KB4598347: Gerenciamento de implantação de alterações do Kerberos S4U para a CVE-2020-17049

Importante: As datas de lançamento previamente indicadas neste artigo foram alteradas. Observe as novas datas de lançamento nas seções "Executar Ação" e "Momento dessas atualizações do Windows".

Resumo

Existe uma vulnerabilidade de bypass de recurso de segurança na forma como o KDC (Cento de Distribuição de Chaves) determina se um tíquete de serviço Kerberos pode ser usado para delegação por meio da KCD (Delegação Restrita de Kerberos). Para explorar a vulnerabilidade, um serviço comprometido configurado para usar o KCD pode adulterar um tíquete de serviço Kerberos que não é válido para delegação para forçar o KDC a aceitá-lo. Essas atualizações do Windows eliminam essa vulnerabilidade, alterando como o KDC valida tíquetes de serviço Kerberos usados com a KCD.

Para saber mais sobre essa vulnerabilidade, consulte CVE-2020-17049

Tome medidas

Para proteger seu ambiente e evitar interrupções, você deve seguir todas estas etapas:

  1. Atualize todos os dispositivos que hospedam a função de controlador de domínio do Active Directory instalando pelo menos uma das atualizações do Windows entre 8 de dezembro de 2020 e 9 de março de 2021. Esteja ciente de que instalar a atualização do Windows não atenua totalmente a vulnerabilidade de segurança. Você também deve realizar as Etapas 2 e 3.

  2. Atualize todos os dispositivos que hospedam a função de controlador de domínio do Active Directory, instalando a atualização do Windows de 13 de abril de 2021.

  3. Habilitar Habilite o modo de Imposição em todos os controladores de domínio do Active Directory.

  4. A partir da atualização da Fase de Imposição de 13 de julho de 2021, o modo de Imposição será habilitado em todos os controladores de domínio do Windows.

Momento dessas atualizações do Windows

Essas atualizações do Windows serão lançadas em três fases:

  • A fase de implantação inicial das atualizações do Windows lançadas em ou após 8 de dezembro de 2020.

  • Uma segunda fase de implantação que remove a configuração PerformTicketSignature0 e requer a configuração 1 ou 2 ocorrerá em ou após 13 de abril de 2021.

  • A fase de Imposição das atualizações do Windows lançadas em ou após 13 de julho de 2021.

8 de dezembro de 2020: Fase de Implantação Inicial

A fase de implantação inicial começa com a atualização do Windows lançada em 8 de dezembro de 2020 e continua com uma atualização posterior do Windows para a fase de Imposição. Estas e as atualizações posteriores do Windows fazem alterações no Kerberos. Esta atualização de 8 de dezembro de 2020 inclui correções para todos os problemas conhecidos originalmente introduzidos na versão de 10 de novembro de 2020 da CVE-2020-17049. Essa atualização também adiciona suporte para Windows Server 2008 SP2 e Windows Server 2008 R2.

Esta versão:

  • Soluciona a CVE-2020-17049 (no modo de Implantação por padrão).

  • Adiciona suporte ao valor de Registro PerformTicketSignature para habilitar a proteção nos servidores do controlador de domínio do Active Directory. Por padrão, esse valor não existe.

A atenuação consiste em instalar as atualizações do Windows em todos os dispositivos que hospedam a função de controlador de domínio do Active Directory e RODCs (controladores de domínio somente leitura) e, em seguida, habilitar o modo de Imposição.

13 de abril de 2021: Segunda Fase de Implantação

A segunda fase da implantação começa com a atualização do Windows lançada em 13 de abril de 2021. Essa fase remove a configuração PerformTicketSignature0. Configurar PerformTicketSignature como 0 após a instalação desta atualização terá o mesmo efeito que configurar PerformTicketSignature como 1. Os DCs estarão no modo de Implantação.

Observações

  • Essa fase não é necessária se o PerformTicketSignature nunca tiver sido configurado como 0 em seu ambiente. Esta fase ajuda a garantir que os clientes que configuram PerformTicketSignature como 0 sejam movidos para a configuração 1 antes da fase de Imposição.

  • Com a implantação das atualizações de 13 de abril de 2021, a definição de PerformTicketSignature como 1 permitirá que os tíquetes de serviço sejam renováveis. Essa é uma alteração no comportamento das Atualizações do Windows pré-abril de 2021 ao definir PerformTicketSignature como 1, o que fez com que os tíquetes de serviço não fossem renováveis.

