Comunicado de Segurança da Microsoft: Atualização para melhorar o gerenciamento e a proteção de credenciais: 13 de maio de 2014

INTRODUÇÃO

A Microsoft lançou um comunicado de segurança Microsoft sobre esse problema para profissionais de TI. Esse comunicado contém informações adicionais relacionadas à segurança. Para exibir o comunicado de segurança, visite o seguinte site da Microsoft:
Importante Além da atualização 2871997, houve várias outras atualizações que contribuíram para melhorar a proteção de credenciais. Leia este artigo com atenção para conhecer todo o conjunto de atualizações disponíveis.


Perguntas frequentes de atualização

Esta atualização contém alterações adicionais relacionadas à segurança da funcionalidade?
Além das alterações que estão listadas para as vulnerabilidades descritas neste boletim, esta atualização inclui atualizações de defesa profunda para ajudar a aprimorar a proteção de credenciais e os controles de autenticação de domínio, para reduzir o roubo de credenciais. Para obter mais informações, consulte Microsoft Security Advisory 2871997.

Mais Informações

Esta atualização apresenta uma configuração de registro de TokenLeakDetectDelaySecs

ImportanteEsta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga estas etapas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter mais informações sobre como fazer backup e restaurar o Registro, clique no número a seguir para ler o artigo da Base de Dados de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o Registro no Windows

Após instalar esta atualização de segurança, a configuração padrão para usuários não protegidos em Windows 7 e Windows 8 não deve forçar a limpeza de credenciais de sessão de logon de fuga. Para substituir este padrão, você pode adicionar o registro dword a seguir e configurá-lo para um valor recomendado de 30 segundos.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TokenLeakDetectDelaySecs
Isto acionará a limpeza de credenciais de usuários desconectados após 30 segundos, independente de ainda haver uma referência a ele. Isto é o mesmo que o comportamento padrão para Windows 8.1 e Windows 10.

Comportamento padrão após aplicar a atualização de segurança 3126593 (MS16-014)

Após instalar a atualização de segurança 3126593, o padrão é forçar a limpeza de credenciais para todos os usuários. Se desejar reverter para o comportamento legado anterior, configure a entrada TokenLeakDetectDelaySecs para 0. Isto desativa a limpeza de credenciais de usuários não protegidos desconectados desde que a referência permaneça.


Revisões

Em 14 de outubro de 2014, a Microsoft liberou as atualizações a seguir para adicionar um modo de Administrador Restrito para Remoto Protocolo de Conexão de Desktop e Desktop Remoto:
2984972 para edições suportadas do Windows 7 e Windows Server 2008 R2

2984976 para edições suportadas do Windows 7 e Windows Server 2008 R2 que tem atualização 2592687 instalada (atualização do Remote Desktop Protocol 8.0). Clientes que instalaram a atualização 2984976 devem também instalar a atualização 2984972 .

2984981 para edições suportadas do Windows 7 e Windows Server 2008 R2 que tem atualização 2830477 instalada (atualização do Remote Desktop Connection 8.1). Os clientes que instalaram a atualização 2984981 também devem instalar a atualização 2984972 .

2973501 para edições suportadas do Windows 8, Windows Server 2012 e Windows RT.

Nota Edições suportadas do Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 já incluem este recurso e não precisam desta atualização.

Em 9 de setembro de 2014, a Microsoft lançou o seguinte:
2982378 Comunicado de Segurança da Microsoft: Atualização para melhorar a proteção e o gerenciamento de credenciais para Windows 7 e Windows Server 2008 R2: 9 de setembro de 2014
Em 8 de julho de 2014, a Microsoft lançou o seguinte:
2973351 Comunicado de Segurança da Microsoft: Atualização do Registro para melhorar a proteção de credenciais e o gerenciamento para sistemas baseados no Windows que têm a atualização 2919355 instalada: 8 de julho de 2014
2975625 Comunicado de Segurança da Microsoft: Atualização do Registro para melhorar a proteção de credenciais e o gerenciamento para sistemas do Windows que não têm a atualização 2919355 instalada: 8 de julho de 2014
Esta atualização fornece as configurações do registro configurável para gerenciar o modo administrador com restrição para o Credential Security Support Provider (CredSSP).


