Como modificar a entrada de registo RequireAsChecksum após a instalação da actualização de segurança 899587

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de Abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Importante: este artigo contém informações sobre como modificar o registo. Certifique-se de que cria uma cópia de segurança do registo antes de o modificar. Certifique-se de que sabe como restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
256986 Descrição do registo do Microsoft Windows
INTRODUÇÃO
Este artigo contém informações sobre como modificar a entrada de registo RequireAsChecksum. Esta entrada de registo ajuda a fornecer protecção adicional depois de instalar a actualização de segurança 899587 da Microsoft. Esta actualização de segurança é documentada no boletim de segurança MS05-042.

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
899587 MS05-042: Vulnerabilidades no Kerberos podem permitir denial-of-service, divulgação de informações e fraude de identidade
Mais Informação
Aviso: poderão ocorrer problemas graves se modificar o registo de forma incorrecta utilizando o Editor de registo (Registry Editor) ou qualquer outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Todo e qualquer risco decorrente da modificação do registo é da responsabilidade do utilizador.

A actualização de segurança 899587 contém algumas alterações relacionadas com segurança em termos de funcionalidade. O boletim de segurança MS05-042 corrige as vulnerabilidades de segurança comunicadas externamente. No entanto, além das alterações listadas em cada secção "Detalhes sobre a vulnerabilidade" do boletim de segurança MS05-042, a actualização de segurança 899587 inclui outra alteração de funcionalidade. Uma entrada de registo (RequireAsChecksum) opcional, mas recomendada, foi adicionada para ajudar a fornecer protecção adicional para potenciais vulnerabilidades futuras relacionadas com PKINIT. A entrada de registo RequireAsChecksum está localizada nas seguintes subchaves de registo:
  • Microsoft Windows XP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Microsoft Windows 2000 e Microsoft Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

Seguem-se os valores possíveis para a entrada de registo RequireAsChecksum:
  • RequireAsChecksum = 1 ou qualquer outro valor que não zero
    Quando esta definição está activada, o cliente aceita apenas respostas compatíveis com a revisão mais recente de PKINIT (PKINIT-27) do controlador de domínio para o início de sessão de smart card.
  • RequireAsChecksum = 0
    Quando esta definição está desactivada, o cliente aceita respostas compatíveis com a nova revisão ou com revisões mais antigas.
Nota: quando a entrada de registo não está presente, o computador funciona como se a definição estivesse desactivada.

O início de sessão de smart card falha quando se verificam todas as condições que se seguem:
  • A tentativa de início de sessão é iniciada pelo cliente.
  • O cliente tem a actualização de segurança 899587 instalada.
  • O valor da entrada de registo RequireAsChecksum está definido como 1 no cliente.
  • O controlador de domínio que responde ao pedido de autenticação não tem a actualização de segurança 899587 instalada.
Recomendamos que active a definição de registo nos computadores cliente só depois de ter sido implementada a actualização de segurança 899587 em todos os controladores de domínio no domínio.

Nota: é necessário reiniciar um computador baseado no Windows 2000 depois de modificar esta entrada de registo. No entanto, não é necessário reiniciar os computadores com o Windows XP ou o Windows Server 2003.
Propriedades

ID do Artigo: 904766 - Última Revisão: 01/16/2015 16:38:55 - Revisão: 1.1

Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows XP Professional Edition, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity KB904766
Comentários