Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Registo de alterações 

Alteração 1: 5 de abril de 2023: Moveu a fase "Imposição por Predefinição" da chave do registo de 11 de abril de 2023 para 13 de junho de 2023 na secção "Temporização das atualizações para abordar o CVE-2022-38023".

Alteração 2: 20 de abril de 2023: Foi removida uma referência imprecisa ao objeto de política de grupo (GPO) "Domain Controller: Allow vulnerable Netlogon secure channel connections" na secção "Definições da Chave de Registo".

Alteração 3: 19 de junho de 2023:

  • Foi adicionada uma nota "Importante" à secção "Definições da Chave de Registo".

  • Foi adicionada uma "Nota" à secção "Eventos do Windows relacionados com o CVE-2022-38023".

  • Foram adicionadas duas novas perguntas e respostas à secção "Perguntas Mais Frequentes (FAQ)".

Neste artigo

Resumo

As atualizações de 8 de novembro de 2022 e posteriores do Windows abordam as fraquezas no protocolo Netlogon quando a assinatura RPC é utilizada em vez da selagem RPC. Pode encontrar mais informações no CVE-2022-38023 .

A interface de chamada de procedimento remoto (RPC) netlogon Remote Protocol é utilizada principalmente para manter a relação entre um dispositivo e o respetivo domínio e relações entre controladores de domínio (DCs) e domínios.

Esta atualização protege os dispositivos Windows do CVE-2022-38023 por predefinição .  Para clientes de terceiros e controladores de domínio de terceiros, a atualização está no modo de Compatibilidade por predefinição e permite ligações vulneráveis desses clientes. Veja a secção Definições da Chave do Registo para obter os passos para mover para o Modo de imposição.

Para ajudar a proteger o seu ambiente, instale a atualização do Windows que tem a data de 8 de novembro de 2022 ou uma atualização posterior do Windows para todos os dispositivos, incluindo controladores de domínio.

Importante A partir de junho de 2023, o Modo de imposição será ativado em todos os controladores de domínio do Windows e bloqueará as ligações vulneráveis de dispositivos não conformes.  Nessa altura, não poderá desativar a atualização, mas poderá voltar à definição Modo de compatibilidade. O modo de compatibilidade será removido em julho de 2023, conforme descrito na secção Temporização das atualizações para resolver a vulnerabilidade do Netlogon CVE-2022-38023 .

Temporização das atualizações para o endereço CVE-2022-38023

Atualizações será lançada em várias fases: a fase inicial para atualizações lançadas a 8 de novembro de 2022 e a fase de Imposição para atualizações lançadas a 11 de julho de 2023 ou depois de 11 de julho de 2023.

A fase de implementação inicial começa com as atualizações lançadas a 8 de novembro de 2022 e continua com as atualizações posteriores do Windows até à fase de Imposição. As atualizações do Windows em ou depois de 8 de novembro de 2022 resolvem a vulnerabilidade de desativação da segurança do CVE-2022-38023 ao impor a selagem RPC em todos os clientes Windows.

Por predefinição, os dispositivos serão definidos no modo de Compatibilidade. Os controladores de domínio do Windows exigirão que os clientes Netlogon utilizem o selo RPC se estiverem a executar o Windows ou se estiverem a agir como controladores de domínio ou como contas fidedignas.

As atualizações do Windows lançadas a 11 de abril de 2023 ou depois de 11 de abril de 2023 irão remover a capacidade de desativar a selagem RPC ao definir o valor 0 para a subchave do registo RequireSeal .

A subchave do registo RequireSeal será movida para o modo Imposto, a menos que os Administradores configurem explicitamente para estarem no modo de Compatibilidade. As ligações vulneráveis de todos os clientes, incluindo terceiros, serão negadas à autenticação. Consulte Alterar 1.

As atualizações do Windows disponibilizadas a 11 de julho de 2023 irão remover a capacidade de definir o valor 1 para a subchave do registo RequireSeal . Isto permite a fase de Imposição do CVE-2022-38023.

Definições da Chave do Registo

Depois de instaladas as atualizações do Windows datadas de 8 de novembro de 2022 ou posterior, a seguinte subchave de registo está disponível para o protocolo Netlogon em controladores de domínio do Windows.

IMPORTANTE Esta atualização, bem como futuras alterações de imposição, não adicionam ou removem automaticamente a subchave do registo "RequireSeal". Esta subchave de registo tem de ser adicionada manualmente para que seja lida. Consulte Alterar 3.

Subchave RequireSeal

Chave do registo

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor

RequireSeal

Tipo de dados

REG_DWORD

Dados

0 – Desativado

1 – Modo de compatibilidade. Os controladores de domínio do Windows exigirão que os clientes Netlogon utilizem o Selo RPC se estiverem a executar o Windows ou se estiverem a agir como controladores de domínio ou contas Fidedignas.

2 - Modo de imposição. Todos os clientes têm de utilizar o Selo RPC. Consulte Alterar 2.

É necessário reiniciar?

Não

Eventos do Windows relacionados com CVE-2022-38023

NOTA Os eventos seguintes têm uma memória intermédia de 1 hora na qual os eventos duplicados que contêm as mesmas informações são eliminados durante essa memória intermédia.