ObservaçãoA atualização altera a funcionalidade do modo administrador com restrição padrão no Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. Para obter mais informações, consulte a seção Perguntas Frequentes do comunicado. Os arquivos a seguir estão disponíveis para download no Centro de Download da Microsoft.

Observação Use a tabela a seguir para determinar quais atualizações são adequadas para o seu sistema.

Número de KB da atualização de segurançaSistema operacional
2973351 Sistemas Windows 8.1 e Windows Server 2012 R2 com a atualização 2919355 instalada
2975625 Sistemas Windows 8.1 e Windows Server 2012 R2 sem a atualização 2919355 instalada
2973501 Windows 8, Windows Server 2012 e Windows RT
2871997 Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012
2973351 Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012
2982378 Windows 7 e Windows Server 2008 R2
2984972 Windows 7 e Windows Server 2008 R2
2984976 Windows 7 e Windows Server 2008 R2 com a atualização 2592687 instalada. 2984972 também deve ser instalada.
2984981 Windows 7 e Windows Server 2008 R2 com a atualização 2830477 instalada. 2984972 também deve ser instalada

Configurações WDigest

Após instalar esta atualização de segurança, você poderá controlar como salvar as credenciais WDigest instaladas usando uma configuração de registro. Para prevenir que as credenciais WDigest sejam armazenadas na memória, é possível aplicar uma configuração de Política de grupo à entrada do registro UseLogonCredential na seguinte subchave:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest
  • Se o valor UseLogonCredential for definido para 0, WDigest não armazenará as credenciais na memória.
  • Se o valor UseLogonCredential for definido para 1, WDigest armazenará as credenciais na memória.
Após instalar esta atualização de segurança, a configuração padrão para este valor será 1 no Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012. É possível utilizar a solução "correção fácil" neste artigo para alterar esta configuração para 0. Isso desabilitará o salvamento de senhas WDigest na memória.

Observação: Por padrão no Windows 8.1 e Windows Server 2012 R2 e versões mais recentes, o armazenamento em cache das credenciais na memória para WDigest é desabilitado (o valor UseLogonCredential é definido para 0).

A alteração observada no comportamento quando o valor UseLogonCredential é definido para 0 é que você pode observar que as credenciais são necessárias mais frequentemente quando utiliza WDigest.

Aqui está uma correção fácil

Esta solução de correção fácil altera a chave de registro UseLogonCredential para desativar o armazenamento de senhas de WDigest na memória. Após você ter instalado a atualização de segurança 2871997 e depois aplicar esta solução de correção fácil aos sistemas que estão executando o Windows 7, Windows Server 2008 R2, Windows 8 ou Windows Server 2012, você não deve ter mais credenciais não criptografadas armazenadas na memória.

Observação: Você deve instalar a atualização de segurança 2871997 antes de poder usar esta solução de correção fácil.

Para ativar esta solução de correção fácil, clique no botão Download. Na caixa de diálogo Download de Arquivos, clique em Executar ou em Abrir e siga as etapas no assistente de correção fácil.
  • Esse assistente pode estar apenas em inglês. No entanto, a correção automática também funciona em versões do Windows em outros idiomas.
  • Se você não estiver usando o computador que apresenta o problema, salve a solução de correção fácil em uma unidade flash ou em um CD e execute-a no computador que apresenta o problema.
Desabilitar o salvamento de senhas WDigest na memória.

Centro de Download da Microsoft

INFORMAÇÕES SOBRE O ARQUIVO

A versão em inglês (Estados Unidos) desta atualização de software instala arquivos que têm os atributos listados nas seguintes tabelas. As datas e as horas desses arquivos estão listadas em formato UTC (Tempo Universal Coordenado). As datas e as horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença do horário de verão atual. Além disso, as datas e as horas também podem ser alteradas quando você realiza determinadas operações nos arquivos.
Informações de arquivo do Windows 7 e do Windows Server 2008 R2
Informações de arquivo do Windows 8 e do Windows Server 2012
Informações de hash de arquivo
Propriedades

ID do Artigo: 2871997 - Última Revisão: 16 de jun de 2016 - Revisão: 1

Comentários