Alterar data |
Descrição |
---|---|
9/10/2024 |
Alterou a descrição do modo de Imposição Completa na secção "Temporização das atualizações do Windows" para refletir novas datas. A 11 de fevereiro de 2025 irá mover os dispositivos para o Modo de imposição, mas deixará o suporte para voltar ao modo de Compatibilidade. O suporte completo da chave de registo terminará a 10 de setembro de 2025. |
7/5/2024 |
Foram adicionadas informações sobre a Extensão SID à chave de registo do Centro de Distribuição de Chaves (KDC) na secção "Informações da chave de registo". |
10/10/2023 |
Foram adicionadas informações sobre as Alterações Predefinidas de Mapeamentos Fortes em "Linha Cronológica do Windows Atualizações" |
6/30/2023 |
Data de modo de Imposição Completa alterada de 14 de novembro de 2023 para 11 de fevereiro de 2025 (estas datas foram anteriormente listadas como 19 de maio de 2023 para 14 de novembro de 2023). |
1/26/2023 |
Remoção do modo Desativado de 14 de fevereiro de 2023 para 11 de abril de 2023 |
Resumo
CVE-2022-34691,CVE-2022-26931 e CVE-2022-26923 resolvem uma elevação de vulnerabilidade de privilégio que pode ocorrer quando o Centro de Distribuição de Chaves Kerberos (KDC) está a servir um pedido de autenticação baseado em certificado. Antes da atualização de segurança de 10 de maio de 2022, a autenticação baseada em certificado não contabilizava um cifrão ($) no final de um nome de computador. Isto permitiu que os certificados relacionados fossem emulados (falsificados) de várias formas. Além disso, os conflitos entre os Nomes Principais de Utilizador (UPN) e sAMAccountName introduziram outras vulnerabilidades de emulação (spoofing) que também resolvemos com esta atualização de segurança.
Tomar medidas
Para proteger o seu ambiente, conclua os seguintes passos para a autenticação baseada em certificados:
-
Atualize todos os servidores que executam os Serviços de Certificados do Active Directory e os controladores de domínio do Windows que servem a autenticação baseada em certificados com a atualização de 10 de maio de 2022 (consulte o modo de Compatibilidade). A atualização de 10 de maio de 2022 irá fornecer eventos de auditoria que identificam certificados que não são compatíveis com o modo de Imposição Completa.
-
Se não forem criados registos de eventos de auditoria em controladores de domínio durante um mês após a instalação da atualização, prossiga com a ativação do modo de Imposição Completa em todos os controladores de domínio. Até 11 de fevereiro de 2025, todos os dispositivos serão atualizados para o modo de Imposição Completa. Neste modo, se um certificado falhar com os critérios de mapeamento fortes (seguros) (veja Mapeamentos de certificados), a autenticação será negada. No entanto, a opção para voltar ao modo de Compatibilidade permanecerá até 10 de setembro de 2025.
Eventos de auditoria
A atualização do Windows de 10 de maio de 2022 adiciona os seguintes registos de eventos.
Não foi possível localizar mapeamentos de certificados fortes e o certificado não tinha a nova extensão de identificador de segurança (SID) que o KDC poderia validar.
Registo de Eventos |
Sistema |
Tipo de Evento |
Aviso se o KDC estiver no modo de Compatibilidade Erro se o KDC estiver no modo de Imposição |
Origem do Evento |
Kdcsvc |
ID de Evento |
39 41 (Para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2) |
Texto do Evento |
O Centro de Distribuição de Chaves (KDC) encontrou um certificado de utilizador que era válido, mas que não podia ser mapeado a um utilizador de forma segura (por exemplo, através de mapeamento explícito, mapeamento de fidedignidade de chave ou um SID). Esses certificados devem ser substituídos ou mapeados diretamente para o utilizador através do mapeamento explícito. Veja https://go.microsoft.com/fwlink/?linkid=2189925 para saber mais. Utilizador: <nome principal> Requerente do Certificado: <nome do Requerente no> de Certificado Emissor de Certificados: <Nome de Domínio Completamente Qualificado (FQDN) > Número de Série do Certificado: <Número de Série de> de Certificado Thumbprint do Certificado: <Thumbprint do Certificado> |
O certificado foi emitido para o utilizador antes de o utilizador existir no Active Directory e não foi possível encontrar um mapeamento forte. Este evento só é registado quando o KDC está no modo de Compatibilidade.