Registo de Eventos

Sistema

Tipo de Evento

Erro

Origem do Evento

NETLOGON

ID de Evento

5838

Texto do Evento

O serviço Netlogon encontrou um cliente com a assinatura RPC em vez de selagem RPC.

Se encontrar esta mensagem de erro nos registos de eventos, terá de efetuar as seguintes ações para resolver o erro do sistema:

Registo de Eventos

Sistema

Tipo de Evento

Erro

Origem do Evento

NETLOGON

ID de Evento

5839

Texto do Evento

O serviço Netlogon encontrou uma fidedignidade com a assinatura RPC em vez de selagem RPC.

Registo de Eventos

Sistema

Tipo de Evento

Aviso

Origem do Evento

NETLOGON

ID de Evento

5840

Texto do Evento

O serviço Netlogon criou um canal seguro com um cliente com RC4.

Se encontrar o Evento 5840, este é um sinal de que um cliente no seu domínio está a utilizar criptografia fraca.

Registo de Eventos

Sistema

Tipo de Evento

Erro

Origem do Evento

NETLOGON

ID de Evento

5841

Texto do Evento

O serviço Netlogon negou um cliente com RC4 devido à definição "RejectMd5Clients".

Se encontrar o Evento 5841, este é um sinal de que o valor RejectMD5Clients está definido como VERDADEIRO .

A chave RejectMD5Clients é uma chave pré-existente no serviço Netlogon. Para obter mais informações, veja a descrição RejectMD5Clients do Modelo de Dados Abstrato.

Perguntas Mais Frequentes (FAQ)

Todas as contas de computador associadas a um domínio são afetadas por este CVE. Os eventos mostrarão quem é o mais afetado por este problema após a instalação das atualizações do Windows de 8 de novembro de 2022 ou posteriores. Veja a secção Erros do Registo de Eventos para resolver os problemas.

Para ajudar a detetar clientes mais antigos que não estão a utilizar a cripto mais forte disponível, esta atualização apresenta registos de eventos para clientes que estão a utilizar o RC4.

A assinatura RPC ocorre quando o protocolo Netlogon utiliza RPC para assinar as mensagens que envia através do fio. A vedação RPC ocorre quando o protocolo Netlogon assina e encripta as mensagens que envia através do fio.

O Controlador de Domínio do Windows determina se um cliente Netlogon está a executar o Windows ao consultar o atributo "OperatingSystem" no Active Directory para o cliente Netlogon e ao verificar as seguintes cadeias:

  • "Windows", "Hyper-V Server" e "Azure Stack HCI"

Não recomendamos nem suportamos que este atributo seja alterado por clientes netlogon ou administradores de domínio para um valor que não seja representativo do sistema operativo (SO) que o cliente Netlogon está a executar. Deve estar ciente de que podemos alterar os critérios de pesquisa em qualquer altura. Consulte Alterar 3.

A fase de imposição não rejeita os clientes Netlogon com base no tipo de encriptação que os clientes utilizam. Só rejeitará os clientes Netlogon se assinarem RPC em vez de Selagem RPC. A rejeição de clientes Netlogon RC4 baseia-se na chave de registo "RejectMd5Clients" disponível para o Windows Server 2008 R2 e controladores de domínio do Windows posteriores. A fase de imposição desta atualização não altera o valor "RejectMd5Clients". Recomendamos que os clientes ativem o valor "RejectMd5Clients" para uma maior segurança nos seus domínios. Consulte Alterar 3.

Glossário

A Norma de Encriptação Avançada (AES) é uma cifra de bloco que substitui a Norma de Encriptação de Dados (DES). A AES pode ser utilizada para proteger dados eletrónicos. O algoritmo AES pode ser utilizado para encriptar (encifra) e desencriptar (decifrar) informações. A encriptação converte dados num formulário ininteligível denominado cifratext; A desencriptação do texto cifra converte os dados novamente na sua forma original, denominada texto simples. A AES é utilizada na criptografia de chave simétrica, o que significa que a mesma chave é utilizada para as operações de encriptação e desencriptação. É também uma cifra de bloco, o que significa que opera em blocos de tamanho fixo de texto simples e cifratexto, e requer o tamanho do texto simples, bem como o texto cifrado para ser um múltiplo exato deste tamanho de bloco. O AES também é conhecido como o algoritmo de encriptação simétrica Rijndael [FIPS197] .

Num ambiente de segurança de rede compatível com o sistema operativo Windows NT, o componente responsável pelas funções de sincronização e manutenção entre um controlador de domínio primário (PDC) e controladores de domínio de cópia de segurança (BDC). O Netlogon é um precursor do protocolo de servidor de replicação de diretórios (DRS). A interface de chamada de procedimento remoto (RPC) netlogon Remote Protocol é utilizada principalmente para manter a relação entre um dispositivo e o respetivo domínio e relações entre controladores de domínio (DCs) e domínios. Para obter mais informações, veja Netlogon Remote Protocol (Protocolo Remoto Netlogon).

RC4-HMAC (RC4) é um algoritmo de encriptação simétrica de comprimento de chave variável. Para obter mais informações, consulte a secção [SCHNEIER] 17.1.

Uma ligação de chamada de procedimento remoto autenticada (RPC) entre duas máquinas num domínio com um contexto de segurança estabelecido utilizado para assinar e encriptar pacotes RPC .

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.