Aplica-se aWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Data de publicação original: 8 de abril de 2025

ID da BDC: 5057784

Data da alteração

Alterar descrição

9 de maio de 2025

  • Substituiu o termo "conta com privilégios" por "principal de segurança através da autenticação baseada em certificado" na secção "Resumo".

  • Reworded the "Enable" step in the "Take Action" section to clear to use logon certificates issued by authorities that are in the NTAuth store.Texto original:ATIVAR Modo de imposição quando o seu ambiente deixar de utilizar certificados de início de sessão emitidos pelas autoridades que não estão no arquivo NTAuth.

  • Na secção "8 de abril de 2025: Fase de Implementação Inicial – Modo de auditoria", efetuou alterações extensas ao realçar que determinadas condições têm de existir antes de ativar as proteções oferecidas por esta atualização... esta atualização tem de ser aplicada a todos os controladores de domínio E garantir que os certificados de início de sessão emitidos pelas autoridades estão no arquivo NTAuth. Foram adicionados passos para mover para o Modo de imposição e adicionámos uma nota de exceção para atrasar a movimentação quando tem controladores de domínio que servem a autenticação baseada em certificados autoassinada utilizada em vários cenários.Texto original: Para ativar o novo comportamento e proteger-se da vulnerabilidade, tem de garantir que todos os controladores de domínio do Windows são atualizados e que a definição da chave de registo AllowNtAuthPolicyBypass está definida como 2.

  • Foram adicionados conteúdos adicionais às secções "Comentários" das secções "Informações da Chave de Registo" e "Eventos de Auditoria".

  • Foi adicionada uma secção "Problema conhecido".

Neste artigo

Resumo

As atualizações de segurança do Windows lançadas a 8 de abril de 2025 ou depois de 8 de abril de 2025 contêm proteções para uma vulnerabilidade com a autenticação Kerberos. Esta atualização fornece uma alteração de comportamento quando a autoridade emissora do certificado utilizado para a autenticação baseada em certificados (CBA) de um principal de segurança é fidedigna, mas não no arquivo NTAuth, e um mapeamento de Identificador de Chave de Requerente (SKI) está presente no atributo altSecID do principal de segurança através da autenticação baseada em certificados. Para saber mais sobre esta vulnerabilidade, consulte CVE-2025-26647.

Tome medidas

Para ajudar a proteger o seu ambiente e evitar falhas, recomendamos os seguintes passos:

  1. ATUALIZE todos os controladores de domínio com uma atualização do Windows lançada a 8 de abril de 2025 ou depois de 8 de abril de 2025.

  2. Monitorize novos eventos que serão visíveis nos controladores de domínio para identificar as autoridades de certificação afetadas.

  3. HABILITE O modo de imposição após o seu ambiente está agora a utilizar apenas certificados de início de sessão emitidos pelas autoridades que estão no arquivo NTAuth.

atributos altSecID

A tabela seguinte lista todos os atributos de Identificadores de Segurança Alternativos (altSecIDs) e os altSecIDs que são afetados por esta alteração.

Lista de atributos de Certificado que podem ser mapeados para altSecIDs 

AltSecIDs que requerem um certificado correspondente para encadear ao arquivo NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Linha cronológica das alterações

8 de abril de 2025: Fase de Implementação Inicial – Modo de auditoria

A fase de implementação inicial (Modo de auditoria ) começa com as atualizações lançadas a 8 de abril de 2025. Estas atualizações alteram o comportamento que deteta a elevação da vulnerabilidade de privilégio descrita em CVE-2025-26647 , mas não a impõe inicialmente.

No modo de Auditoria , o ID do Evento: 45 será registado no controlador de domínio quando receber um pedido de autenticação Kerberos com um certificado não seguro. O pedido de autenticação será permitido e não são esperados erros de cliente.

Para ativar a alteração de comportamento e proteger-se da vulnerabilidade, tem de garantir que todos os controladores de domínio do Windows são atualizados com uma versão de atualização do Windows em ou depois de 8 de abril de 2025 e que a definição da chave de registo AllowNtAuthPolicyBypass está definida como 2 para configurar o modo de Imposição .

Quando estiver no Modo de imposição, se o controlador de domínio receber um pedido de autenticação Kerberos com um certificado não seguro, registará o ID do Evento legado: 21 e negará o pedido.

Para ativar as proteções oferecidas por esta atualização, siga estes passos:

  1. Aplique a atualização do Windows disponibilizada em ou depois de 8 de abril de 2025 a todos os controladores de domínio no seu ambiente. Depois de aplicar a atualização, o valor de registo AllowNtAuthPolicyBypass é definido como 1, o que ativa a marcar NTAuth e os eventos de aviso do Registo de auditoria.IMPORTANTE Se não estiver pronto para continuar a aplicar as proteções oferecidas por esta atualização, defina a chave de registo como 0 para desativar temporariamente esta alteração. Consulte a secção Informações da Chave de Registo para obter mais informações.

  2. Monitorize novos eventos que serão visíveis nos controladores de domínio para identificar as autoridades de certificação afetadas que não fazem parte do arquivo NTAuth. O ID do Evento que precisa de monitorizar é o ID do Evento: 45. Veja a secção Eventos de Auditoria para obter mais informações sobre estes eventos.

  3. Certifique-se de que todos os certificados de cliente são válidos e ligados a uma AC emissora fidedigna no arquivo NTAuth.

  4. Depois de todo o ID do Evento: 45 eventos são resolvidos e, em seguida, pode avançar para o Modo de imposição . Para tal, defina o valor do registo AllowNtAuthPolicyBypass como 2. Consulte a secção Informações da Chave de Registo para obter mais informações.Nota Recomendamos que adie temporariamente a definição allowNtAuthPolicyBypass = 2 até depois de aplicar a atualização do Windows lançada após maio de 2025 aos controladores de domínio que servem a autenticação baseada em certificados autoassinada utilizada em vários cenários. Isto inclui controladores de domínio que o serviço Windows Hello para Empresas a Fidedignidade da Chave e a Autenticação de Chave Pública do Dispositivo associada a um domínio.

Julho de 2025: Imposto por Fase predefinida

Atualizações lançadas em ou depois de julho de 2025 irão impor a marcar NTAuth Store por predefinição. A definição da chave de registo AllowNtAuthPolicyBypass continuará a permitir que os clientes regressem ao modo auditoria , se necessário. No entanto, a capacidade de desativar completamente esta atualização de segurança será removida.

Outubro de 2025: Modo de imposição

Atualizações lançadas em ou depois de outubro de 2025 irá descontinuar o suporte da Microsoft para a chave de registo AllowNtAuthPolicyBypass. Nesta fase, todos os certificados têm de ser emitidos pelas autoridades que fazem parte do arquivo NTAuth. 

Definições de Registo e Registos de Eventos

Informações da Chave do Registo

A seguinte chave de registo permite auditar cenários vulneráveis e, em seguida, impor a alteração assim que os certificados vulneráveis forem resolvidos. A chave de registo não será criada automaticamente. O comportamento do SO quando a chave de registo não está configurada dependerá da fase da implementação em que se encontra.

AllowNtAuthPolicyBypass

Subchave do Registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Valor

AllowNtAuthPolicyBypass

Tipo de dados

REG_DWORD

Dados do valor

0

Desativa totalmente a alteração.

1

Efetua o evento de aviso de registo e marcar NTAuth que indica o certificado emitido por uma autoridade que não faz parte do arquivo NTAuth (modo de auditoria). (Comportamento predefinido a partir da versão de 8 de abril de 2025.)

2

Execute o NTAuth marcar e, se falhar, não permita o logon. Registrar eventos normais (existentes) para uma falha AS-REQ com um código de erro que indica o NTAuth marcar falha (modo imposto).

Comentários

A configuração de registro AllowNtAuthPolicyBypass deve ser configurada em KDCs do Windows, como controladores de domínio que instalaram as atualizações do Windows lançadas em ou após maio de 2025.

Eventos de auditoria

ID do evento: 45 | Evento NT Auth Store Check Audit

Os administradores devem watch para o evento a seguir adicionado pela instalação de atualizações do Windows lançadas em ou após 8 de abril de 2025. Se ele existir, implica que um certificado foi emitido por uma autoridade que não faz parte do repositório NTAuth.

Log de Eventos

Sistema de Log

Tipo de Evento

Aviso

Origem do evento

Kerberos-Key-Distribution-Center

ID de Evento

45

Texto do Evento

O KDC (Key Distribution Center) encontrou um certificado de cliente válido, mas não encadeado a uma raiz no repositório NTAuth. O suporte para certificados que não são encadeados ao repositório NTAuth é preterido.

O suporte para o encadeamento de certificados em lojas não NTAuth é preterido e inseguro.Consulte https://go.microsoft.com/fwlink/?linkid=2300705 para saber mais.

 Usuário: <> UserName  Assunto certificado: <> de assunto do Cert  Emissor de Certificados: <emissor do Cert>  Número de série do certificado: <número de série do Cert>  Impressão digital do certificado: <>CertThumbprint

Comentários

  • As atualizações futuras do Windows otimizarão o número de controladores de domínio protegidos pelo Evento 45s no CVE-2025-26647.

  • Os administradores podem ignorar o registro em log do evento Kerberos-Key-Distribution-Center 45 nas seguintes circunstâncias:

    • Windows Hello para Empresas (WHfB) logons de usuário em que a entidade e o emissor de certificados correspondem ao formato: <sid>/<UID>/login.windows.net/<ID do locatário>/<usuário UPN>

    • Logons PKINIT (Machine Public Key Cryptography for Initial Authentication) em que o usuário é uma conta de computador (encerrada por um caractere de $ à direita)), o sujeito e o emissor são o mesmo computador e o número de série é 01.

ID do evento: 21 | Evento de falha AS-REQ

Depois de abordar Kerberos-Key-Distribution-Center Event 45, o registro em log deste evento genérico e herdado indica que o certificado do cliente ainda NÃO é confiável. Esse evento pode ser registrado por vários motivos, um dos quais é que um certificado de cliente válido NÃO é encadeado a uma AC emissora no repositório NTAuth.

Log de Eventos

Sistema de Log

Tipo de Evento

Aviso

Origem do evento

Kerberos-Key-Distribution-Center

ID de Evento

21

Texto do Evento

O certificado do cliente para o usuário <Domain\UserName> não é válido e resultou em um logon smartcard com falha.

Entre em contato com o usuário para obter mais informações sobre o certificado que ele está tentando usar para logon smartcard.

A cadeia status foi : uma cadeia de certificação processada corretamente, mas um dos certificados de AC não é confiável pelo provedor de política.

Comentários

  • Uma ID de Evento: 21 que faz referência a uma conta "usuário" ou "computador" descreve a entidade de segurança que inicia a autenticação Kerberos.

  • Windows Hello para Empresas logotipos (WHfB) referenciarão uma conta de usuário.

  • A Criptografia de Chave Pública da Máquina para Autenticação Inicial (PKINIT) faz referência a uma conta de computador.

Problema conhecido

Os clientes relataram problemas com A ID do Evento: 45 e ID de Evento: 21 disparadas pela autenticação baseada em certificado usando certificados autoassinados. Para ver mais informações, consulte o problema conhecido documentado na integridade da versão do Windows:

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade