Aplica-se A
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Windows 10 Enterprise LTSB 2016 Windows 10 IoT Enterprise LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Data de publicação original: Abril de 2023

ID da BDC: 5036534

Alterar data

Descrição

8 de abril de 2025

  • Foram adicionadas informações sobre proteções para uma vulnerabilidade com autenticação Kerberos para CVE-2025-26647.

19 de fevereiro de 2025

  • Revisão da redação da secção Introdução.

  • Foi removida a secção "A proteger alterações de relance", uma vez que as informações estão desatualizadas.

  • Foi adicionada a secção "Outras alterações principais no Windows" para referências às funcionalidades que já não estão a ser desenvolvidas no Windows.

30 de janeiro de 2025

  • Foi adicionada a entrada de janeiro de 2026 ou posterior na secção "Proteção de alterações por mês".

17 de janeiro de 2025

  • Foram adicionadas as inscrições de abril de 2024, janeiro de 2025 e abril de 2025 na secção "Endurecimento de alterações por mês".

10 de março de 2024

  • Reviu a Linha cronológica mensal adicionando mais conteúdo relacionado com proteção e removeu a entrada de fevereiro de 2024 da linha cronológica, uma vez que não está relacionada com a proteção.

Introdução

A proteção é um elemento-chave da nossa estratégia de segurança contínua para ajudar a manter o seu património protegido enquanto se concentra no seu trabalho. As ciberameaças cada vez mais criativas visam fraquezas em qualquer lugar possível, desde o chip à cloud.

Este artigo analisa as áreas vulneráveis que estão a sofrer alterações de proteção implementadas através de atualizações de segurança do Windows. Também publicamos lembretes no centro de mensagens do Windows para alertar os administradores de TI sobre a proteção de datas-chave à medida que se aproximam.  

Nota: Este artigo será atualizado ao longo do tempo para fornecer as informações mais recentes sobre a proteção de alterações e linhas cronológicas. Veja a secção Registo de alterações para controlar as alterações mais recentes.

Proteção de alterações por mês

Consulte os detalhes das alterações recentes e futuras de proteção por mês para o ajudar a planear cada fase e imposição final.

  • Proteções para ignorar o Arranque Seguro KB5025885 | Fase 1 Fase de Implementação Inicial. O Windows Atualizações lançado em ou depois de 9 de maio de 2023 resolve as vulnerabilidades abordadas no CVE-2023-24932, as alterações aos componentes de arranque do Windows e dois ficheiros de revogação que podem ser aplicados manualmente (uma política de Integridade do Código e uma lista de arranque seguro (DBX) atualizada).

  • Alterações ao protocolo Netlogon KB5021130 | Fase 3 Imposição por predefinição. A subchave RequireSeal será movida para o Modo de imposição, a menos que a configure explicitamente para estar no modo de Compatibilidade.

  • Assinaturas pac kerberos KB5020805 | Fase 3 Terceira fase de Implementação. Remove a capacidade de desativar a adição da assinatura PAC ao definir a subchave KrbtgtFullPacSignature para um valor de 0.

  • Alterações ao protocolo Netlogon KB5021130 | Fase 4 Imposição final. As atualizações do Windows disponibilizadas a 11 de julho de 2023 irão remover a capacidade de definir o valor 1 para a subchave do registo RequireSeal. Isto permite a fase de Imposição do CVE-2022-38023.

  • Assinaturas pac kerberos KB5020805 | Fase 4 Modo de Imposição Inicial. Remove a capacidade de definir o valor 1 para a subchave KrbtgtFullPacSignature e passa para o Modo de imposição como predefinição (KrbtgtFullPacSignature = 3), que pode substituir por uma definição de Auditoria explícita. 

  • Proteções para ignorar o Arranque Seguro KB5025885 | Fase 2 Segunda fase de Implementação. Atualizações para Windows lançados a 11 de julho de 2023 ou posterior incluem a implementação automatizada dos ficheiros de revogação, novos eventos do Registo de Eventos para comunicar se a implementação da revogação foi bem-sucedida e o pacote de Atualização Dinâmica do SafeOS para WinRE.

  • Assinaturas pac kerberos KB5020805 | Fase 5

    Fase de Imposição Completa. Remove o suporte para a subchave de registo KrbtgtFullPacSignature, remove o suporte para o modo auditoria e todos os pedidos de assistência sem as novas assinaturas PAC serão negados de autenticação.

  • Atualizações de permissões do Active Directory (AD) KB5008383 | Fase 5 Fase final de implementação. A fase final de implementação pode começar depois de concluir os passos listados na secção "Tomar Medidas" da KB5008383. Para ir para o Modo de imposição , siga as instruções na secção "Orientação de Implementação" para definir os 28 e 29 bits no atributo dSHeuristics . Em seguida, monitorize os eventos 3044-3046. Comunicam quando o Modo de imposição bloqueou uma operação LDAP Adicionar ou Modificar que poderia ter sido permitida anteriormente no modo de Auditoria

  • Proteções para ignorar o Arranque Seguro KB5025885 | Fase 3 Terceira fase de Implementação. Esta fase irá adicionar mitigações adicionais do gestor de arranque. Esta fase não começará antes de 9 de abril de 2024.

