Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Resumo

As atualizações de segurança do Windows lançadas em ou depois de 9 de abril de 2024 abordam a elevação de vulnerabilidades de privilégios com o Protocolo de Validação do PAC kerberos. O Certificado de Atributo de Privilégio (PAC) é uma extensão para pedidos de assistência Kerberos. Contém informações sobre o utilizador de autenticação e os respetivos privilégios. Esta atualização corrige uma vulnerabilidade em que o utilizador do processo pode falsificar a assinatura para ignorar as verificações de segurança de validação da assinatura PAC adicionadas no KB5020805: Como gerir as alterações do protocolo Kerberos relacionadas com o CVE-2022-37967.

Para saber mais sobre estas vulnerabilidades, visite CVE-2024-26248 e CVE-2024-29056.

Tomar Medidas

IMPORTANTEO passo 1 para instalar a atualização lançada em ou depois de 9 de abril de 2024 NÃO abordará totalmente os problemas de segurança no CVE-2024-26248 e no CVE-2024-29056 por predefinição . Para mitigar totalmente o problema de segurança para todos os dispositivos, tem de passar para o modo Imposto (descrito no Passo 3) assim que o seu ambiente estiver totalmente atualizado.

Para ajudar a proteger o seu ambiente e evitar falhas, recomendamos os seguintes passos:

  1. ATUALIZAÇÃO: Os controladores de domínio do Windows e os clientes Windows têm de ser atualizados com uma atualização de segurança do Windows lançada a 9 de abril de 2024 ou depois de 9 de abril de 2024.

  2. MONITOR: Os eventos de auditoria estarão visíveis no modo de Compatibilidade para identificar os dispositivos não atualizados.

  3. ATIVAR: Depois de o Modo de imposição estar totalmente ativado no seu ambiente, as vulnerabilidades descritas em CVE-2024-26248 e CVE-2024-29056 serão mitigadas.

Fundo

Quando uma estação de trabalho do Windows efetua a Validação do PAC num fluxo de autenticação Kerberos de entrada, executa um novo pedido (Início de Sessão da Permissão de Rede) para validar o pedido de serviço. O pedido é inicialmente reencaminhado para um controlador de domínio (DC) do domínio Workstations através do Netlogon.

Se a conta de serviço e a conta de computador pertencerem a domínios diferentes, o pedido é transportado através das confianças necessárias através do Netlogon até chegar ao domínio dos serviços; caso contrário, o DC no domínio de contas de computadores efetua a validação. Em seguida, o DC chama o Centro de Distribuição de Chaves (KDC) para validar as assinaturas PAC da permissão de serviço e envia as informações do utilizador e do dispositivo de volta para a estação de trabalho.

Se o pedido e a resposta forem reencaminhados através de uma fidedignidade (no caso de a conta de serviço e a conta de estação de trabalho pertencerem a domínios diferentes), cada DC através da fidedignidade filtra os dados de autorização que dizem respeito à mesma.

Linha cronológica das alterações

Atualizações são lançadas da seguinte forma. Tenha em atenção que esta agenda de versão pode ser revista conforme necessário.

A fase de implementação inicial começa com as atualizações lançadas a 9 de abril de 2024. Esta atualização adiciona um novo comportamento que impede a elevação de vulnerabilidades de privilégios descritas em CVE-2024-26248 e CVE-2024-29056 , mas não a impõe, a menos que os controladores de domínio do Windows e os clientes Windows no ambiente sejam atualizados.

Para ativar o novo comportamento e mitigar as vulnerabilidades, tem de se certificar de que todo o ambiente do Windows (incluindo controladores de domínio e clientes) está atualizado. Os Eventos de Auditoria serão registados para ajudar a identificar dispositivos não atualizados.

Atualizações lançado em ou depois de 15 de outubro de 2024, irá mover todos os controladores de domínio e clientes do Windows no ambiente para o modo Imposto ao alterar as definições da subchave do registo para PacSignatureValidationLevel=3 e CrossDomainFilteringLevel=4, ao impor o comportamento seguro por predefinição.

As definições Impostas por Predefinição podem ser substituídas por um Administrador para reverter para o modo de Compatibilidade .

As atualizações de segurança do Windows lançadas em ou depois de 8 de abril de 2025 irão remover o suporte para as subchaves de registo PacSignatureValidationLevel e CrossDomainFilteringLevel e impor o novo comportamento seguro. Não haverá suporte para o modo de Compatibilidade após a instalação desta atualização.

Potenciais problemas e mitigações

Podem surgir potenciais problemas, incluindo a validação do PAC e falhas de filtragem entre florestas. A atualização de segurança de 9 de abril de 2024 inclui lógica de contingência e definições de registo para ajudar a mitigar estes problemas

Definições do registo

Esta atualização de segurança é disponibilizada para dispositivos Windows (incluindo controladores de domínio). As seguintes chaves de registo que controlam o comportamento só precisam de ser implementadas no servidor Kerberos que aceita a autenticação Kerberos de entrada e efetua a Validação do PAC.

Subchave de Registo

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Valor

PacSignatureValidationLevel

Tipo de Dados

REG_DWORD

Dados

2

Predefinição (Compatibilidade com ambiente não correspondente)

3

Impor

Reinício Obrigatório?

Não

Subchave de Registo

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Valor

CrossDomainFilteringLevel

Tipo de Dados

REG_DWORD

Dados

2

Predefinição (Compatibilidade com ambiente não correspondente)

4

Impor

Reinício Obrigatório?

Não

Esta chave de registo pode ser implementada em ambos os servidores Windows que aceitam a autenticação Kerberos de entrada, bem como em qualquer Controlador de Domínio do Windows que esteja a validar o novo fluxo de Início de Sessão da Permissão de Rede ao longo do caminho.

Subchave de Registo

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor

AuditKerberosTicketLogonEvents

Tipo de Dados

REG_DWORD

Dados

1

Predefinição – eventos críticos de registo

2

Registar Todos os Eventos netlogon

0

Não registar Eventos Netlogon

Reinício Obrigatório?

Não

Registos de eventos

Os seguintes eventos de auditoria kerberos serão gerados no Servidor Kerberos que aceita a autenticação Kerberos de entrada. Este servidor Kerberos fará a Validação do PAC, que utiliza o novo Fluxo de Início de Sessão da Permissão de Rede.

Registo de Eventos

Sistema

Tipo de Evento

Informativo

Origem do Evento

Security-Kerberos

ID de Evento

21

Texto do Evento

Durante o Início de Sessão da Permissão de Rede Kerberos, a permissão de serviço da Conta <> de Conta do Domínio <Domain> teve as seguintes ações efetuadas pelo CONTROLADOR de Domínio dc <>. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2262558.

> de Ação <

Este evento é apresentado quando um Controlador de Domínio tomou uma ação não fatal durante um fluxo de Início de Sessão de Pedido de Suporte de Rede. A partir de agora, são registadas as seguintes ações:

  • Os SIDs do utilizador foram filtrados.

  • Os SIDs do dispositivo foram filtrados.

  • A identidade composta foi removida devido à filtragem do SID não permitir a identidade do dispositivo.

  • A identidade composta foi removida devido à filtragem do SID não permitir o nome de domínio do dispositivo.

Registo de Eventos

Sistema

Tipo de Evento

Erro

Origem do Evento

Security-Kerberos

ID de Evento

22

Texto do Evento

Durante o Início de Sessão da Permissão de Rede Kerberos, a permissão de serviço da Conta <> do Domínio <> foi negada pelo DC <dc> pelos motivos abaixo. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2262558.

Motivo:>razão <
ErrorCode: <Código de Erro>

Este evento é apresentado quando um Controlador de Domínio negou o pedido de Início de Sessão da Permissão de Rede pelos motivos apresentados no evento. ​​​​​​

Registo de Eventos

Sistema

Tipo de Evento

Aviso ou Erro

Origem do Evento

Security-Kerberos

ID de Evento

23

Texto do Evento

Durante o Início de Sessão da Permissão de Rede Kerberos, não foi possível reencaminhar a permissão de serviço da Conta <account_name> do Domínio <domain_name> para um Controlador de Domínio para atender o pedido. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2262558.

  • Este evento é apresentado como um aviso se PacSignatureValidationLevel AND CrossDomainFilteringLevel não estiverem definidos como Impor ou mais rigorosos. Quando registado como um aviso, o evento indica que os fluxos de Início de Sessão da Permissão de Rede contactaram um controlador de domínio ou dispositivo equivalente que não compreendeu o novo mecanismo. A autenticação foi autorizada a reverter para o comportamento anterior.

  • Este evento é apresentado como um erro se PacSignatureValidationLevel OU CrossDomainFilteringLevel estiver definido como Impor ou mais rigoroso. Este evento como "erro" indica que o fluxo de Início de Sessão da Permissão de Rede contactou um controlador de domínio ou um dispositivo equivalente que não compreendeu o novo mecanismo. A autenticação foi negada e não foi possível reverter para o comportamento anterior.

Registo de Eventos

Sistema

Tipo de Evento

Erro

Origem do Evento

Netlogon

ID de Evento

5842

Texto do Evento

O serviço Netlogon encontrou um erro inesperado ao processar um pedido de Início de Sessão da Permissão de Rede Kerberos. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2261497.

Conta de Pedido de Serviço: <conta>

Domínio da Permissão de Serviço:> de Domínio do <

Nome da Estação de Trabalho: <Nome do Computador>

Estado: <código de erro>

Este evento é gerado sempre que o Netlogon encontrou um erro inesperado durante um pedido de início de sessão da Permissão de Rede. Este evento é registado quando AuditKerberosTicketLogonEvents está definido como (1) ou superior.

Registo de Eventos

Sistema

Tipo de Evento

Aviso

Origem do Evento

Netlogon

ID de Evento

5843

Texto do Evento

O serviço Netlogon não conseguiu reencaminhar um pedido de Início de Sessão de Permissão de Rede Kerberos para o Controlador de Domínio <DC>. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2261497.

Conta de Pedido de Serviço: <conta>

Domínio da Permissão de Serviço:> de Domínio do <

Nome da Estação de Trabalho: <Nome do Computador>

Este evento é gerado sempre que o Netlogon não conseguiu concluir o Início de Sessão da Permissão de Rede porque um Controlador de Domínio não compreendeu as alterações. Devido a limitações no protocolo Netlogon, o cliente Netlogon não consegue determinar se o Controlador de Domínio com o qual o cliente Netlogon está a falar diretamente é aquele que não compreende as alterações ou se é um Controlador de Domínio ao longo da cadeia de reencaminhamento que não compreende as alterações.

  • Se o Domínio da Permissão de Serviço for o mesmo que o domínio da conta de computador, é provável que o Controlador de Domínio no registo de eventos não compreenda o fluxo de início de sessão da Permissão de Rede.

  • Se o Domínio da Permissão de Serviço for diferente do domínio da conta do computador, um dos controladores de domínio ao longo do caminho desde o Domínio da Conta do Computador até ao Domínio da Conta de Serviço não compreendeu o fluxo de Início de Sessão da Permissão de Rede

Este evento está desativado por predefinição. A Microsoft recomenda que os utilizadores atualizem primeiro toda a frota antes de ativarem o evento.

Este evento é registado quando AuditKerberosTicketLogonEvents está definido como (2).

Perguntas Mais Frequentes (FAQ)

Um Controlador de Domínio que não esteja atualizado não reconhecerá esta nova estrutura de pedidos. Isto fará com que a verificação de segurança falhe. No modo de compatibilidade, será utilizada a estrutura de pedidos antiga. Este cenário continua vulnerável ao CVE-2024-26248 e ao CVE-2024-29056.

Sim. Isto deve-se ao facto de o novo fluxo de Início de Sessão da Permissão de Rede ter de ser encaminhado entre domínios para chegar ao domínio da conta de serviço.

A Validação do PAC pode ser ignorada em determinadas circunstâncias, incluindo, mas não se limitando a, os seguintes cenários:

  • Se o serviço tiver privilégio tCB. Geralmente, os serviços em execução no contexto da conta SYSTEM (como Partilhas de Ficheiros SMB ou servidores LDAP) têm este privilégio.

  • Se o serviço for executado a partir do Programador de Tarefas.

Caso contrário, a Validação do PAC é efetuada em todos os Fluxos de Autenticação Kerberos de entrada.

Estes CVEs envolvem uma Elevação Local de Privilégios em que uma conta de serviço maliciosa ou comprometida em execução na Estação de Trabalho do Windows tenta elevar o privilégio para obter direitos de Administração local. Isto significa que apenas a Estação de Trabalho do Windows que aceita a Autenticação Kerberos de entrada é afetada.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×