Registo de Eventos |
Sistema |
Tipo de Evento |
Erro |
Origem do Evento |
Kdcsvc |
ID de Evento |
40 48 (Para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2 |
Texto do Evento |
O Centro de Distribuição de Chaves (KDC) encontrou um certificado de utilizador que era válido, mas que não podia ser mapeado a um utilizador de forma segura (por exemplo, através de mapeamento explícito, mapeamento de fidedignidade de chave ou um SID). O certificado também antecedeu o utilizador ao qual mapeou, pelo que foi rejeitado. Veja https://go.microsoft.com/fwlink/?linkid=2189925 para saber mais. Utilizador: <nome principal> Requerente do Certificado: <nome do Requerente no> de Certificado Emissor de Certificados:> do FQDN do Emissor de < Número de Série do Certificado: <Número de Série de> de Certificado Thumbprint do Certificado: <Thumbprint do Certificado> Hora de Emissão de Certificados: <FILETIME do certificado> Hora de Criação da Conta: <FILETIME do objeto principal no AD> |
O SID contido na nova extensão do certificado de utilizadores não corresponde ao SID dos utilizadores, o que implica que o certificado foi emitido para outro utilizador.
Registo de Eventos |
Sistema |
Tipo de Evento |
Erro |
Origem do Evento |
Kdcsvc |
ID de Evento |
41 49 (Para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2) |
Texto do Evento |
O Centro de Distribuição de Chaves (KDC) encontrou um certificado de utilizador que era válido, mas continha um SID diferente do utilizador para o qual mapeou. Como resultado, o pedido que envolve o certificado falhou. Veja https://go.microsoft.cm/fwlink/?linkid=2189925 para saber mais. Utilizador: <nome principal> SID do Utilizador: <SID do principal de autenticação> Requerente do Certificado: <nome do Requerente no> de Certificado Emissor de Certificados:> do FQDN do Emissor de < Número de Série do Certificado: <Número de Série de> de Certificado Thumbprint do Certificado: <Thumbprint do Certificado> SID do Certificado: <SID encontrado na nova Extensão de Certificado> |
Mapeamentos de certificados
Os administradores de domínio podem mapear manualmente certificados para um utilizador no Active Directory com o atributo altSecurityIdentities do Objeto de utilizadores. Existem seis valores suportados para este atributo, com três mapeamentos considerados fracos (inseguros) e os outros três considerados fortes. Em geral, os tipos de mapeamento são considerados fortes se forem baseados em identificadores que não pode reutilizar. Por conseguinte, todos os tipos de mapeamento baseados em nomes de utilizador e endereços de e-mail são considerados fracos.
Mapeamento |
Exemplo |
Tipo |
Observações |
X509IssuerSubject |
"X509:<I>IssuerName<S>SubjectName" |
Fraco |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Fraco |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Fraco |
Endereço de E-mail |
X509IssuerSerialNumber |
"X509:<I>IssuerName<SR>1234567890" |
Forte |
Recomendações |
X509SKI |
"X509:<SKI>123456789abcdef" |
Forte |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Forte |
Se os clientes não conseguirem reeditar certificados com a nova extensão sid, recomendamos que crie um mapeamento manual com um dos mapeamentos fortes descritos acima. Pode fazê-lo ao adicionar a cadeia de mapeamento adequada a um atributo altSecurityIdentities dos utilizadores no Active Directory.
Nota Determinados campos, como Emissor, Assunto e Número de Série, são comunicados num formato "reencaminhar". Tem de inverter este formato quando adicionar a cadeia de mapeamento ao atributo altSecurityIdentities . Por exemplo, para adicionar o mapeamento X509IssuerSerialNumber a um utilizador, pesquise os campos "Emissor" e "Número de Série" do certificado que pretende mapear para o utilizador. Veja o resultado de exemplo abaixo.
-
Emissor: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
SerialNumber: 2B0000000011AC0000000012
Em seguida, atualize o atributo altSecurityIdentities do utilizador no Active Directory com a seguinte cadeia:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"
Para atualizar este atributo com o PowerShell, poderá utilizar o comando abaixo. Tenha em atenção que, por predefinição, apenas os administradores de domínio têm permissão para atualizar este atributo.
-
set-aduser 'DomainUser' -substitua @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}
Tenha em atenção que, quando inverter o SerialNumber, tem de manter a ordem de bytes. Isto significa que reverter o SerialNumber "A1B2C3" deve resultar na cadeia "C3B2A1" e não "3C2B1A". Para obter mais informações, veja HowTo: Mapear um utilizador para um certificado através de todos os métodos disponíveis no atributo altSecurityIdentities.
Linha cronológica das atualizações do Windows
Importante A Fase de Ativação começa com as atualizações de 11 de abril de 2023 para o Windows, que irão ignorar a definição de chave de registo do modo Desativado.
Depois de instalar as atualizações do Windows de 10 de maio de 2022, os dispositivos estarão no modo de Compatibilidade. Se um certificado puder ser fortemente mapeado para um utilizador, a autenticação ocorrerá conforme esperado. Se um certificado só puder ser mapeado de forma fraca para um utilizador, a autenticação ocorrerá conforme esperado. No entanto, será registada uma mensagem de aviso, a menos que o certificado seja mais antigo do que o utilizador. Se o certificado for mais antigo do que o utilizador e a chave de registo de Backdating de Certificados não estiver presente ou se o intervalo estiver fora da compensação de backdating, a autenticação falhará e será registada uma mensagem de erro. Se a chave de registo de Backdating do Certificado estiver configurada, registará uma mensagem de aviso no registo de eventos se as datas se enquadrarem na compensação de backdating.
Depois de instalar as atualizações do Windows de 10 de maio de 2022, watch para qualquer mensagem de aviso que possa aparecer após um mês ou mais. Se não existirem mensagens de aviso, recomendamos vivamente que ative o modo de Imposição Total em todos os controladores de domínio através da autenticação baseada em certificados. Pode utilizar a chave de registo KDC para ativar o modo de Imposição Total.
A menos que seja atualizado para este modo anteriormente, atualizaremos todos os dispositivos para o modo de Imposição Completa até 11 de fevereiro de 2025 ou posterior. Se um certificado não puder ser mapeado de forma segura, a autenticação será negada. A opção para voltar ao modo de Compatibilidade permanecerá até 10 de setembro de 2025. Após esta data, o valor do registo StrongCertificateBindingEnforcement deixará de ser suportado.
Se a autenticação baseada em certificado depender de um mapeamento fraco que não pode mover do ambiente, pode colocar controladores de domínio no modo Desativado através de uma definição de chave de registo. A Microsoft não o recomenda e iremos remover o modo Desativado a 11 de abril de 2023.
Depois de instalar as atualizações de 13 de fevereiro de 2024 ou posteriores do Windows no Servidor 2019 e superior e os clientes suportados com a funcionalidade opcional RSAT instalada, o mapeamento de certificados em Utilizadores do Active Directory & Computadores irá, por predefinição, selecionar o mapeamento forte utilizando o X509IssuerSerialNumber em vez de um mapeamento fraco utilizando o X509IssuerSubject. A definição ainda pode ser alterada conforme pretendido.
Resolução de Problemas
-
Utilize o registo Operacional kerberos no computador relevante para determinar que controlador de domínio está a falhar o início de sessão. Aceda a Visualizador de Eventos > Registos de Aplicações e Serviços\Microsoft \Windows\Security-Kerberos\Operational.
-
Procure eventos relevantes no Registo de Eventos do Sistema no controlador de domínio no qual a conta está a tentar autenticar-se.
-
Se o certificado for mais antigo do que a conta, reedita o certificado ou adicione um mapeamento altSecurityIdentities seguro à conta (veja Mapeamentos de certificados).
-
Se o certificado contiver uma extensão sid, verifique se o SID corresponde à conta.
-
Se o certificado estiver a ser utilizado para autenticar várias contas diferentes, cada conta precisará de um mapeamento altSecurityIdentities separado.
-
Se o certificado não tiver um mapeamento seguro para a conta, adicione um ou deixe o domínio no modo de Compatibilidade até que um possa ser adicionado.
Um exemplo de mapeamento de certificados TLS é a utilização de uma aplicação Web da intranet do IIS.
-
Depois de instalar as proteções CVE-2022-26391 e CVE-2022-26923 , estes cenários utilizam o protocolo Kerberos Certificate Service for User (S4U) para mapeamento e autenticação de certificados por predefinição.
-
No protocolo Kerberos Certificate S4U, o pedido de autenticação flui do servidor da aplicação para o controlador de domínio e não do cliente para o controlador de domínio. Por conseguinte, os eventos relevantes estarão no servidor da aplicação.
Informações da chave do registo
Depois de instalar as proteções CVE-2022-26931 e CVE-2022-26923 nas atualizações do Windows disponibilizadas entre 10 de maio de 2022 e 10 de setembro de 2025 ou posteriores, estão disponíveis as seguintes chaves de registo.
Esta chave de registo altera o modo de imposição do KDC para Modo desativado, Modo de compatibilidade ou modo de Imposição Completa.
