Data de publicação original: 8 de abril de 2025
ID do KB: 5057784
|
Data da alteração |
Alterar descrição |
|
22 de julho de 2025 |
|
|
9 de maio de 2025 |
|
Neste artigo
Resumo
As atualizações de segurança do Windows lançadas em ou após 8 de abril de 2025 contêm proteções para uma vulnerabilidade com autenticação Kerberos. Essa atualização fornece uma alteração no comportamento quando a autoridade emissora do certificado usado para a CBA (autenticação baseada em certificado) de uma entidade de segurança é confiável, mas não no repositório NTAuth, e um mapeamento ski (Identificador de Chave de Assunto) está presente no atributo altSecID da entidade de segurança usando autenticação baseada em certificado. Para saber mais sobre essa vulnerabilidade, consulte CVE-2025-26647.
Tome medidas
Para ajudar a proteger seu ambiente e evitar interrupções, recomendamos as seguintes etapas:
-
ATUALIZAR todos os controladores de domínio com uma atualização do Windows lançada em ou após 8 de abril de 2025.
-
Monitore novos eventos que ficarão visíveis nos controladores de domínio para identificar as autoridades de certificado afetadas.
-
HABILITE Modo de execução depois que seu ambiente estiver usando apenas certificados de logon emitidos pelas autoridades que estão no repositório NTAuth.
atributos altSecID
A tabela a seguir lista todos os atributos altSecIDs (Identificadores de Segurança Alternativos) e os altSecIDs afetados por essa alteração.
|
Lista de atributos de certificado que podem ser mapeados para altSecIDs |
AltSecIDs que exigem um certificado correspondente para a cadeia para o repositório NTAuth |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
Linha do tempo das alterações
8 de abril de 2025: fase inicial de implantação – modo de auditoria
A fase inicial de implantação (modo de auditoria ) começa com as atualizações lançadas em 8 de abril de 2025. Essas atualizações alteram o comportamento que detecta a elevação da vulnerabilidade de privilégio descrita na CVE-2025-26647 , mas não a impõe inicialmente.
Enquanto estiver no modo Auditoria , a ID de Evento: 45 será registrada no controlador de domínio quando receber uma solicitação de autenticação Kerberos com um certificado não seguro. A solicitação de autenticação será permitida e nenhum erro do cliente é esperado.
Para habilitar a alteração no comportamento e estar seguro contra a vulnerabilidade, você deve garantir que todos os controladores de domínio do Windows sejam atualizados com uma versão de atualização do Windows em ou após 8 de abril de 2025, e a configuração de chave de registro AllowNtAuthPolicyBypass está definida como 2 para configurar para o modo Enforcement .
Quando estiver no modo De execução , se o controlador de domínio receber uma solicitação de autenticação Kerberos com um certificado não seguro, ele registrará a ID de evento herdada: 21 e negará a solicitação.
Para ativar as proteções oferecidas por esta atualização, siga estas etapas:
-
Aplique a atualização do Windows lançada em ou após 8 de abril de 2025 a todos os controladores de domínio em seu ambiente. Depois de aplicar a atualização, a configuração AllowNtAuthPolicyBypass é padrão para 1 (Auditoria) que permite o NTAuth marcar e os eventos de aviso de log de auditoria.IMPORTANTE Se você não estiver pronto para continuar a aplicar as proteções oferecidas por esta atualização, defina a chave do registro como 0 para desabilitar temporariamente essa alteração. Consulte a seção Informações da Chave do Registro para obter mais informações.
-
Monitore novos eventos que ficarão visíveis nos controladores de domínio para identificar as autoridades de certificado afetadas que não fazem parte do repositório NTAuth. A ID do evento que você precisa monitorar é a ID do evento: 45. Consulte a seção Eventos de Auditoria para obter mais informações sobre esses eventos.
-
Verifique se todos os certificados de cliente são válidos e encadeados a uma AC emissora confiável no repositório NTAuth.
-
Depois de toda A ID do Evento: 45 eventos são resolvidos, então você pode prosseguir para o modo De execução . Para fazer isso, defina o valor do registro AllowNtAuthPolicyBypass como 2. Consulte a seção Informações da Chave do Registro para obter mais informações.Nota Recomendamos atrasar temporariamente a configuração AllowNtAuthPolicyBypass = 2 até depois de aplicar a atualização do Windows lançada após maio de 2025 a controladores de domínio que dão serviço à autenticação baseada em certificado autoassinada usada em vários cenários. Isso inclui controladores de domínio que o serviço Windows Hello para Empresas Key Trust e a Autenticação de Chave Pública de Dispositivo ingressada no domínio.
Julho de 2025: Imposta por fase padrão
Atualizações lançado em ou após julho de 2025 imporá o marcar da NTAuth Store por padrão. A configuração de chave de registro AllowNtAuthPolicyBypass ainda permitirá que os clientes voltem para o modo Audit , se necessário. No entanto, a capacidade de desabilitar completamente essa atualização de segurança será removida.