  • Essa atualização supõe que todos os Controladores de Domínio sejam atualizados com as atualizações de 8 de dezembro de 2020 ou posteriores.

  • Depois de instalar essa atualização e definir manual ou programaticamente PerformTicketSignature como 1 ou superior, os controladores de domínio do Windows Server sem suporte não funcionarão mais com controladores de domínio com suporte. Isso inclui o Windows Server 2008 e o Windows Server 2008 R2 sem as ESUs (Atualizações de Segurança Estendidas) e o Windows Server 2003.

13 de julho de 2021: fase de Imposição

A versão de 13 de julho de 2021 passa para a fase de imposição. A fase de Aplicação reforça as mudanças para abordar a CVE-2020-17049. Os controladores de domínio do Active Directory agora são capazes de fazer o modo de Imposição. Ir para o modo de Imposição exige que todos os controladores de domínio do Active Directory tenham a atualização de 8 de dezembro de 2020 ou uma atualização posterior instalada. Neste momento, as configurações das chaves de Registro PerformTicketSignature serão ignoradas e o modo de Imposição não poderá ser substituído. 

Orientação de instalação

Antes de instalar esta atualização

Você deve ter as seguintes atualizações necessárias instaladas antes de aplicar esta atualização. Se você usar o Windows Update, essas atualizações necessárias serão oferecidas automaticamente conforme necessário.

  • Você precisa ter a atualização do SHA-2 (KB4474419) de 23 de setembro de 2019 ou uma atualização do SHA-2 mais recente instalada e reiniciar o dispositivo antes de aplicar esta atualização. Para obter mais informações sobre as atualizações do SHA-2, confira o requisito de Suporte de Assinatura de Código do SHA-2 2019 para Windows e WSUS.

  • Para o Windows Server 2008 R2 SP1, você deve ter instalado a atualização da pilha de serviços (SSU) (KB4490628) de 12 de março de 2019. Após a instalação da atualização KB4490628, recomendamos a instalação da atualização SSU mais recente. Para obter mais informações sobre a atualização SSU mais recente, consulte ADV990001 | Atualizações mais recentes da pilha de manutenção.

  • Para o Windows Server 2008 SP2, você deve ter instalado a atualização da pilha de serviços (SSU) (KB4493730) de 9 de abril de 2019. Após a instalação da atualização KB4493730, recomendamos a instalação da atualização SSU mais recente. Para obter mais informações sobre as últimas atualizações SSU, confira ADV990001 | Atualizações mais recentes da pilha de manutenção.

  • Os clientes devem adquirir a Atualização de Segurança Estendida (ESU) para versões locais do Windows Server 2008 SP2 ou Windows Server 2008 R2 SP1 após o término do suporte estendido em 14 de janeiro de 2020. Os clientes que compraram a ESU devem seguir os procedimentos em KB4522133 para continuar recebendo atualizações de segurança. Para obter mais informações sobre a ESU e quais edições têm suporte, consulte KB4497181.

Importante Você deve reiniciar seu dispositivo depois de instalar essas atualizações necessárias.

Instalar todas as atualizações

Para resolver a vulnerabilidade de segurança, instale as atualizações do Windows e habilite o modo de Imposição seguindo estas etapas:

  1. Implante pelo menos uma das atualizações entre 8 de dezembro de 2020 e 9 de março de 2021 em todos os controladores de domínio do Active Directory na floresta.

  2. Implante a atualização de 12 de abril de 2021 pelo menos uma semana ou mais após a etapa 1.

  3. Depois de todos os controladores de domínio do Active Directory serem atualizados, aguarde pelo menos uma semana inteira para permitir que todos os tíquetes de serviço Kerberos Service for User to Self (S4U2self) pendentes expirem e, em seguida, a proteção completa pode ser habilitada implantando o modo de aplicação do controlador de Imposição do Active Directory.

    Observações

    • Se você tiver modificado as configurações padrão (7 dias) dos tempos de expiração de tíquetes de serviço Kerberos, deverá aguardar pelo menos o número de dias conforme configurado no seu ambiente.

    • Estas etapas supõem que o PerformTicketSignature nunca foi configurado como 0 em seu ambiente. Se o PerformTicketSignature foi configurado como 0, você deve passar para a configuração 1 antes de passar para a configuração 2 (Modo de Imposição) e esperar pelo menos uma semana para permitir que todos os tíquetes do serviço Service for User to Self (S4U2self) Kerberos expirem. Você não deve passar diretamente da configuração 0 para a configuração 2 (Modo de Imposição).


Etapa 1: instalar o Windows Update

Instale a atualização indicada do Windows de 8 de dezembro de 2020 ou uma atualização posterior do Windows para todos os dispositivos que hospedam a função de controlador de domínio do Active Directory na floresta, incluindo controladores de domínio somente leitura.

Produto Windows Server

KB #

Tipo de atualização

Windows Server, versão 20H2 (instalação Server Core)

4592438

Atualização de segurança

Windows Server, versão 2004 (instalação Server Core)

4592438

Atualização de segurança

Windows Server, versão 1909 (instalação Server Core)

4592449

Atualização de segurança

Windows Server, versão 1903 (instalação Server Core)

4592449

Atualização de segurança

Windows Server 2019 (instalação Server Core)

4592440

Atualização de segurança

Windows Server 2019

4592440

Atualização de segurança

Windows Server 2016 (instalação Server Core)

4593226

Atualização de segurança

Windows Server 2016

4593226

Atualização de segurança

Windows Server 2012 R2 (instalação Server Core)

4592484

Pacote cumulativo mensal

4592495

Apenas segurança

Windows Server 2012 R2

4592484

Pacote cumulativo mensal

4592495

Apenas segurança

Windows Server 2012 (instalação Server Core)

4592468

Pacote cumulativo mensal

4592497

Apenas segurança

Windows Server 2012

4592468

Pacote cumulativo mensal

4592497

Apenas segurança

Windows Server 2008 R2 Service Pack 1

4592471

Pacote cumulativo mensal

4592503

Apenas segurança

Windows Server 2008 Service Pack 2

4592498

Pacote cumulativo mensal

4592504

Apenas segurança

Etapa 2: habilitar o modo de imposição

Depois que todos os dispositivos que hospedam a função de controlador de domínio do Active Directory tiverem sido atualizados, aguarde pelo menos uma semana inteira para permitir que todos os tíquetes de serviço Kerberos S4u2Self pendentes expirem. Em seguida, habilite a proteção total implantando o modo de Imposição. Para fazer isso, habilite a chave do Registro do modo de Imposição.

Aviso A modificação incorreta do Registro usando o Editor do Registro ou outro método pode causar sérios problemas. que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Todo e qualquer risco decorrente da modificação do Registro é responsabilidade do usuário.

Observação Esta atualização apresenta suporte para o seguinte valor do Registro para habilitar o modo de Imposição. Este valor de registro não é criado instalando esta atualização. Você deve adicionar este valor de registro manualmente.

Subchave do Registro

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Valor

PerformTicketSignature

Tipo de dados

REG_DWORD

Dados

1: habilita o Modo de Imposição. A correção está ativada no controlador de domínio, mas o controlador de domínio Active Directory não exige que os tíquetes de serviço Kerberos estejam de acordo com a correção. Este modo adiciona suporte para assinaturas de bilhetes nos controladores de domínio atualizados CVE-2020-17049, mas os controladores de domínio não exigem que os bilhetes sejam assinados. Isso permite que uma mistura de Fase de Implantação Inicial (DCs atualizados para a atualização da Implantação inicial de dezembro) e controladores de domínio atualizados coexistam. Com todos os controladores de domínio atualizados e na configuração 1, todos os novos tíquetes serão assinados. Nesse modo, os novos tickets serão marcados como renováveis.

2: habilita o modo de Imposição Isso permite a correção no modo necessário, em que todos os domínios devem ser atualizados e todos os controladores de domínio do Active Directory exigem tíquetes de serviço Kerberos com assinaturas. Com esta configuração, todos os ingressos devem ser assinados para serem considerados válidos. Neste modo, os tíquetes serão novamente marcados como renováveis.

0: não recomendado. Desabilita assinaturas de tíquetes de serviço Kerberos e seus domínios não são protegidos.

Importante: A configuração 0 não é compatível com a configuração de aplicação 2. Poderão ocorrer falhas de autenticação intermitentes se o modo de Imposição for aplicado em um estágio posterior enquanto o domínio estiver configurado como 0. Recomendamos que os clientes mudem para a configuração 1 antes do estágio de aplicação (pelo menos uma semana antes de aplicar a aplicação).

Padrão

1 (quando a chave do Registro não está definida)

É necessário reiniciar?

Não

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×