Importante
A utilização desta chave de registo é uma solução temporária para ambientes que a exigem e têm de ser feitas com cuidado. Utilizar esta chave de registo significa o seguinte para o seu ambiente:
-
Esta chave de registo só funciona no modo de Compatibilidade a partir das atualizações disponibilizadas a 10 de maio de 2022.
-
Esta chave de registo não será suportada após a instalação das atualizações para o Windows lançadas a 10 de setembro de 2025.
-
A deteção e validação da Extensão sid utilizada pela Imposição de Enlace de Certificado Forte tem uma dependência no valor da chave de registo KDC UseSubjectAltName . A extensão sid será utilizada se o valor do registo não existir ou se o valor estiver definido para um valor de 0x1. A extensão sid não será utilizada se UseSubjectAltName existir e o valor estiver definido como 0x0.
Subchave de Registo |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Valor |
StrongCertificateBindingEnforcement |
Tipo de Dados |
REG_DWORD |
Dados |
1 – Verifica se existe um mapeamento de certificados forte. Se sim, a autenticação é permitida. Caso contrário, o KDC verificará se o certificado tem a nova extensão sid e validá-la-á. Se esta extensão não estiver presente, a autenticação é permitida se a conta de utilizador anterior ao certificado. 2 – Verifica se existe um mapeamento de certificados forte. Se sim, a autenticação é permitida. Caso contrário, o KDC verificará se o certificado tem a nova extensão sid e validá-la-á. Se esta extensão não estiver presente, a autenticação será negada. 0 – desativa a verificação de mapeamento de certificados forte. Não recomendado porque esta ação irá desativar todos os melhoramentos de segurança. Se definir esta opção como 0, também tem de definir CertificateMappingMethods para 0x1F conforme descrito na secção chave de registo Schannel abaixo para que a autenticação baseada em certificados do computador seja bem-sucedida.. |
Reinício Obrigatório? |
Não |
Quando uma aplicação de servidor requer autenticação de cliente, o Schannel tenta automaticamente mapear o certificado que o cliente TLS fornece a uma conta de utilizador. Pode autenticar os utilizadores que iniciam sessão com um certificado de cliente ao criar mapeamentos que relacionam as informações do certificado com uma conta de utilizador do Windows. Depois de criar e ativar um mapeamento de certificados, sempre que um cliente apresentar um certificado de cliente, a aplicação de servidor associa automaticamente esse utilizador à conta de utilizador do Windows adequada.
O Schannel tentará mapear cada método de mapeamento de certificados que ativou até que um seja bem-sucedido. O Schannel tenta mapear primeiro os mapeamentos Service-For-User-To-Self (S4U2Self). Os mapeamentos de certificados Subject/Issuer, Issuer e UPN são agora considerados fracos e foram desativados por predefinição. A soma de máscara de bits das opções selecionadas determina a lista de métodos de mapeamento de certificados que estão disponíveis.
A predefinição da chave de registo SChannel foi 0x1F e está agora 0x18. Se ocorrer falhas de autenticação com aplicações de servidor baseadas em Schannel, sugerimos que realize um teste. Adicione ou modifique o valor da chave de registo CertificateMappingMethods no controlador de domínio e defina-o como 0x1F e veja se isso resolve o problema. Procure nos registos de eventos do Sistema no controlador de domínio quaisquer erros listados neste artigo para obter mais informações. Tenha em atenção que a alteração do valor da chave de registo SChannel novamente para a predefinição anterior (0x1F) reverterá para a utilização de métodos de mapeamento de certificados fracos.
Subchave de Registo |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Valor |
CertificateMappingMethods |
Tipo de Dados |
DWORD |
Dados |
0x0001 – Mapeamento de certificados do Requerente/Emissor (fraco – Desativado por predefinição) 0x0002 – Mapeamento de certificados do Emissor (fraco – Desativado por predefinição) 0x0004 – mapeamento de certificados UPN (fraco – Desativado por predefinição) 0x0008 - Mapeamento de certificados S4U2Self (forte) 0x0010 – Mapeamento de certificados explícitos S4U2Self (forte) |
Reinício Obrigatório? |
Não |
Para obter recursos e suporte adicionais, veja a secção "Recursos adicionais".
Depois de instalar as atualizações que abordam o CVE-2022-26931 e o CVE-2022-26923, a autenticação pode falhar nos casos em que os certificados de utilizador são mais antigos do que a hora de criação dos utilizadores. Esta chave de registo permite a autenticação com êxito quando está a utilizar mapeamentos de certificados fracos no seu ambiente e a hora do certificado é anterior à hora de criação do utilizador dentro de um intervalo definido. Esta chave de registo não afeta utilizadores ou computadores com mapeamentos de certificados fortes, uma vez que a hora do certificado e a hora de criação do utilizador não são verificadas com mapeamentos de certificados fortes. Esta chave de registo não tem qualquer efeito quando StrongCertificateBindingEnforcement está definido como 2.