Outubro de 2025: modo de execução
Atualizações lançado em ou após outubro de 2025 interromperá o suporte da Microsoft para a chave de registro AllowNtAuthPolicyBypass. Nesta fase, todos os certificados devem ser emitidos pelas autoridades que fazem parte do repositório NTAuth.
Configurações do Registro e logs de eventos
Informações da chave do registro
A chave do registro a seguir permite a auditoria de cenários vulneráveis e, em seguida, impor a alteração depois que certificados vulneráveis são abordados. A chave do registro não é adicionada automaticamente. Se precisar alterar o comportamento, crie manualmente a chave do registro e defina o valor necessário. Observe que o comportamento do sistema operacional quando a chave do registro não estiver configurada dependerá de qual fase da implantação ela está.
AllowNtAuthPolicyBypass
|
Subchave do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
Valor |
AllowNtAuthPolicyBypass |
|
|
Tipo de dados |
REG_DWORD |
|
|
Dados do valor |
0 |
Desativa totalmente a alteração. |
|
1 |
Efetua o evento de aviso de registo e marcar NTAuth que indica o certificado emitido por uma autoridade que não faz parte do arquivo NTAuth (modo de auditoria). (Comportamento predefinido a partir da versão de 8 de abril de 2025.) |
|
|
2 |
Execute o marcar NTAuth e, se falhar, não permita o início de sessão. Registe eventos normais (existentes) para uma falha AS-REQ com um código de erro a indicar que o marcar NTAuth falhou (modo imposto). |
|
|
Comentários |
A definição de registo AllowNtAuthPolicyBypasssó deve ser configurada em KDCs do Windows que tenham instalado as atualizações do Windows lançadas em ou depois de abril de 2025. |
|
Eventos de Auditoria
ID do Evento: 45 | Evento de Auditoria de Verificação do Arquivo de Autenticação NT
Os administradores devem watch para o seguinte evento adicionado pela instalação das atualizações do Windows lançadas a 8 de abril de 2025 ou depois de 8 de abril de 2025. Se existir, implica que um certificado foi emitido por uma autoridade que não faz parte do arquivo NTAuth.
|
Log de Eventos |
Sistema de Registos |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kerberos-Key-Distribution-Center |
|
ID de Evento |
45 |
|
Texto do Evento |
O Centro de Distribuição de Chaves (KDC) encontrou um certificado de cliente válido, mas não ligado a uma raiz no arquivo NTAuth. O suporte para certificados que não encadeiem no arquivo NTAuth foi preterido. O suporte para o encadeamento de certificados em lojas não NTAuth é preterido e inseguro.Consulte https://go.microsoft.com/fwlink/?linkid=2300705 para saber mais. Utilizador: <userName> Requerente do Certificado: <Assunto do Certificado> Emissor de Certificados:><Emissor de Certificados Número de Série do Certificado: >de Número de Série do Certificado< Thumbprint do Certificado: <>CertThumbprint |
|
Comentários |
|
ID do Evento: 21 | Evento de Falha AS-REQ
Depois de abordar o Evento 45 do Kerberos-Key-Distribution-Center, o registo deste evento legado genérico indica que o certificado de cliente ainda não é fidedigno. Este evento pode ser registado por vários motivos, um dos quais é que um certificado de cliente válido NÃO está ligado a uma AC emissora no arquivo NTAuth.
|
Log de Eventos |
Sistema de Registos |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kerberos-Key-Distribution-Center |
|
ID de Evento |
21 |
|
Texto do Evento |
O certificado de cliente do utilizador <Domain\UserName> não é válido e resultou numa falha no início de sessão do smartcard. Contacte o utilizador para obter mais informações sobre o certificado que está a tentar utilizar para o início de sessão do smart card. A cadeia status era: uma cadeia de certificação processada corretamente, mas um dos certificados de AC não é considerado fidedigno pelo fornecedor de políticas. |
|
Comentários |
|
Problema conhecido
Os clientes comunicaram problemas com o ID do Evento: 45 e ID do Evento: 21 acionados pela autenticação baseada em certificado com certificados autoassinados. Para ver mais informações, veja o problema conhecido documentado no estado de funcionamento da versão do Windows:
-
Windows Server 2025: o início de sessão pode falhar com Windows Hello no modo de Fidedignidade da Chave e registar Eventos Kerberos
-
Windows Server 2022: o início de sessão pode falhar com Windows Hello no modo de Fidedignidade da Chave e registar Eventos Kerberos
-
Windows Server 2019: o início de sessão pode falhar com Windows Hello no modo de Fidedignidade da Chave e registar Eventos Kerberos
-
Windows Server 2016: o início de sessão pode falhar com Windows Hello no modo de Fidedignidade da Chave e registar Eventos Kerberos
