Aplica-se A
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Data de publicação original: 8 de abril de 2025

ID da BDC: 5057784

Alterar data

Alterar descrição

22 de julho de 2025

  • O parágrafo foi atualizado em "Informações da Chave de Registo" na secção "Registo de Definições e Registos de Eventos".Texto original: A seguinte chave de registo permite auditar cenários vulneráveis e, em seguida, impor a alteração assim que os certificados vulneráveis forem resolvidos. A chave de registo não será criada automaticamente. O comportamento do SO quando a chave de registo não está configurada dependerá da fase da implementação em que se encontra.Texto revisto: A seguinte chave de registo permite auditar cenários vulneráveis e, em seguida, impor a alteração assim que os certificados vulneráveis forem resolvidos. A chave de registo não é adicionada automaticamente. Se precisar de alterar o comportamento, tem de criar manualmente a chave de registo e definir o valor de que precisa. Tenha em atenção que o comportamento do SO quando a chave de registo não está configurada dependerá da fase da implementação em que se encontra.

  • Os Comentários foram atualizados em "AllowNtAuthPolicyBypass" na secção "Registo de Definições e Registos de Eventos".Texto original: A definição de registo AllowNtAuthPolicyBypass deve ser configurada em KDCs do Windows, como controladores de domínio que tenham instalado as atualizações do Windows lançadas em ou depois de maio de 2025.Texto revisto: A definição de registo AllowNtAuthPolicyBypass deve ser configurada em KDCs do Windows que tenham instalado as atualizações do Windows lançadas em ou depois de abril de 2025.

9 de maio de 2025

  • Substituiu o termo "conta com privilégios" por "principal de segurança através da autenticação baseada em certificado" na secção "Resumo".

  • Reworded the "Enable" step in the "Take Action" section to clear to use logon certificates issued by authorities that are in the NTAuth store.Texto original:ATIVAR Modo de imposição quando o seu ambiente deixar de utilizar certificados de início de sessão emitidos pelas autoridades que não estão no arquivo NTAuth.

  • Na secção "8 de abril de 2025: Fase de Implementação Inicial – Modo de auditoria", efetuou alterações extensas ao realçar que determinadas condições têm de existir antes de ativar as proteções oferecidas por esta atualização... esta atualização tem de ser aplicada a todos os controladores de domínio E garantir que os certificados de início de sessão emitidos pelas autoridades estão no arquivo NTAuth. Foram adicionados passos para mover para o Modo de imposição e adicionámos uma nota de exceção para atrasar a movimentação quando tem controladores de domínio que servem a autenticação baseada em certificados autoassinada utilizada em vários cenários.Texto original: Para ativar o novo comportamento e proteger-se da vulnerabilidade, tem de garantir que todos os controladores de domínio do Windows são atualizados e que a definição da chave de registo AllowNtAuthPolicyBypass está definida como 2.

  • Foram adicionados conteúdos adicionais às secções "Comentários" das secções "Informações da Chave de Registo" e "Eventos de Auditoria".

  • Foi adicionada uma secção "Problema conhecido".

Neste artigo

Resumo

As atualizações de segurança do Windows lançadas a 8 de abril de 2025 ou depois de 8 de abril de 2025 contêm proteções para uma vulnerabilidade com a autenticação Kerberos. Esta atualização fornece uma alteração de comportamento quando a autoridade emissora do certificado utilizado para a autenticação baseada em certificados (CBA) de um principal de segurança é fidedigna, mas não no arquivo NTAuth, e um mapeamento de Identificador de Chave de Requerente (SKI) está presente no atributo altSecID do principal de segurança através da autenticação baseada em certificados. Para saber mais sobre esta vulnerabilidade, consulte CVE-2025-26647.

Tomar Medidas

Para ajudar a proteger o seu ambiente e evitar falhas, recomendamos os seguintes passos:

  1. ATUALIZE todos os controladores de domínio com uma atualização do Windows lançada a 8 de abril de 2025 ou depois de 8 de abril de 2025.

  2. Monitorize novos eventos que serão visíveis nos controladores de domínio para identificar as autoridades de certificação afetadas.

  3. ATIVAR O modo de imposição após o seu ambiente está agora a utilizar apenas certificados de início de sessão emitidos pelas autoridades que estão no arquivo NTAuth.

atributos altSecID

A tabela seguinte lista todos os atributos de Identificadores de Segurança Alternativos (altSecIDs) e os altSecIDs que são afetados por esta alteração.

Lista de atributos de Certificado que podem ser mapeados para altSecIDs 

AltSecIDs que requerem um certificado correspondente para encadear ao arquivo NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Linha cronológica das alterações

8 de abril de 2025: Fase de Implementação Inicial – Modo de auditoria

A fase de implementação inicial (Modo de auditoria ) começa com as atualizações lançadas a 8 de abril de 2025. Estas atualizações alteram o comportamento que deteta a elevação da vulnerabilidade de privilégio descrita em CVE-2025-26647 , mas não a impõe inicialmente.

No modo de Auditoria , o ID do Evento: 45 será registado no controlador de domínio quando receber um pedido de autenticação Kerberos com um certificado não seguro. O pedido de autenticação será permitido e não são esperados erros de cliente.

Para ativar a alteração de comportamento e proteger-se da vulnerabilidade, tem de garantir que todos os controladores de domínio do Windows são atualizados com uma versão de atualização do Windows em ou depois de 8 de abril de 2025 e que a definição da chave de registo AllowNtAuthPolicyBypass está definida como 2 para configurar o modo de Imposição .

Quando estiver no Modo de imposição, se o controlador de domínio receber um pedido de autenticação Kerberos com um certificado não seguro, registará o ID do Evento legado: 21 e negará o pedido.

Para ativar as proteções oferecidas por esta atualização, siga estes passos:

  1. Aplique a atualização do Windows disponibilizada em ou depois de 8 de abril de 2025 a todos os controladores de domínio no seu ambiente. Depois de aplicar a atualização, a predefinição AllowNtAuthPolicyBypass é 1 (Auditoria) que ativa a verificação NTAuth e os eventos de aviso do Registo de auditoria.IMPORTANTE Se não estiver pronto para continuar a aplicar as proteções oferecidas por esta atualização, defina a chave de registo como 0 para desativar temporariamente esta alteração. Consulte a secção Informações da Chave de Registo para obter mais informações.

  2. Monitorize novos eventos que serão visíveis nos controladores de domínio para identificar as autoridades de certificação afetadas que não fazem parte do arquivo NTAuth. O ID do Evento que precisa de monitorizar é o ID do Evento: 45. Veja a secção Eventos de Auditoria para obter mais informações sobre estes eventos.

  3. Certifique-se de que todos os certificados de cliente são válidos e ligados a uma AC emissora fidedigna no arquivo NTAuth.

  4. Depois de todo o ID do Evento: 45 eventos são resolvidos e, em seguida, pode avançar para o Modo de imposição . Para tal, defina o valor do registo AllowNtAuthPolicyBypass como 2. Consulte a secção Informações da Chave de Registo para obter mais informações.Nota Recomendamos que adie temporariamente a definição allowNtAuthPolicyBypass = 2 até depois de aplicar a atualização do Windows lançada após maio de 2025 aos controladores de domínio que servem a autenticação baseada em certificados autoassinada utilizada em vários cenários. Isto inclui controladores de domínio que o serviço Windows Hello para Empresas a Fidedignidade da Chave e a Autenticação de Chave Pública do Dispositivo associada a um domínio.

Julho de 2025: Imposto por Fase predefinida

Atualizações lançadas em ou depois de julho de 2025 irá impor a verificação NTAuth Store por predefinição. A definição da chave de registo AllowNtAuthPolicyBypass continuará a permitir que os clientes regressem ao modo auditoria , se necessário. No entanto, a capacidade de desativar completamente esta atualização de segurança será removida.

Outubro de 2025: Modo de imposição

Atualizações lançadas em ou depois de outubro de 2025 irá descontinuar o suporte da Microsoft para a chave de registo AllowNtAuthPolicyBypass. Nesta fase, todos os certificados têm de ser emitidos pelas autoridades que fazem parte do arquivo NTAuth. 

Definições de Registo e Registos de Eventos

Informações da Chave do Registo

A seguinte chave de registo permite auditar cenários vulneráveis e, em seguida, impor a alteração assim que os certificados vulneráveis forem resolvidos. A chave de registo não é adicionada automaticamente. Se precisar de alterar o comportamento, tem de criar manualmente a chave de registo e definir o valor de que precisa. Tenha em atenção que o comportamento do SO quando a chave de registo não está configurada dependerá da fase da implementação em que se encontra.

AllowNtAuthPolicyBypass

Subchave de Registo

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Valor

AllowNtAuthPolicyBypass

Tipo de Dados

REG_DWORD

Dados de valor

0

Desativa totalmente a alteração.

1

Efetua o evento de aviso de registo e verificação NTAuth que indica o certificado emitido por uma autoridade que não faz parte do arquivo NTAuth (modo de auditoria). (Comportamento predefinido a partir da versão de 8 de abril de 2025.)

2

Execute a verificação NTAuth e, se falhar, não permita o início de sessão. Registe eventos normais (existentes) para uma falha AS-REQ com um código de erro a indicar que a verificação NTAuth falhou (modo Imposto ).

Comentários

A definição de registo AllowNtAuthPolicyBypass deve ser configurada em KDCs do Windows que tenham instalado as atualizações do Windows lançadas em ou depois de abril de 2025.

Eventos de Auditoria

ID do Evento: 45 | Evento de Auditoria de Verificação do Arquivo de Autenticação NT

Os administradores devem watch para o seguinte evento adicionado pela instalação das atualizações do Windows lançadas a 8 de abril de 2025 ou depois de 8 de abril de 2025. Se existir, implica que um certificado foi emitido por uma autoridade que não faz parte do arquivo NTAuth.

Registo de Eventos

Sistema de Registos

Tipo de Evento

Aviso

Origem do Evento

Kerberos-Key-Distribution-Center

ID de Evento

45

Texto do Evento

O Centro de Distribuição de Chaves (KDC) encontrou um certificado de cliente válido, mas não ligado a uma raiz no arquivo NTAuth. O suporte para certificados que não encadeiem no arquivo NTAuth foi preterido.

O suporte para o encadeamento de certificados em lojas não NTAuth é preterido e inseguro.Consulte https://go.microsoft.com/fwlink/?linkid=2300705 para saber mais.

 Utilizador: <userName>  Requerente do Certificado: <Assunto do Certificado>  Emissor de Certificados:><Emissor de Certificados  Número de Série do Certificado: >de Número de Série do Certificado<  Thumbprint do Certificado: <>CertThumbprint

Comentários

  • As futuras atualizações do Windows irão otimizar o número de controladores de domínio protegidos pelo Evento 45 com sessão iniciada no CVE-2025-26647.

  • Os administradores podem ignorar o registo do evento Kerberos-Key-Distribution-Center 45 nas seguintes circunstâncias:

    • Windows Hello para Empresas (WHfB) inicia sessão em que o requerente e o emissor dos certificados correspondem ao formato: <SID>/<UID>/login.windows.net/<ID do Inquilino>/<>UPN do utilizador

    • Machine Public Key Cryptography for Initial Authentication (PKINIT) logons where the user is a computer account (terminated by a trailing $ character)), the subject and issuer are the same computer, and the serial number is 01.

ID do Evento: 21 | Evento de Falha AS-REQ

Depois de abordar o Evento 45 do Kerberos-Key-Distribution-Center, o registo deste evento legado genérico indica que o certificado de cliente ainda não é fidedigno. Este evento pode ser registado por vários motivos, um dos quais é que um certificado de cliente válido NÃO está ligado a uma AC emissora no arquivo NTAuth.

Registo de Eventos

Sistema de Registos

Tipo de Evento

Aviso

Origem do Evento

Kerberos-Key-Distribution-Center

ID de Evento

21

Texto do Evento

O certificado de cliente do utilizador <Domain\UserName> não é válido e resultou numa falha no início de sessão do smartcard.

Contacte o utilizador para obter mais informações sobre o certificado que está a tentar utilizar para o início de sessão do smart card.

O estado da cadeia era: uma cadeia de certificação processada corretamente, mas um dos certificados de AC não é considerado fidedigno pelo fornecedor de políticas.

Comentários

  • Um ID de Evento: 21 que referencia uma conta de "utilizador" ou "computador" descreve o principal de segurança que inicia a autenticação Kerberos.

  • Windows Hello para Empresas inícios de sessão (WHfB) irão referenciar uma conta de utilizador.

  • A Machine Public Key Cryptography for Initial Authentication (PKINIT) referencia uma conta de computador.

Problema conhecido

Os clientes comunicaram problemas com o ID do Evento: 45 e ID do Evento: 21 acionados pela autenticação baseada em certificado com certificados autoassinados. Para ver mais informações, veja o problema conhecido documentado no estado de funcionamento da versão do Windows:

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade