Applies ToWindows 11 version 21H2, all editions Windows 10 Windows 10, version 1909, all editions Windows 10, version 1809, all editions Windows 10, version 1607, all editions Windows 10, version 21H2, all editions Windows 10, version 21H1, all editions Windows 10, version 20H2, all editions Windows 8.1 Windows RT 8.1 Windows Server 2022, all editions Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Windows Server version 20H2

Resumo

As atualizações de 11 de janeiro de 2022 Windows e posteriores do Windows adicionam proteção para CVE-2022-21913.

Após instalar as atualizações de 11 de janeiro de 2022, as atualizações do Windows ou as atualizações mais recentes do Windows, a encriptação Advanced Encryption Standard (AES) será definida como método de encriptação preferencial para clientes do Windows quando utilizar o protocolo legado das Autoridades de Segurança Local (Domain Policy) (MS-LSAD) para operações de palavra-passe de objeto de domínio fidedcrita que são enviadas através de uma rede. Isto só se acontece se a encriptação AES for suportada pelo servidor. Se a encriptação AES não for suportada pelo servidor, o sistema permitirá a encriptação RC4 legada.

As alterações no CVE-2022-21913 são específicas do protocolo MS-LSAD. São independentes de outros protocolos. O MS-LSAD utiliza o Bloco de Mensagens do Servidor (SMB) durante a chamada de procedimento remoto (RPC) e pipes nomeados. Apesar de SMB também suportar encriptação, não está ativada por predefinição. Por predefinição, as alterações no CVE-2022-21913 são ativadas e fornecem segurança adicional na camada LSAD. Não são necessárias alterações de configuração adicionais para além da instalação das proteções para o CVE-2022-21913 incluídas nas atualizações de 11 de janeiro de 2022 do Windows e atualizações de Windows posteriores em todas as versões suportadas do Windows. As versões não Windows devem ser descontinuadas ou atualizadas para uma versão suportada. 

Nota: oCVE-2022-21913 modifica apenas a forma como as palavras-passe de confiança são encriptadas em trânsito quando utiliza APIs específicas do protocolo MS-LSAD e, especificamente, não modifica a forma como as palavras-passe são armazenadas. Para obter mais informações sobre como as palavras-passe são encriptadas inescritas no Active Directory e localmente na Base de Dados SAM (registo), consulte Resumo técnico das palavras-passe. 

Mais informações

Alterações feitas pelas atualizações de 11 de janeiro de 2022 

  • Padrão objeto da política As atualizações modificam o padrão Objeto da Política do protocolo ao adicionar um novo método Open Policy que permite ao cliente e ao servidor partilhar informações sobre o suporte AES.

    Método antigo com RC4

    Novo método de utilização do AES

    LsarOpenPolicy2 (Opnum 44)

    LsarOpenPolicy3 (Opnum 130)

    Para uma lista completa das opnums do protocolo MS-LSAR, consulte [MS-LSAD]:Eventos de Processamento de Mensagens e Regras de Sequenciação.

  • Padrão de Objeto de Domínio Fidededens por Domínio

    As atualizações modificam o padrão Trusted Domain Object Create do protocolo ao adicionar um novo método para criar uma confiança que irá utilizar o AES para encriptar dados de autenticação.

    A API LsaCreateTrustedDomainEx irá agora preferir o novo método se o cliente e o servidor estiverem atualizados e voltarem ao método mais antigo, caso contrário.

    Método antigo com RC4

    Novo método de utilização do AES

    LsarCreateTrustedDomainEx2 (Opnum 59)

    LsarCreateTrustedDomainEx3 (Opnum 129) 

    As atualizações modificam o padrão Domain Object Set do protocolo ao adicionar duas novas Classes de Informações Fidedervas aos métodos LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Pode definir informações sobre o Objeto de Domínio Fidededens por domínio da seguinte forma.  

