Data de publicação original: 9 de abril de 2024
ID da BDC: 5037754
O suporte ao Windows 10 terminará em outubro de 2025
Após 14 de outubro de 2025, a Microsoft não fornecerá mais atualizações gratuitas de software do Windows Update, assistência técnica ou correções de segurança para Windows 10. Seu computador ainda funcionará, mas recomendamos mudar para o Windows 11.
|
Data da alteração |
Descrição |
|
9 de janeiro de 2025 |
Em "Janeiro de 2025: Imposto por fase predefinida" na secção "Linha cronológica das alterações", salientou que as definições de chave de registo existentes irão substituir o comportamento predefinido das atualizações lançadas em ou depois de janeiro de 2025. |
|
1 de outubro de 2024 |
Alterou a fase Imposta por predefinição de outubro de 2024 para janeiro de 2025. |
Resumo
As atualizações de segurança do Windows lançadas em ou depois de 9 de abril de 2024 abordam a elevação de vulnerabilidades de privilégios com o Protocolo de Validação do PAC kerberos. O Certificado de Atributo de Privilégio (PAC) é uma extensão para pedidos de assistência Kerberos. Contém informações sobre o utilizador de autenticação e os respetivos privilégios. Esta atualização corrige uma vulnerabilidade em que o utilizador do processo pode falsificar a assinatura para ignorar as verificações de segurança de validação da assinatura PAC adicionadas no KB5020805: Como gerir as alterações do protocolo Kerberos relacionadas com o CVE-2022-37967.
Além disso, esta atualização resolve uma vulnerabilidade em determinados cenários entre florestas. Para saber mais sobre estas vulnerabilidades, visite CVE-2024-26248 e CVE-2024-29056.
Tome medidas
IMPORTANTE O passo 1 para instalar a atualização lançada em ou depois de 9 de abril de 2024 NÃO abordará totalmente os problemas de segurança no CVE-2024-26248 e no CVE-2024-29056 por predefinição . Para mitigar totalmente o problema de segurança para todos os dispositivos, tem de passar para o modo Imposto (descrito no Passo 3) assim que o seu ambiente estiver totalmente atualizado.
Para ajudar a proteger o seu ambiente e evitar falhas, recomendamos os seguintes passos:
-
ATUALIZAÇÃO: Os controladores de domínio do Windows e os clientes Windows têm de ser atualizados com uma atualização de segurança do Windows lançada a 9 de abril de 2024 ou depois de 9 de abril de 2024.
-
MONITOR: Os eventos de auditoria estarão visíveis no modo de Compatibilidade para identificar os dispositivos não atualizados.
-
ATIVAR: Depois de o Modo de imposição estar totalmente ativado no seu ambiente, as vulnerabilidades descritas em CVE-2024-26248 e CVE-2024-29056 serão mitigadas.
Contexto
Quando uma estação de trabalho do Windows efetua a Validação do PAC num fluxo de autenticação Kerberos de entrada, executa um novo pedido (Início de Sessão da Permissão de Rede) para validar o pedido de serviço. O pedido é inicialmente reencaminhado para um controlador de domínio (DC) do domínio Workstations através do Netlogon.
Se a conta de serviço e a conta de computador pertencerem a domínios diferentes, o pedido é transportado através das confianças necessárias através do Netlogon até chegar ao domínio dos serviços; caso contrário, o DC no domínio de contas de computadores efetua a validação. Em seguida, o DC chama o Centro de Distribuição de Chaves (KDC) para validar as assinaturas PAC da permissão de serviço e envia as informações do utilizador e do dispositivo de volta para a estação de trabalho.
Se o pedido e a resposta forem reencaminhados através de uma fidedignidade (no caso de a conta de serviço e a conta de estação de trabalho pertencerem a domínios diferentes), cada DC através da fidedignidade filtra os dados de autorização que dizem respeito à mesma.
Linha cronológica das alterações
Atualizações são lançadas da seguinte forma. Tenha em atenção que esta agenda de versão pode ser revista conforme necessário.
A fase de implementação inicial começa com as atualizações lançadas a 9 de abril de 2024. Esta atualização adiciona um novo comportamento que impede a elevação de vulnerabilidades de privilégios descritas em CVE-2024-26248 e CVE-2024-29056 , mas não a impõe, a menos que os controladores de domínio do Windows e os clientes Windows no ambiente sejam atualizados.
Para ativar o novo comportamento e mitigar as vulnerabilidades, tem de se certificar de que todo o ambiente do Windows (incluindo controladores de domínio e clientes) está atualizado. Os Eventos de Auditoria serão registados para ajudar a identificar dispositivos não atualizados.
