INTRODUÇÃO
Uma atualizador automático de certificados não confiáveis está disponível para o Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Este atualizador expande-se na tecnologia do mecanismo de atualização automática de raiz encontrada no Windows Vista e no Windows 7 para permitir que certificados comprometidos ou não confiáveis de alguma forma sejam especificamente sinalizados como não confiáveis.
Uma lista de certificados confiáveis (CTL) é uma lista predefinida de itens assinados por uma entidade confiável. Todos os itens da lista são autenticados e aprovados por uma entidade de assinatura confiável. Esta atualização expande-se nesta funcionalidade existente adicionando certificados conhecidos não confiáveis ao armazenamento de certificados não confiáveis usando uma CTL que contém uma chave pública ou seu hash de assinatura. Depois de instalar esta atualização, os clientes beneficiam-se de atualizações automáticas rápidas de certificados não confiáveis. Os usuários que têm sistemas desconectados não se beneficiarão dessa melhoria de recurso. Esses clientes ainda terão que instalar as atualizações de certificado raiz quando elas forem disponibilizadas. Consulte a seção "Mais informações". Como parte desta atualização, as URLs usadas para contatar o Windows Update para baixar as CTLs confiáveis e não confiáveis foram alteradas. Isso pode causar problemas para empresas que codificam essas URLs em seus firewalls como exceções. As seguintes são novas URLs:http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
Mais Informações
Os usuários que possuem sistemas desconectados podem instalar essa atualização. Mas os usuários não recebem um benefício da atualização. Na verdade, a instalação dessa atualização pode resultar em falhas de inicialização do serviço imediatamente após a reinicialização do servidor. Os serviços que realizam tarefas de validação de certificado durante a inicialização de serviço podem enfrentar um aumento no atraso enquanto ocorre uma tentativa de recuperação de rede das CLTs confiáveis e não confiáveis do Windows Update. 2813430 da Base de Dados de Conhecimento Microsoft para obter mais informações. Os clientes não realizar nenhuma ação porque esses sistemas serão protegidos automaticamente. Se o sistema não tiver acesso ao Windows Update porque não está conectado à Internet ou porque o Windows Update está bloqueado pelas regras do firewall, a recuperação de rede atingirá o tempo limite antes que o serviço possa continuar seu procedimento de inicialização. Em alguns casos, esse tempo limite de recuperação de rede pode exceder o tempo limite de inicialização de serviço de 30 segundos. Se um serviço não pode informar que a inicialização foi concluída em 30 segundos, o gerenciador de controle de serviços (SCM) para o serviço. Se não é possível evitar a instalação dessa atualização em sistemas desconectados, você pode desabilitar a recuperação de rede das CTLs confiáveis e não confiáveis. Para fazer isso, desabilite as atualizações automáticas de raiz usando as configurações da Diretiva de Grupo. Para desativar as atualizações automáticas de raiz usando as configurações de diretiva, siga estas etapas:
Para sistemas que executam o Windows Vista, o Windows 7, o Windows Server 2008 ou o Windows Server 2008 R2 e que estão usando o atualizador automático de certificados não confiáveis (ou seja, se o KB 2677070 ou o KB 2813430 já estiver instalado), consulte o restante desta seção e também o artigo-
Crie uma Política de Grupo ou altere uma Política de Grupo existente no Editor de Política de Grupo Local.
-
No Editor de Política de Grupo Local, clique duas vezes em Políticas no nó Configuração do Computador.
-
Clique duas vezes em Configurações do Windows, clique duas vezes em Configurações de Segurançae clique duas vezes em Diretivas de chave pública.
-
No painel de detalhes, clique duas vezes em Configurações de Validação de Caminho de Certificado.
-
Clique na guia Recuperação de Rede, selecione Definir estas configurações de política e desmarque a caixa de seleção Atualizar certificados automaticamente no Microsoft Root Certificate Program (recomendável).
-
Clique em OK e feche o Editor de Política de Grupo Local.
Após você fazer esta alteração, as atualizações automáticas de raiz são desabilitadas nestes sistemas nos quais a diretiva é aplicada. Recomendamos que a política seja apenas aplicada nos sistemas que não têm acesso à Internet ou que são impedidos de acessar o Windows Update devido às regras do firewall.
Se as atualizações automáticas de raiz estiverem desabilitadas, os administradores devem gerenciar manualmente os certificados raiz confiáveis para o Windows. Os certificados raiz confiáveis podem ser distribuídos para computadores que estejam executando o Windows usando a Diretiva de Grupo. Para obter mais informações sobre como gerenciar os certificados raiz que são confiáveis para o Windows, visite o seguinte site da Microsoft:http://technet.microsoft.com/pt-br/library/cc754841.aspxPara obter mais informações sobre verificação de confiança de certificado do Windows, vá para as seguintes páginas da Web da Microsoft:
Verificação de Confiança de Certificado Visão geral da Lista de Confiança de CertificadoPara obter mais informações sobre o programa de certificado raiz do Windows, clique no número abaixo para ler o artigo da Base de Dados de Conhecimento Microsoft:
931125Membros do Microsoft Root Certificate Program
Informações sobre substituição da atualização
Essa atualização substitui a seguinte atualização:
2603469 O backup de estado do sistema não inclui chaves privadas de CA no Windows Server 2008 ou no Windows Server 2008 R2
Informações sobre o download
Os arquivos a seguir estão disponíveis para download no Centro de Download da Microsoft.
Para todas as versões compatíveis baseadas em x86 do Windows Vista
Para todas as versões de x64 com suporte do Windows Vista
Para todas as versões compatíveis baseadas em x86 do Windows Server 2008
Para todas as versões com base em x64 do Windows Server 2008 com suporte
Para todas as versões compatíveis com base em IA-64 do Windows Server 2008
Para todas as versões compatíveis baseadas em x86 do Windows 7
Para todas as versões com base em x64 do Windows 7 com suporte
Para todas as versões com base em x64 do Windows Server 2008 R2 com suporte
Para todas as versões com base em IA-64 do Windows Server 2008 R2 com suporte
Baixe agora o pacote Windows6.1-KB2677070-ia64.msu. Data de lançamento: terça-feira, 12 de junho de 2012 Para obter mais informações sobre como baixar arquivos de suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
119591 Como obter arquivos de suporte da Microsoft pelos serviços onlineA Microsoft verificou este arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais recente que estava disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar alterações não autorizadas no arquivo.
Informação sobre o arquivo
Para obter uma lista dos arquivos que são fornecidos nesta atualização, baixe as informações sobre arquivos desta atualização 2677070.