    Método antigo com RC4

    Novo método de utilização do AES

    LsarSetInformationTrustedDomain (Opnum 27) juntamente com TrustedDomainAuthInformationInternal ou TrustedDomainFullInformationInternal (tem uma palavra-passe de confiança encriptada que utiliza RC4)

    LsarSetInformationTrustedDomain (Opnum 27) juntamente com TrustedDomainAuthInformationInternalAes ou TrustedDomainFullInformationAes (tem uma palavra-passe de confiança encriptada que utiliza AES)

    LsarSetTrustedDomainInfoByName (Opnum 49) juntamente com TrustedDomainAuthInformationInternal ou TrustedDomainFullInformationInternal (tem uma palavra-passe de confiança encriptada que utiliza RC4 e todos os outros atributos)

    LsarSetTrustedDomainInfoByName (Opnum 49) juntamente com TrustedDomainAuthInformationInternalAes ou TrustedDomainFullInformationInternalAes (tem uma palavra-passe de confiança encriptada que utiliza AES e todos os outros atributos)

Como funciona o novo comportamento

O método LsarOpenPolicy2 existente é geralmente utilizado para abrir uma alça de contexto para o servidor RPC. Esta é a primeira função a que tem de ser chamada para contactar a base de dados do Protocolo Remoto das Autoridades de Segurança Local (Política de Domínio). Após instalar estas atualizações, o método LsarOpenPolicy2 é superado pelo novo método LsarOpenPolicy3. 

Um cliente atualizado que chame a API LsaOpenPolicy irá agora chamar primeiro o método LsarOpenPolicy3. Se o servidor não estiver atualizado e não implementar o método LsarOpenPolicy3, o cliente regressa ao método LsarOpenPolicy2 e utiliza os métodos anteriores que utilizam a encriptação RC4. 

Um servidor atualizado irá devolver um novo bit na resposta ao método LsarOpenPolicy3, conforme definido no LSAPR_REVISION_INFO_V1. Para obter mais informações, consulte as secções "Utilização de Cipher Usage" LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES AES no MS-LSAD.

Se o servidor suportar AES, o cliente irá utilizar os novos métodos e novas classes de informações para operações de domínios "criar" e "definir" subsequentes. Se o servidor não devolver este sinalizador ou se o cliente não estiver atualizado, o cliente voltará a utilizar os métodos anteriores que utilizam encriptação RC4. 

Registo de eventos

As atualizações de 11 de janeiro de 2022 adicionam um novo evento ao registo de eventos de segurança para ajudar a identificar dispositivos que não estão atualizados e para ajudar a melhorar a segurança. 

Valor

Significado

Origem do evento

Microsoft-Windows-Security 

ID do Evento

6425

Nível 

Informações

Texto da mensagem do evento

Um cliente de rede usou um método RPC legado para modificar as informações de autenticação num objeto de domínio de confiança. As informações de autenticação foram encriptadas com um algoritmo de encriptação legado. Considere atualizar o sistema operativo ou aplicação cliente para utilizar a versão mais recente e mais segura deste método. 

Domínio Fided fundo: 

  • Nome de Domínio: ID de Domínio:

Modificado Por: 

  • ID de Segurança: Nome da Conta: Domínio da Conta: ID de início de sessão:

Endereço de Rede do Cliente: Nome do Método RPC: 

Para obter mais informações, vá a https://go.microsoft.com/fwlink/?linkid=2161080.

Perguntas Mais Frequentes (FAQ) 

P1: Que cenários acionam uma atualização de AES para RC4? 

A1: Ocorre uma atualização para baixo se o servidor ou cliente não suportar AES.    

P2: Como posso saber se a encriptação RC4 ou a encriptação AES foi negociação? 

A2: Os servidores atualizados registarão o evento 6425 quando são utilizados métodos legados que utilizem RC4.  

P3: Posso exigir encriptação AES no servidor e as atualizações serão aplicadas através de programação através Windows AES? 

A3: Atualmente, não existe nenhum modo de imposição disponível. No entanto, poderá haver no futuro, embora essa alteração não esteja agendada. 

P4: São suportadas por clientes terceiros proteções para o CVE-2022-21913 para chegar à negociação do AES quando o servidor for suportado? Devo contactar o Suporte da Microsoft ou a equipa de suporte de terceiros para abordar esta pergunta?   

A4: Se um dispositivo ou aplicação de terceiros não estiver a utilizar o protocolo MS-LSAD, isso não é importante. Os fornecedores terceiros que implementem o protocolo MS-LSAD podem optar por implementar este protocolo. Para obter mais informações, contacte o fornecedor.  

P5: Tem de fazer alterações de configuração adicionais?  

A5: Não são necessárias alterações de configuração adicionais.  

P6: O que utiliza este protocolo?   

A6: O protocolo MS-LSAD é utilizado por muitos componentes Windows, incluindo o Active Directory e ferramentas como a consola Domínios e Confianças do Active Directory. As aplicações também podem utilizar este protocolo através das APIs da biblioteca advapi32, tais como LsaOpenPolicy ou LsaCreateTrustedDomainEx.

Documentação relacionada

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.