Atualizações lançados em ou depois de janeiro de 2025 irão mover todos os controladores de domínio e clientes do Windows no ambiente para o modo Imposto. Este modo irá impor o comportamento seguro por predefinição. As definições de chave de registo existentes que tenham sido definidas anteriormente substituirão esta alteração de comportamento predefinida.
As predefinições do modo Imposto podem ser substituídas por um Administrador para reverter para o modo de Compatibilidade.
As atualizações de segurança do Windows lançadas em ou depois de abril de 2025 irão remover o suporte para as subchaves de registo PacSignatureValidationLevel e CrossDomainFilteringLevel e impor o novo comportamento seguro. Não haverá suporte para o modo de Compatibilidade após a instalação da atualização de abril de 2025.
Potenciais problemas e mitigações
Podem surgir potenciais problemas, incluindo a validação do PAC e falhas de filtragem entre florestas. A atualização de segurança de 9 de abril de 2024 inclui lógica de contingência e definições de registo para ajudar a mitigar estes problemas
Configurações do Registro
Esta atualização de segurança é disponibilizada para dispositivos Windows (incluindo controladores de domínio). As seguintes chaves de registo que controlam o comportamento só precisam de ser implementadas no servidor Kerberos que aceita a autenticação Kerberos de entrada e efetua a Validação do PAC.
|
Subchave do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Valor |
PacSignatureValidationLevel |
|
|
Tipo de Dados |
REG_DWORD |
|
|
Dados |
2 |
Predefinição (Compatibilidade com ambiente não correspondente) |
|
3 |
Impor |
|
|
Reinício Obrigatório? |
Não |
|
|
Subchave do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Valor |
CrossDomainFilteringLevel |
|
|
Tipo de Dados |
REG_DWORD |
|
|
Dados |
2 |
Predefinição (Compatibilidade com ambiente não correspondente) |
|
4 |
Impor |
|
|
Reinício Obrigatório? |
Não |
|
Esta chave de registo pode ser implementada em ambos os servidores Windows que aceitam a autenticação Kerberos de entrada, bem como em qualquer Controlador de Domínio do Windows que esteja a validar o novo fluxo de Início de Sessão da Permissão de Rede ao longo do caminho.
|
Subchave do Registro |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Valor |
AuditKerberosTicketLogonEvents |
|
|
Tipo de Dados |
REG_DWORD |
|
|
Dados |
1 |
Predefinição – eventos críticos de registo |
|
2 |
Registar Todos os Eventos netlogon |
|
|
0 |
Não registar Eventos Netlogon |
|
|
Reinício Obrigatório? |
Não |
|
Logs de evento
Os seguintes eventos de auditoria kerberos serão gerados no Servidor Kerberos que aceita a autenticação Kerberos de entrada. Este servidor Kerberos fará a Validação do PAC, que utiliza o novo Fluxo de Início de Sessão da Permissão de Rede.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Informacional |
|
Origem do evento |
Security-Kerberos |
|
ID de Evento |
21 |
|
Texto do Evento |
Durante o Início de Sessão da Permissão de Rede Kerberos, a permissão de serviço da Conta <> de Conta do Domínio <Domain> teve as seguintes ações efetuadas pelo CONTROLADOR de Domínio dc <>. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2262558.> de Ação < |
Este evento é apresentado quando um Controlador de Domínio tomou uma ação não fatal durante um fluxo de Início de Sessão de Pedido de Suporte de Rede. A partir de agora, são registadas as seguintes ações:
-
Os SIDs do utilizador foram filtrados.
-
Os SIDs do dispositivo foram filtrados.
-
A identidade composta foi removida devido à filtragem do SID não permitir a identidade do dispositivo.
-
A identidade composta foi removida devido à filtragem do SID não permitir o nome de domínio do dispositivo.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Erro |
|
Origem do evento |
Security-Kerberos |
|
ID de Evento |
22 |
|
Texto do Evento |
Durante o Início de Sessão da Permissão de Rede Kerberos, a permissão de serviço da Conta <> do Domínio <> foi negada pelo DC <dc> pelos motivos abaixo. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2262558.Motivo:>razão < ErrorCode: <Código de Erro> |
Este evento é apresentado quando um Controlador de Domínio negou o pedido de Início de Sessão da Permissão de Rede pelos motivos apresentados no evento.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso ou Erro |
|
Origem do evento |
Security-Kerberos |
|
ID de Evento |
23 |
|
Texto do Evento |
Durante o Início de Sessão da Permissão de Rede Kerberos, não foi possível reencaminhar a permissão de serviço da Conta <account_name> do Domínio <domain_name> para um Controlador de Domínio para atender o pedido. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Este evento é apresentado como um aviso se PacSignatureValidationLevel AND CrossDomainFilteringLevel não estiverem definidos como Impor ou mais rigorosos. Quando registado como um aviso, o evento indica que os fluxos de Início de Sessão da Permissão de Rede contactaram um controlador de domínio ou dispositivo equivalente que não compreendeu o novo mecanismo. A autenticação foi autorizada a reverter para o comportamento anterior.