A utilização desta chave de registo é uma solução temporária para ambientes que a exigem e têm de ser feitas com cuidado. Utilizar esta chave de registo significa o seguinte para o seu ambiente:
-
Esta chave de registo só funciona no modo de Compatibilidade a partir das atualizações disponibilizadas a 10 de maio de 2022. A autenticação será permitida no desvio da compensação de back-endting, mas será registado um aviso de registo de eventos para o enlace fraco.
-
Ativar esta chave de registo permite a autenticação do utilizador quando a hora do certificado é anterior à hora de criação do utilizador num intervalo definido como um mapeamento fraco. Os mapeamentos fracos não serão suportados após a instalação de atualizações para o Windows lançadas a 10 de setembro de 2025.
Subchave de Registo |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Valor |
CertificateBackdatingCompensation |
Tipo de Dados |
REG_DWORD |
Dados |
Valores para solução em anos aproximados:
Nota Se souber a duração dos certificados no seu ambiente, defina esta chave de registo como ligeiramente mais longa do que a duração do certificado. Se não souber a duração do certificado para o seu ambiente, defina esta chave de registo como 50 anos. A predefinição é de 10 minutos quando esta chave não está presente, o que corresponde aos Serviços de Certificados do Active Directory (ADCS). O valor máximo é 50 anos (0x5E0C89C0). Esta chave define a diferença de tempo, em segundos, que o Centro de Distribuição de Chaves (KDC) irá ignorar entre o tempo de emissão de um certificado de autenticação e o tempo de criação da conta para contas de utilizador/computador. Importante Defina esta chave de registo apenas se o seu ambiente o exigir. A utilização desta chave de registo está a desativar uma verificação de segurança. |
Reinício Obrigatório? |
Não |
Autoridades de Certificação empresarial
As Autoridades de Certificação empresarial (AC) começarão a adicionar uma nova extensão não crítica com o Identificador de Objeto (OID) (1.3.6.1.4.1.311.25.2) por predefinição em todos os certificados emitidos em relação aos modelos online após instalar a atualização do Windows de 10 de maio de 2022. Pode parar a adição desta extensão ao definir o bit 0x00080000 no valor msPKI-Enrollment-Flag do modelo correspondente.
Execute o seguinte comando certutil para excluir certificados do modelo de utilizador de obter a nova extensão.
-
Inicie sessão num servidor de Autoridade de Certificação ou num cliente de Windows 10 associado a um domínio com o administrador da empresa ou com as credenciais equivalentes.
-
Abra uma linha de comandos e escolha Executar como administrador.
-
Execute certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.
Desativar a adição desta extensão removerá a proteção fornecida pela nova extensão. Considere fazê-lo apenas após um dos seguintes procedimentos:
-
Confirme que os certificados correspondentes não são aceitáveis para a Criptografia de Chave Pública para Autenticação Inicial (PKINIT) nas autenticações do Protocolo Kerberos na KDC
-
Os certificados correspondentes têm outros mapeamentos de certificados fortes configurados
Os ambientes que tenham implementações de AC que não sejam da Microsoft não serão protegidos através da nova extensão sid após a instalação da atualização do Windows de 10 de maio de 2022. Os clientes afetados devem trabalhar com os fornecedores de AC correspondentes para resolver este problema ou devem considerar a utilização de outros mapeamentos de certificados fortes descritos acima.
Para obter recursos e suporte adicionais, veja a secção "Recursos adicionais".
Perguntas mais frequentes
Não, a renovação não é necessária. A AC será enviada no modo de Compatibilidade. Se quiser um mapeamento forte com a extensão ObjectSID, precisará de um novo certificado.
Na atualização do Windows de 11 de fevereiro de 2025, os dispositivos que ainda não se encontrem na Imposição (o valor do registo StrongCertificateBindingEnforcement está definido como 2) serão movidos para imposição. Se a autenticação for negada, verá id de evento 39 (ou ID de Evento 41 para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2). Nesta fase, terá a opção de definir o valor da chave de registo como 1 (modo de compatibilidade).
Na atualização do Windows de 10 de setembro de 2025, o valor do registo StrongCertificateBindingEnforcement deixará de ser suportado.
Recursos adicionais
Para obter mais informações sobre o mapeamento de certificados de cliente TLS, veja os seguintes artigos: