contra ataques espec�ficos, tais como reencaminhamento de credenciais, mas permite que as aplica��es optem activamente pela Protec��o Expandida para Autentica��o. Este aviso apresenta um resumo aos programadores e administradores de sistema sobre esta nova funcionalidade e a forma como pode ser implementada para ajudar a proteger as credenciais de autentica��o.

A actualiza��o no artigo 968389 da Base de Dados de Conhecimento Microsoft modifica o SSPI para melhorar o funcionamento da autentica��o do Windows de modo a que as credenciais n�o sejam reencaminhadas facilmente quando a Autentica��o Integrada do Windows (IWA) estiver activada.

Para mais informa��es, consulte o aviso de seguran�a 973811 visitando o seguinte Web site da Microsoft:

http://www.microsoft.com/portugal/technet/seguranca/advisory/973811.mspx (http://www.microsoft.com/portugal/technet/seguranca/advisory/973811.mspx)

Voltar ao topo

Problemas Conhecidos

Para mais informa��es sobre problemas conhecidos relativos a este software, clique nos n�meros de artigo que se seguem para visualizar os artigos na Base de Dados de Conhecimento Microsoft:

977073� (http://support.microsoft.com/kb/977073/ ) CORREC��O: A autentica��o de texto impl�cita falha num servidor membro do Windows Server 2003 quando efectua a autentica��o num controlador de dom�nio do Windows Server 2008 R2
979231� (http://support.microsoft.com/kb/979231/ ) A utiliza��o de mem�ria continua a aumentar se a autentica��o Schannel for utilizada depois de a actualiza��o 968389 ser instalada no Windows Vista ou no Windows Server 2008

Voltar ao topo

Mais Informa��o

Esta actualiza��o de seguran�a modifica o SSPI para melhorar o funcionamento da autentica��o do Windows de modo a que as credenciais n�o sejam reencaminhadas facilmente quando a Autentica��o Integrada do Windows (IWA) estiver activada.

Quando a Protec��o Expandida para Autentica��o est� activada, os pedidos de autentica��o s�o vinculados aos Nomes do Principal do Servi�o (SPN) do servidor ao qual o cliente tenta ligar e ao canal Transport Layer Security (TLS) externo atrav�s do qual ocorre a autentica��o IWA. Trata-se de uma actualiza��o base que permite que as aplica��es optem pela nova funcionalidade.

Depois de instalar esta actualiza��o de seguran�a, � necess�rio implementar as seguintes defini��es de subchave de registo para activar a Protec��o Expandida:

Defina o valor da subchave de registo correspondente a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection
como "0" (zero) para activar a tecnologia de protec��o. Por predefini��o, esta subchave de registo n�o � criada quando a actualiza��o de seguran�a est� instalada. Se esta subchave de registo n�o tiver sido criada, a Protec��o Expandida � desactivada. Quando define a entrada de registo SuppressExtendedProtection para "1" ou quando elimina esta subchave, a Protec��o Expandida � desactivada. Ao definir a entrada do registo SuppressExtendedProtection para "3," a Protec��o Expandida � desactivada, assim como os enlaces de canal enviados pelo Kerberos, mesmo que sejam fornecidos pela aplica��o.
Defina o valor de subchave de registo correspondente a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
como "3". N�o � a predefini��o do Windows XP e Windows Server 2003. Trata-se de uma chave existente que activa a Autentica��o NTLMv2. A protec��o expandida para a autentica��o do Windows s� � aplic�vel aos protocolos de autentica��o NTLMv2, Kerberos, de texto impl�cita e de negocia��o, n�o sendo aplicada a NTLMv1.

Nota � necess�rio reiniciar o computador depois de definir os valores de registo SuppressExtendedProtection e LmCompatibilityLevel num computador baseado no Windows XP.

Voltar ao topo

Activar a Protec��o Expandida

Depois de instalar esta actualiza��o de seguran�a, tem de activar a Protec��o Expandida. Para nos solicitar a activa��o da Protec��o Expandida, consulte a sec��o "Corrigir por mim". Se preferir activar as Actualiza��es Autom�ticas sozinho, consulte a sec��o "Deixar-me corrigir o problema".

Voltar ao topo

Corrigir por mim

Para activar a Protec��o Expandida automaticamente depois de transferir e instalar a actualiza��o de seguran�a para a sua plataforma, clique na hiperliga��o Corrigir este problema. Em seguida, clique em Executar na caixa de di�logo Transfer�ncia de Ficheiros e siga os passos indicados neste assistente.

Corrigir este problema
Correc��o de problemas da Microsoft 50390

Nota: este assistente pode estar apenas em ingl�s; contudo, a correc��o autom�tica tamb�m funciona em vers�es do Windows noutros idiomas.

Nota: se n�o estiver a trabalhar no computador que tem o problema, pode guardar a correc��o autom�tica numa unidade Flash ou num CD e, em seguida, pode execut�-la no computador com o problema.

Voltar ao topo

Deixar-me corrigir o problema

Importante: esta sec��o, m�todo ou tarefa cont�m passos que explicam como modificar o registo. No entanto, poder�o ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior seguran�a, efectue uma c�pia de seguran�a do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informa��es sobre como efectuar uma c�pia de seguran�a e restaurar o registo, clique no n�mero de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:

322756� (http://support.microsoft.com/kb/322756/ ) Como criar uma c�pia de seguran�a e restaurar o registo no Windows

Para activar a Protec��o Expandida sozinho depois de transferir e instalar a actualiza��o de seguran�a para a sua plataforma, siga estes passos:

Inicie o Editor de Registo. Para o fazer, clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
Localize e clique na seguinte subchave de registo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Verifique a presen�a dos valores de registo SuppressExtendedProtection e LmCompatibilityLevel.

Se os valores de registo n�o existirem, siga estes passos para os criar:
1. Com a subchave de registo indicada no passo 2 seleccionada, no menu Editar, aponte para Novo e clique em Valor DWORD.
2. Escreva SuppressExtendedProtection e, em seguida, prima ENTER.
3. Com a subchave de registo indicada no passo 2 seleccionada, no menu Editar, aponte para Novo e clique em Valor DWORD.
4. Escreva LmCompatibilityLevel e, em seguida, prima ENTER.
Clique para seleccionar o valor de registo SuppressExtendedProtection.
No menu Editar, clique em Modificar.
Na caixa Dados do valor, escreva 0 e clique em OK.
Clique para seleccionar o valor de registo LmCompatibilityLevel.
No menu Editar, clique em Modificar.

Nota Este passo altera os requisitos de autentica��o NTLM. Reveja o seguinte artigo na Base de Dados de Conhecimento Microsoft para se certificar de que est� familiarizado com este comportamento.
239869� (http://support.microsoft.com/kb/239869/ ) Como activar a autentica��o NTLM 2
Na caixa Dados do valor, escreva 3 e clique em OK.
Saia do Editor de Registo.
Se efectuar estas altera��es num computador baseado no Windows XP, ser� necess�rio reiniciar o computador para que as mesmas �sejam activadas.

Voltar ao topo

INFORMA��ES DE TRANSFER�NCIA

Os seguintes ficheiros est�o dispon�veis para transfer�ncia a partir do Centro de Transfer�ncias da Microsoft:

Reduzir esta imagemExpandir esta imagem

Transfira agora o pacote do Windows XP Service Pack 2 e do Windows XP Service Pack 3. (http://www.microsoft.com/downloads/details.aspx?displaylang=pt-pt&FamilyID=cb9a7ba1-72c7-4c72-a802-ac5bb3442ce4)

Reduzir esta imagemExpandir esta imagem

Transfira agora o pacote do Windows XP para Sistemas baseados em x64 Service Pack 2 e do Windows XP para Sistemas baseados em x64 Service Pack 3. (http://www.microsoft.com/downloads/details.aspx?FamilyID=b0ae9b16-1479-4bf2-84a1-828871ba2d64)

Reduzir esta imagemExpandir esta imagem

Transfira agora o pacote do Windows Server 2003 Service Pack 2. (http://www.microsoft.com/downloads/details.aspx?displaylang=pt-pt&FamilyID=3ce0efe2-82ec-4134-9891-37efeab24e3a)

Reduzir esta imagemExpandir esta imagem

Transfira agora o pacote do Windows Server 2003 para Sistemas baseados em x64 Service Pack 2. (http://www.microsoft.com/downloads/details.aspx?FamilyID=36b476ef-6a57-47be-98ce-4b0b7d56fef7)

Reduzir esta imagemExpandir esta imagem

Transfira agora o pacote do Windows Server 2003 para Sistemas baseados em Itanium e do Windows Server 2003 para Sistemas baseados em Itanium Service Pack 2. (http://www.microsoft.com/downloads/details.aspx?FamilyID=9d2c12c7-1b64-4bd9-bcd6-9e8cda84b116)

Reduzir esta imagemExpandir esta imagem

Transfira agora o pacote do Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2. (http://www.microsoft.com/downloads/details.aspx?displaylang=pt-pt&FamilyID=6d96662c-f061-4907-b9bc-de2a1497dcfd)

Reduzir esta imagemExpandir esta imagem

Transfira agora o pacote do Windows Vista para Sistemas baseados em x64, do Windows Vista para Sistemas baseados em x64 Service Pack 1 e do Windows Vista para Sistemas baseados em x64 Service Pack 2. (http://www.microsoft.com/downloads/details.aspx?displaylang=pt-pt&FamilyID=f877a3bf-0240-4bf8-94fc-10bf3f3c91e8)

Reduzir esta imagemExpandir esta imagem

Transfira agora o pacote do Windows Server 2008 para Sistemas de 32 bits e do Windows Server 2008 para Sistemas de 32 bits Service Pack 2. (http://www.microsoft.com/downloads/details.aspx?displaylang=pt-pt&FamilyID=d19fce0d-1134-48b4-a886-ddb134968d56)

Reduzir esta imagemExpandir esta imagem

Transfira agora o pacote do Windows Server 2008 para Sistemas baseados em x64 e do Windows Server 2008 para Sistemas baseados em x64 Service Pack 2. (http://www.microsoft.com/downloads/details.aspx?displaylang=pt-pt&FamilyID=c1eaa95f-47d2-4852-bc28-9854c35bb289)

Reduzir esta imagemExpandir esta imagem

Transfira agora o pacote do Windows Server 2008 para Sistemas baseados em Itanium e do Windows Server 2008 para Sistemas baseados em Itanium Service Pack 2. (http://www.microsoft.com/downloads/details.aspx?FamilyID=d6e6696c-09cc-4c0d-9faa-2512cc3f5ee5)

Data de Edi��o: 7 de Agosto de 2009

Para mais informa��es sobre como transferir ficheiros de suporte da Microsoft, clique no n�mero de artigo que se segue para visualizar o artigo da Base de Dados de Conhecimento Microsoft:

119591� (http://support.microsoft.com/kb/119591/ ) Como obter ficheiros de suporte da Microsoft a partir de servi�os online

A Microsoft procedeu � detec��o de v�rus neste ficheiro. A Microsoft utilizou o software de detec��o de v�rus mais actual, dispon�vel na data de publica��o do ficheiro. O ficheiro est� armazenado em servidores com seguran�a melhorada, que ajudam a impedir quaisquer altera��es n�o autorizadas ao ficheiro.

Voltar ao topo

INFORMA��O SOBRE OS FICHEIROS

A vers�o em ingl�s (Estados Unidos) desta actualiza��o de software instala ficheiros que t�m os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros s�o indicadas no formato de Hora Universal Coordenada (UTC). As datas e horas destes ficheiros s�o apresentadas no computador local com a hora local e com a compensa��o da hora de Ver�o (DST) actual. Al�m disso, as datas e horas podem ser alteradas quando s�o executadas determinadas opera��es nos ficheiros.

Voltar ao topo