-
Este evento é apresentado como um erro se PacSignatureValidationLevel OU CrossDomainFilteringLevel estiver definido como Impor ou mais rigoroso. Este evento como "erro" indica que o fluxo de Início de Sessão da Permissão de Rede contactou um controlador de domínio ou um dispositivo equivalente que não compreendeu o novo mecanismo. A autenticação foi negada e não foi possível reverter para o comportamento anterior.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Erro |
|
Origem do evento |
Netlogon |
|
ID de Evento |
5842 |
|
Texto do Evento |
O serviço Netlogon encontrou um erro inesperado ao processar um pedido de Início de Sessão da Permissão de Rede Kerberos. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2261497. Conta de Pedido de Serviço: <conta> Domínio da Permissão de Serviço:> de Domínio do < Nome da Estação de Trabalho: <Nome do Computador> Estado: <código de erro> |
Este evento é gerado sempre que o Netlogon encontrou um erro inesperado durante um pedido de início de sessão da Permissão de Rede. Este evento é registado quando AuditKerberosTicketLogonEvents está definido como (1) ou superior.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Netlogon |
|
ID de Evento |
5843 |
|
Texto do Evento |
O serviço Netlogon não conseguiu reencaminhar um pedido de Início de Sessão de Permissão de Rede Kerberos para o Controlador de Domínio <DC>. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2261497. Conta de Pedido de Serviço: <conta> Domínio da Permissão de Serviço:> de Domínio do < Nome da Estação de Trabalho: <Nome do Computador> |
Este evento é gerado sempre que o Netlogon não conseguiu concluir o Início de Sessão da Permissão de Rede porque um Controlador de Domínio não compreendeu as alterações. Devido a limitações no protocolo Netlogon, o cliente Netlogon não consegue determinar se o Controlador de Domínio com o qual o cliente Netlogon está a falar diretamente é aquele que não compreende as alterações ou se é um Controlador de Domínio ao longo da cadeia de reencaminhamento que não compreende as alterações.
-
Se o Domínio da Permissão de Serviço for o mesmo que o domínio da conta de computador, é provável que o Controlador de Domínio no registo de eventos não compreenda o fluxo de início de sessão da Permissão de Rede.
-
Se o Domínio da Permissão de Serviço for diferente do domínio da conta do computador, um dos controladores de domínio ao longo do caminho desde o Domínio da Conta do Computador até ao Domínio da Conta de Serviço não compreendeu o fluxo de Início de Sessão da Permissão de Rede
Este evento está desativado por predefinição. A Microsoft recomenda que os utilizadores atualizem primeiro toda a frota antes de ativarem o evento.
Este evento é registado quando AuditKerberosTicketLogonEvents está definido como (2).
Perguntas frequentes
Um Controlador de Domínio que não esteja atualizado não reconhecerá esta nova estrutura de pedidos. Isto fará com que o marcar de segurança falhe. No modo de compatibilidade, será utilizada a estrutura de pedidos antiga. Este cenário continua vulnerável ao CVE-2024-26248 e ao CVE-2024-29056.
Sim. Isto deve-se ao facto de o novo fluxo de Início de Sessão da Permissão de Rede ter de ser encaminhado entre domínios para chegar ao domínio da conta de serviço.
A Validação do PAC pode ser ignorada em determinadas circunstâncias, incluindo, mas não se limitando a, os seguintes cenários:
-
Se o serviço tiver privilégio tCB. Geralmente, os serviços em execução no contexto da conta SYSTEM (como Partilhas de Ficheiros SMB ou servidores LDAP) têm este privilégio.
-
Se o serviço for executado a partir do Programador de Tarefas.
Caso contrário, a Validação do PAC é efetuada em todos os Fluxos de Autenticação Kerberos de entrada.
Estes CVEs envolvem uma Elevação Local de Privilégios em que uma conta de serviço maliciosa ou comprometida em execução na Estação de Trabalho do Windows tenta elevar o privilégio para obter direitos de Administração local. Isto significa que apenas a Estação de Trabalho do Windows que aceita a Autenticação Kerberos de entrada é afetada.
