Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Importante: As datas de lançamento anteriormente indicadas neste artigo mudaram. Por favor, note as novas datas de lançamento nas secções "Take Action" e "Timing of these Windows updates".

Resumo

Existe uma vulnerabilidade de bypass de recursos de segurança na forma como o Key Distribution Center (KDC) determina se um bilhete de serviço Kerberos pode ser usado para delegação através da Delegação Restrita Kerberos (KCD). Para explorar a vulnerabilidade, um serviço comprometido que esteja configurado para usar o KCD poderia adulterar um bilhete de serviço Kerberos que não é válido para a delegação forçar o KDC a aceitá-lo. Estas atualizações do Windows abordam esta vulnerabilidade alterando a forma como o KDC valida os bilhetes de serviço Kerberos utilizados com o KCD.

Para saber mais sobre esta vulnerabilidade, consulte O CVE-2020-17049

Tomar medidas

Para proteger o seu ambiente e evitar interrupções, deve seguir todos estes passos:

  1. Atualize todos os dispositivos que acolhem a função de controlador de domínio do Ative Directory instalando pelo menos uma das atualizações do Windows entre 8 de dezembro de 2020 e 9 de março de 2021. Tenha em atenção que a instalação da atualização do Windows não atenua totalmente a vulnerabilidade de segurança. Também deve executar os passos 2 e 3.

  2. Atualize todos os dispositivos que acolhem a função de controlador de domínio do Ative Directory instalando a atualização do Windows de 13 de abril de 2021.

  3. Ativar Modo de execução em todos os controladores de domínio do Diretório Ativo.

  4. A partir da atualização da Fase de Execução de 13 de julho de 2021, o modo de execução será ativado em todos os controladores de domínio do Windows.

Tempo destas atualizações do Windows

Estas atualizações do Windows serão lançadas em três fases:

  • A fase inicial de implementação das atualizações do Windows foi lançada em ou depois de 8 de dezembro de 2020.

  • Uma segunda fase de implantação que remove a definição performTicketSignature0 e requer a definição 1 ou 2, em ou depois de 13 de abril de 2021.

  • A fase de execução das atualizações do Windows foi lançada em ou depois de 13 de julho de 2021.

8 de dezembro de 2020: Fase inicial de implantação

A fase inicial de implementação começa com a atualização do Windows lançada a 8 de dezembro de 2020 e continua com uma atualização posterior do Windows para a fase de Implementação. Estas e posteriores atualizações do Windows fazem alterações a Kerberos. Esta atualização de 8 de dezembro de 2020 inclui correções para todas as questões conhecidas originalmente introduzidas até 10 de novembro de 2020 lançamento do CVE-2020-17049. Esta atualização também adiciona suporte para o Windows Server 2008 SP2 e Windows Server 2008 R2.

Esta versão:

  • Endereços CVE-2020-17049 (no modo de implantação por predefinição).

  • Adiciona suporte para o valor do registo PerformTicketSignature para permitir a proteção nos servidores controladores de domínio do Diretório Ativo. Por padrão, este valor não existe.

A mitigação consiste na instalação das atualizações do Windows em todos os dispositivos que acolhem a função de controlador de domínio do Ative Directory e os controladores de domínio apenas de leitura (RODCs) e, em seguida, ativar o modo de execução.

13 de abril de 2021: Segunda Fase de Implantação

A segunda fase de implementação começa com a atualização do Windows lançada a 13 de abril de 2021. Esta fase remove a definição PerformTicketSignature0. A definição do PerformTicketSignature a 0 após a instalação desta atualização terá o mesmo efeito que a definição do PerformTicketSignature para 1. Os DCs estarão no modo de implantação.

Notas

  • Esta fase não é necessária se o PerformTicketSignature nunca foi definido como 0 no seu ambiente. Esta fase ajuda a garantir que os clientes que definem o PerformTicketSignature para 0 sejam transferidos para a definição 1 antes da fase de execução.

  • Com a implementação das atualizações de 13 de abril de 2021, a definição do PerformTicketSignature para 1 permitirá que os bilhetes de serviço sejam renováveis. Esta é uma mudança de comportamento a partir de abril de 2021 Atualizações do Windows ao configurar o PerformTicketSignature para 1, o que fez com que os bilhetes de serviço não fossem renováveis.

  • Esta atualização pressupõe que todos os Controladores de Domínio são atualizados com as atualizações de 8 de dezembro de 2020 ou atualizações posteriores.

  • Depois de instalar esta atualização, e de definir manualmente ou programáticamente o PerformTicketSignature para 1 ou superior, os controladores de domínio do Windows Server não suportados deixarão de funcionar com controladores de domínio suportados. Isto inclui o Windows Server 2008 e o Windows Server 2008 R2 sem atualizações de segurança estendidas (ESU) e Windows Server 2003.

13 de julho de 2021: Fase de execução

A 13 de julho de 2021 passa a fase de execução. A fase de execução impõe as alterações ao CVE-2020-17049. Os controladores de domínio do Diretório Ativo são agora capazes de ser em modo de execução. Ir para o modo Enforcement requer que todos os controladores de domínio do Ative Directory tenham a atualização de 8 de dezembro de 2020 ou uma atualização posterior do Windows instalada. Neste momento, as definições das chaves de registo PerformTicketSignature serão ignoradas e o modo de execução não pode ser ultrapassado. 

Orientação de instalação

Antes de instalar esta atualização

Tem de ter as seguintes atualizações necessárias instaladas antes de aplicar esta atualização. Se utilizar o Windows Update, estas atualizações necessárias serão oferecidas automaticamente conforme necessário.

  • Tem de ter a atualização SHA-2(KB4474419)datada de 23 de setembro de 2019 ou uma atualização SHA-2 posterior instalada e, em seguida, reiniciar o seu dispositivo antes de aplicar esta atualização. Para obter mais informações sobre as atualizações SHA-2, consulte o requisito de suporte de assinatura de código SHA-2 2019 para Windows e WSUS.

  • Para o Windows Server 2008 R2 SP1, deve ter instalado a atualização da pilha de manutenção (SSU)(KB4490628)datada de 12 de março de 2019. Após a instalação da atualização KB4490628, recomendamos que instale a mais recente atualização SSU. Para obter mais informações sobre a última atualização da SSU, consulte a ADV990001 | Últimas atualizações da pilha de assistência.

  • Para o Windows Server 2008 SP2, deve ter instalado a atualização da pilha de manutenção (SSU)(KB4493730)datada de 9 de abril de 2019. Após a instalação da atualização KB4493730, recomendamos que instale a última atualização SSU. Para obter mais informações sobre as últimas atualizações da SSU, consulte a ADV990001 | Últimas atualizações da pilha de assistência.

  • Os clientes são obrigados a adquirir a Atualização de Segurança Estendida (ESU) para versões no local do Windows Server 2008 SP2 ou Windows Server 2008 R2 SP1 após o apoio alargado ter terminado em 14 de janeiro de 2020. Os clientes que tenham adquirido a ESU devem seguir os procedimentos em KB4522133 para continuar a receber atualizações de segurança. Para obter mais informações sobre a ESU e quais as edições suportadas, consulte KB44497181.

ImportanteTem de reiniciar o seu dispositivo depois de instalar estas atualizações necessárias.

Instalar todas as atualizações

Para resolver a vulnerabilidade de segurança, instale todas as atualizações do Windows e permita o modo De execução seguindo estes passos:

  1. Implemente pelo menos uma das atualizações entre 8 de dezembro de 2020 e 9 de março de 2021 para todos os controladores de domínio do Diretório Ativo na floresta.

  2. Implemente a atualização de 12 de abril de 2021 pelo menos uma ou mais semanas após o passo 1.

  3. Depois de todos os controladores de domínio do Ative Directory terem sido atualizados, aguarde pelo menos uma semana para permitir que todos os bilhetes de serviço Kerberos (Serviço de Utilização para Utilizador a Si mesmo) expirem e, em seguida, a proteção total pode ser ativada através da implementação do modo de execução do controlador de domínio ative Diretório.

    Notas

    • Se alterou os tempos de validade do bilhete de serviço Kerberos a partir das definições predefinidas (o padrão é de 7 dias), então deve esperar pelo menos o número de dias configurados no seu ambiente.

    • Estes passos pressupõem que a PerformTicketSignature nunca foi definida como 0 no seu ambiente. Se o PerformTicketSignature foi definido para 0,deve mover-se para a definição 1 antes de passar para a definição 2 (modo de execução) e esperar pelo menos uma semana para permitir que todos os bilhetes de serviço Kerberos (serviço de utilização para auto)(S4U2self) expiram. Não deve passar diretamente da definição 0 para a definição 2 (Modo de execução).


Passo 1: Instalar atualizações do Windows

Instale a atualização adequada do Windows a 8 de dezembro de 2020 ou uma atualização posterior do Windows a todos os dispositivos que acolhem o papel de controlador de domínio do Ative Directory na floresta, incluindo controladores de domínio apenas de leitura.

Produto do Servidor windows

KB #

Tipo de atualização

Windows Server, versão 20H2 (Instalação do Núcleo do Servidor)

4592438

Atualização de Segurança

Windows Server, versão 2004 (instalação do Núcleo do Servidor)

4592438

Atualização de Segurança

Windows Server, versão 1909 (instalação do Núcleo do Servidor)

4592449

Atualização de Segurança

Windows Server, versão 1903 (instalação do Núcleo do Servidor)

4592449

Atualização de Segurança

Windows Server 2019 (instalação do Núcleo do Servidor)

4592440

Atualização de Segurança

Windows Server 2019

4592440

Atualização de Segurança

Windows Server 2016 (instalação do Núcleo do Servidor)

4593226

Atualização de Segurança

Windows Server 2016

4593226

Atualização de Segurança

Windows Server 2012 R2 (instalação do Núcleo do Servidor)

4592484

Rollup mensal

4592495

Apenas segurança

Windows Server 2012 R2

4592484

Rollup mensal

4592495

Apenas segurança

Windows Server 2012 (instalação do Núcleo do Servidor)

4592468

Rollup mensal

4592497

Apenas segurança

Windows Server 2012

4592468

Rollup mensal

4592497

Apenas segurança

Pacote de serviços R2 do Windows Server 2008 1

4592471

Rollup mensal

4592503

Apenas segurança

Windows Server 2008 Service Pack 2

4592498

Rollup mensal

4592504

Apenas segurança

Passo 2: Ativar o modo de execução

Depois de todos os dispositivos que acolhem o papel de controlador de domínio ative Directory foram atualizados, espere pelo menos uma semana para permitir que todos os bilhetes de serviço Kerberos pendentes expiram. Em seguida, ative a proteção total através da implementação do modo De execução. Para isso, ative a chave de registo do modo Execução.

Aviso Podem ocorrer problemas graves se modificar o registo incorretamente utilizando o Editor de Registo ou utilizando outro método. Estes problemas podem exigir que reinstale o sistema operativo. A Microsoft não pode garantir que estes problemas possam ser resolvidos. Modifique o registo por sua conta e risco.

Nota Esta atualização introduz suporte para o seguinte valor de registo para ativar o modo De Execução. Este valor de registo não é criado através da instalação desta atualização. Deve adicionar manualmente este valor de registo.

Sub-chave do registo

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Valor

PerformTicketSignature

Tipo de dados

REG_DWORD

Dados

1: Ativa o modo de implantação. A correção está ativada no controlador de domínio, mas o controlador de domínio Ative Directory não requer que os bilhetes de serviço Kerberos estejam em conformidade com a correção. Este modo adiciona suporte para assinaturas de bilhetes em controladores de domínio atualizados CVE-2020-17049, mas os controladores de domínio não exigem a assinatura de bilhetes. Isto permite que uma mistura de Fase inicial de implantação (DCs atualizados para a atualização inicial de implementação de dezembro) e controladores de domínio atualizados coexistam. Com todos os controladores de domínio atualizados e na definição 1,todos os novos bilhetes serão assinados. Neste modo, os novos bilhetes serão marcados como renováveis.

2: Ativa o modo de execução Isto permite a correção no modo exigido, onde todos os domínios devem ser atualizados e todos os controladores de domínio do Ative Directory requerem bilhetes de serviço Kerberos com assinaturas. Com este cenário, todos os bilhetes devem ser assinados para serem considerados válidos. Neste modo, os bilhetes voltarão a ser marcados como renováveis.

0: Não recomendado. Desativa as assinaturas de bilhetes de serviço Kerberos e os seus domínios não estão protegidos.

Importante: A definição 0 não é compatível com a regulação da execução 2. Podem ocorrer falhas de autenticação intermitentes se o modo de execução for aplicado posteriormente, enquanto o domínio é definido para 0. Recomendamos que os clientes passem para a definição 1 antes da fase de execução (pelo menos uma semana antes de aplicar a aplicação da execução).

Predefinição

1 (quando a chave de registo não estiver definida)

É necessário um Recomeço?

Não
Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×