Resumo

As atualizações de Windows de 13 de julho Windows e posteriores adicionam proteção para CVE-2021-33757.

Após instalar as atualizações do Windows de 13 de julho de 2021 ou posteriores do Windows, a encriptação Advanced Encryption Standard (AES) será o método preferencial para clientes do Windows ao utilizar o protocolo MS-SAMR legado para operações de palavra-passe se a encriptação AES for suportada pelo servidor SAM. Se a encriptação AES não for suportada pelo servidor SAM, a encriptação RC4 legada será permitida.

As alterações no CVE-20201-33757 são específicas do protocolo MS-SAMR e são independentes de outros protocolos de autenticação. MS-SAMR utiliza SMB sobre RPC e pipes com nome. Apesar de SMB também suportar encriptação, não está ativada por predefinição. Por predefinição, as alterações no CVE-20201-33757 são ativadas e fornecem segurança adicional na camada SAM. Não são necessárias alterações de configuração adicionais para além da instalação das proteções de CVE-20201-33757 incluídas nas atualizações de Windows de 13 de julho de 2021 ou atualizações de Windows posteriores em todas as versões suportadas do Windows. As versões não Windows devem ser descontinuadas ou atualizadas para uma versão suportada.

Nota: oCVE-2021-33757 só modifica a forma como as palavras-passe são encriptadas em trânsito quando utilizam APIs específicas do protocolo MS-SAMR e, especificamente, NÃO modifica a forma como as palavras-passe são armazenadas. Para obter mais informações sobre como as palavras-passe são encriptadas inicialmente no Active Directory e localmente na Base de Dados SAM (registo), consulte o artigo Visão Geral das Palavras-passe.

Mais informações  

O método SamrConnect5 existente é geralmente utilizado para estabelecer uma ligação entre o cliente SAM e o servidor.

Um servidor atualizado irá agora devolver um novo bit na resposta SamrConnect5(), conforme definido no SAMPR_REVISION_INFO_V1

Valor

Significado

0x00000010

No recibo do cliente, este valor, quando definido, indica que o cliente deve utilizar a Encriptação AES com a estrutura do SAMPR_ENCRYPTED_PASSWORD_AES para encriptar memórias de palavra-passe quando enviado por e-mail. Consulte Utilização de Cipher Usage AES (secção 3.2.2.4)e SAMPR_ENCRYPTED_PASSWORD_AES (secção 2.2.6.32).

Se o servidor atualizado suportar AES, o cliente irá utilizar novos métodos e novas classes de informações para operações de palavra-passe. Se o servidor não devolver este sinalizador ou se o cliente não estiver atualizado, o cliente voltará a utilizar métodos anteriores com encriptação RC4.

As operações de Conjunto de Palavras-passe requerem um controlador de domínio (RWDC) de escrita. As alterações de palavra-passe são re encaminhadas pelo Controlador de Domínio Só de Leitura (RODC) para um RWDC. Todos os dispositivos têm de ser atualizados para que o AES seja utilizado. Por exemplo:

  • Se o cliente, RODC ou RWDC não estiver atualizado, será utilizada a encriptação RC4.

  • Se o cliente, o RODC e o RWDC estiverem atualizados, será utilizada a encriptação AES.

As atualizações de 13 de julho de 2021 adicionam quatro novos eventos ao registo do sistema para ajudar a identificar dispositivos que não estão atualizados e ajuda a melhorar a segurança.

  • Estado de configuração O ID do Evento 16982 ou 16983 é registado no arranque ou numa alteração da configuração do registo.ID do Evento 16982

    Registo de eventos

    Sistema

    Origem do evento

    Directory-Services-SAM

    ID do Evento

    16982

    Nível

    Informações

    Texto da mensagem do evento

    O gestor de conta de segurança está agora a registo de eventos verbosos para clientes remotos que chamam alteração de palavra-passe legada ou definem métodos RPC. Esta definição pode causar um grande número de mensagens e só deve ser utilizada durante um curto período de tempo para diagnosticar problemas.

    ID do Evento 16983

    Registo de eventos

    Sistema

    Origem do evento

    Directory-Services-SAM

    ID do Evento

    16983

    Nível

    Informações

    Texto da mensagem do evento

    O gestor de conta de segurança está agora a registo de eventos de resumo periódicos para clientes remotos que chamam alteração de palavra-passe legada ou definem métodos RPC.

  • Após aplicar a atualização de 13 de julho de 2021, um Evento de Resumo 16984 é registrado no registo de eventos do Sistema a cada 60 minutos.ID do Evento 16984

    Registo de eventos

    Sistema

    Origem do evento

    Directory-Services-SAM

    ID do Evento

    16984

    Nível

    Informações

    Texto da mensagem do evento

    O gestor de conta de segurança detetou uma alteração de palavra-passe %x legada ou detetou chamadas de método RPC nos últimos 60 minutos.

  • Após configurar o registo de eventos verboso, o Evento ID 16985 é registrado no registo de eventos do Sistema sempre que um método RPC legado for utilizado para alterar ou definir uma palavra-passe de conta.ID do Evento 16985

    Registo de eventos

    Sistema

    Origem do evento

    Directory-Services-SAM

    ID do Evento

    16985

    Nível

    Informações

    Texto da mensagem do evento

    O gestor de conta de segurança detetou a utilização de uma alteração legada ou a configuração do método RPC a partir de um cliente de rede. Considere atualizar o sistema operativo ou aplicação cliente para utilizar a versão mais recente e mais segura deste método.

    Detalhes:

    Método RPC: %1

    Endereço de Rede do Cliente: %2

    SID do Cliente: %3

    Nome de utilizador: %4 

    Para registar o verboso ID do Evento 16985, altere o seguinte valor de registo no servidor ou controlador de domínio.

    Caminho

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Tipo

    REG_DWORD

    Nome do valor

    AuditLegacyPasswordRpcMethods

    Dados de valor

     1 = registo verboso está ativado

     0 ou não apresentar = o registo verboso está desativado. Eventos de resumo apenas. (Predefinição)

Tal como descrito em SamrUnicodeChangePasswordUser4 (Opnum 73), quando utilizar o novo método SamrUnicodeChangePasswordUser4, o cliente e o servidor utilizarão o Algoritmo PBKDF2 para decifrar uma chave de encriptação e de encriptação da palavra-passe antiga do texto simples. Isto deve-se ao facto de a palavra-passe antiga ser o único segredo comum que é conhecido no servidor e no cliente.  

Para obter mais informações sobre o PBKDF2, consulte Função BCryptDeriveKeyPBKDF2 (bcrypt.h).

Se tiver de fazer uma alteração por motivos de desempenho e de segurança, pode ajustar o número de iterações PBKDF2 utilizadas pelo cliente para alteração da palavra-passe ao definir o seguinte valor de registo no cliente.

Nota: Diminuir o número de iterações PBKDF2 diminuirá a segurança.  Não recomendamos que o número seja diminuido a partir da predefinição. No entanto, recomendamos que utilize o maior número possível de iterações PBKDF2.

Caminho 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Tipo 

REG_DWORD 

Nome do valor 

PBKDF2Iterações 

Dados de valor 

Mínimo de 5 000 a um máximo de 1 000 000

Valor predefinido 

10,000  

Nota: O PBKDF2 não é utilizado para operações do conjunto de palavras-passe. Para operações do conjunto de palavras-passe, a chave de sessão SMB é o segredo partilhado entre o cliente e o servidor e utilizado como base para a identificação de chaves de encriptação. 

Para obter mais informações, consulte Adquirir uma Chave de Sessão SMB.

Perguntas Mais Frequentes (FAQ)

A atualização ocorre quando o servidor ou cliente não suporta AES.   

Os servidores atualizados registarão eventos quando são utilizados métodos legados com o RC4. 

De momento, não existe nenhum modo de imposição disponível, mas poderá estar disponível no futuro. Não temos uma data. 

Se um dispositivo terceiro não estiver a utilizar o protocolo SAMR, isso não é importante. Os fornecedores terceiros que implementem o protocolo MS-SAMR podem optar por implementar esta implementação. Contacte o fornecedor de terceiros se tiver dúvidas. 

Não são necessárias alterações adicionais.  

Este protocolo é legado e prevemos que a sua utilização é muito baixa. As aplicações legadas poderão utilizar estas APIs. Além disso, algumas ferramentas do Active Directory, como o AD Users e Computers MMC, utilizam o SAMR.

Não. Apenas as alterações de palavra-passe que utilizam estas APIs DE SAMR específicas são afetadas.

Sim. O PBKDF2 é mais dispendioso do que o RC4. Se ocorrerem muitas alterações de palavra-passe ao mesmo tempo no controlador de domínio que chama a API SamrUnicodeChangePasswordUser4, o carregamento da CPU do LSASS poderá ser afetado. Pode ajustar as iterações PBKDF2 nos clientes se for necessário, no entanto, não recomendamos que diminua da predefinição, uma vez que esta ação poderia reduzir a segurança.  

Referências

Encriptação Autenticada com AES-CBC e HMAC-SHA

Utilização da Cipher AES

Exclusão de exclusão de informações de terceiros

Fornecemos informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a precisão destas informações de contacto de terceiros.

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.