  • Alterações à Validação do PAC KB5037754 | Fase do modo de compatibilidade

    A fase de implementação inicial começa com as atualizações lançadas a 9 de abril de 2024. Esta atualização adiciona um novo comportamento que impede a elevação de vulnerabilidades de privilégios descritas em CVE-2024-26248 e CVE-2024-29056, mas não a impõe, a menos que os controladores de domínio do Windows e os clientes Windows no ambiente sejam atualizados.

    Para ativar o novo comportamento e mitigar as vulnerabilidades, tem de se certificar de que todo o ambiente do Windows (incluindo controladores de domínio e clientes) está atualizado. Os Eventos de Auditoria serão registados para ajudar a identificar dispositivos não atualizados.

  • Proteções para ignorar o Arranque Seguro KB5025885 | Fase 3 Fase de Imposição Obrigatória. As revogações (política de Arranque da Integridade do Código e lista de não permitir Arranque Seguro) serão impostas programaticamente após a instalação de atualizações do Windows para todos os sistemas afetados sem a opção de desativação.

  • Alterações à Validação do PAC KB5037754 | Imposição por fase predefinida

    Atualizações lançados em ou depois de janeiro de 2025 irão mover todos os controladores de domínio e clientes do Windows no ambiente para o modo Imposto. Este modo irá impor o comportamento seguro por predefinição. As definições de chave de registo existentes que tenham sido definidas anteriormente substituirão esta alteração de comportamento predefinida.

    As predefinições do modo Imposto podem ser substituídas por um Administrador para reverter para o modo de Compatibilidade.

  • Autenticação baseada em certificados KB5014754 | Fase 3 Modo de Imposição Completa. Se um certificado não puder ser mapeado de forma segura, a autenticação será negada.

  • Alterações à Validação do PAC KB5037754 | Fase de imposição As atualizações de segurança do Windows lançadas em ou depois de abril de 2025 irão remover o suporte para as subchaves de registo PacSignatureValidationLevel e CrossDomainFilteringLevel e impor o novo comportamento seguro. Não haverá suporte para o modo de Compatibilidade após a instalação da atualização de abril de 2025.

  • Proteções de Autenticação Kerberos para CVE-2025-26647 KB5057784 | Modo de auditoria A fase de implementação inicial começa com as atualizações lançadas a 8 de abril de 2025. Estas atualizações adicionam um novo comportamento que deteta a elevação da vulnerabilidade de privilégios descrita no CVE-2025-26647 , mas não a impõe. Para ativar o novo comportamento e proteger-se da vulnerabilidade, tem de garantir que todos os controladores de domínio do Windows são atualizados e que a definição da chave de registo AllowNtAuthPolicyBypass está definida como 2.

  • Proteções de Autenticação Kerberos para CVE-2025-26647 KB5057784 | Imposta por fase predefinida Atualizações lançada em ou depois de julho de 2025, irá impor a verificação NTAuth Store por predefinição. A definição da chave de registo AllowNtAuthPolicyBypass continuará a permitir que os clientes regressem ao modo auditoria, se necessário. No entanto, a capacidade de desativar completamente esta atualização de segurança será removida.

  • Proteções de Autenticação Kerberos para CVE-2025-26647 KB5057784 | Modo de imposição ​​​​​​​Atualizações lançadas em ou depois de outubro de 2025, irá descontinuar o suporte da Microsoft para a chave de registo AllowNtAuthPolicyBypass. Nesta fase, todos os certificados têm de ser emitidos pelas autoridades que fazem parte do arquivo NTAuth.

  • Proteções para ignorar o Arranque Seguro KB5025885 | Fase de Imposição A Fase de Imposição não começará antes de janeiro de 2026 e daremos pelo menos seis meses de aviso prévio neste artigo antes do início desta fase. Quando as atualizações forem lançadas para a Fase de Imposição, incluirão o seguinte:

    • O certificado "Windows Production PCA 2011" será automaticamente revogado ao ser adicionado à Lista Proibida de UEFI de Arranque Seguro (DBX) em dispositivos compatíveis. Estas atualizações serão impostas através de programação após a instalação de atualizações do Windows para todos os sistemas afetados sem qualquer opção a desativar.

Outras alterações principais no Windows

Cada versão do cliente Windows e Windows Server adiciona novas funcionalidades. Ocasionalmente, as novas versões também removem funcionalidades, muitas vezes porque existe uma opção mais recente. Consulte os seguintes artigos para obter detalhes sobre as funcionalidades que já não estão a ser desenvolvidas no Windows.

Client

Servidor

Obter as notícias mais recentes

Marque o centro de mensagens do Windows para encontrar facilmente as atualizações e lembretes mais recentes. Se for um administrador de TI com acesso ao centro de administração do Microsoft 365, configure Email preferências no centro de administração do Microsoft 365 para receber notificações e atualizações importantes.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade