Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Data da alteração

Descrição

10/24/2024

Texto atualizado para maior clareza no Passo 2 da secção "Tomar medidas", na descrição "Modo de Imposição Completa" da secção "Linha Cronológica para atualizações do Windows" e reviu as informações de data dos tópicos "Chave de Registo do Centro de Distribuição de Chaves (KDC)" e "Chave de Registo de Backdating do Certificado" na secção "Informações da Chave de Registo".

9/10/2024

Alterou a descrição do modo de Imposição Completa na secção "Temporização das atualizações do Windows" para refletir novas datas. A 11 de fevereiro de 2025 irá mover os dispositivos para o Modo de imposição, mas deixará o suporte para voltar ao modo de Compatibilidade. O suporte completo da chave de registo terminará a 10 de setembro de 2025.

7/5/2024

Foram adicionadas informações sobre a Extensão SID à chave de registo do Centro de Distribuição de Chaves (KDC) na secção "Informações da chave de registo".

10/10/2023

Foram adicionadas informações sobre as Alterações Predefinidas de Mapeamentos Fortes em "Linha Cronológica do Windows Atualizações"

6/30/2023

Data de modo de Imposição Completa alterada de 14 de novembro de 2023 para 11 de fevereiro de 2025 (estas datas foram anteriormente listadas como 19 de maio de 2023 para 14 de novembro de 2023).

1/26/2023

Remoção do modo Desativado de 14 de fevereiro de 2023 para 11 de abril de 2023

Resumo

CVE-2022-34691,CVE-2022-26931 e CVE-2022-26923 resolvem uma elevação de vulnerabilidade de privilégio que pode ocorrer quando o Centro de Distribuição de Chaves Kerberos (KDC) está a servir um pedido de autenticação baseado em certificado. Antes da atualização de segurança de 10 de maio de 2022, a autenticação baseada em certificado não contabilizava um cifrão ($) no final de um nome de computador. Isto permitiu que os certificados relacionados fossem emulados (falsificados) de várias formas. Além disso, os conflitos entre os Nomes Principais de Utilizador (UPN) e sAMAccountName introduziram outras vulnerabilidades de emulação (spoofing) que também resolvemos com esta atualização de segurança. 

Tome medidas

Para proteger o seu ambiente, conclua os seguintes passos para a autenticação baseada em certificados:

  1. Atualize todos os servidores que executam os Serviços de Certificados do Active Directory e os controladores de domínio do Windows que servem a autenticação baseada em certificados com a atualização de 10 de maio de 2022 (consulte o modo de Compatibilidade). A atualização de 10 de maio de 2022 irá fornecer eventos de auditoria que identificam certificados que não são compatíveis com o modo de Imposição Completa.

  2. Se não forem criados registos de eventos de auditoria em controladores de domínio durante um mês após a instalação da atualização, prossiga com a ativação do modo de Imposição Completa em todos os controladores de domínio. Até fevereiro de 2025, se a chave de registo StrongCertificateBindingEnforcement não estiver configurada, os controladores de domínio serão movidos para o modo de Imposição Completa. Caso contrário, a definição do modo de Compatibilidade das chaves de registo continuará a ser respeitada. No modo de Imposição Completa, se um certificado falhar com os critérios de mapeamento fortes (seguros) (veja Mapeamentos de certificados), a autenticação será negada. No entanto, a opção para voltar ao modo de Compatibilidade permanecerá até setembro de 2025. ​​​​​​​

Eventos de auditoria

A atualização do Windows de 10 de maio de 2022 adiciona os seguintes registos de eventos.

Não foi possível localizar mapeamentos de certificados fortes e o certificado não tinha a nova extensão de identificador de segurança (SID) que o KDC poderia validar.

Log de Eventos

Sistema

Tipo de Evento

Aviso se o KDC estiver no modo de Compatibilidade

Erro se o KDC estiver no modo de Imposição

Origem do evento

Kdcsvc

ID de Evento

39

41 (Para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2)

Texto do Evento

O Centro de Distribuição de Chaves (KDC) encontrou um certificado de utilizador que era válido, mas que não podia ser mapeado a um utilizador de forma segura (por exemplo, através de mapeamento explícito, mapeamento de fidedignidade de chave ou um SID). Esses certificados devem ser substituídos ou mapeados diretamente para o utilizador através do mapeamento explícito. Veja https://go.microsoft.com/fwlink/?linkid=2189925 para saber mais.

Utilizador: <nome principal>

Requerente do Certificado: <nome do Requerente no> de Certificado

Emissor de Certificados: <Nome de Domínio Completamente Qualificado (FQDN) >

Número de Série do Certificado: <Número de Série de> de Certificado

Thumbprint do Certificado: <Thumbprint do Certificado>

O certificado foi emitido para o utilizador antes de o utilizador existir no Active Directory e não foi possível encontrar um mapeamento forte. Este evento só é registado quando o KDC está no modo de Compatibilidade.

Log de Eventos

Sistema

Tipo de Evento

Erro

Origem do evento

Kdcsvc

ID de Evento

40

48 (Para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2

Texto do Evento

O Centro de Distribuição de Chaves (KDC) encontrou um certificado de utilizador que era válido, mas que não podia ser mapeado a um utilizador de forma segura (por exemplo, através de mapeamento explícito, mapeamento de fidedignidade de chave ou um SID). O certificado também antecedeu o utilizador ao qual mapeou, pelo que foi rejeitado. Veja https://go.microsoft.com/fwlink/?linkid=2189925 para saber mais.

Utilizador: <nome principal>

Requerente do Certificado: <nome do Requerente no> de Certificado

Emissor de Certificados:> do FQDN do Emissor de <

Número de Série do Certificado: <Número de Série de> de Certificado

Thumbprint do Certificado: <Thumbprint do Certificado>

Hora de Emissão de Certificados: <FILETIME do certificado>

Hora de Criação da Conta: <FILETIME do objeto principal no AD>

O SID contido na nova extensão do certificado de utilizadores não corresponde ao SID dos utilizadores, o que implica que o certificado foi emitido para outro utilizador.

Log de Eventos

Sistema

Tipo de Evento

Erro

Origem do evento

Kdcsvc

ID de Evento

41

49 (Para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2)

Texto do Evento

O Centro de Distribuição de Chaves (KDC) encontrou um certificado de utilizador que era válido, mas continha um SID diferente do utilizador para o qual mapeou. Como resultado, o pedido que envolve o certificado falhou. Veja https://go.microsoft.cm/fwlink/?linkid=2189925 para saber mais.

Utilizador: <nome principal>

SID do Utilizador: <SID do principal de autenticação>

Requerente do Certificado: <nome do Requerente no> de Certificado

Emissor de Certificados:> do FQDN do Emissor de <

Número de Série do Certificado: <Número de Série de> de Certificado

Thumbprint do Certificado: <Thumbprint do Certificado>

SID do Certificado: <SID encontrado na nova Extensão de Certificado>

Mapeamentos de certificados

Os administradores de domínio podem mapear manualmente certificados para um utilizador no Active Directory com o atributo altSecurityIdentities do Objeto de utilizadores. Existem seis valores suportados para este atributo, com três mapeamentos considerados fracos (inseguros) e os outros três considerados fortes. Em geral, os tipos de mapeamento são considerados fortes se forem baseados em identificadores que não pode reutilizar. Por conseguinte, todos os tipos de mapeamento baseados em nomes de utilizador e endereços de e-mail são considerados fracos.

Mapeamento

Exemplo

Tipo

Comentários

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Fraco

X509SubjectOnly

"X509:<S>SubjectName"

Fraco

X509RFC822

"X509:<RFC822>user@contoso.com"

Fraco

Endereço de email

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Forte

Recomendado

X509SKI

"X509:<SKI>123456789abcdef"

Forte

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Forte

Se os clientes não conseguirem reeditar certificados com a nova extensão sid, recomendamos que crie um mapeamento manual com um dos mapeamentos fortes descritos acima. Pode fazê-lo ao adicionar a cadeia de mapeamento adequada a um atributo altSecurityIdentities dos utilizadores no Active Directory.

Observação Determinados campos, como Emissor, Assunto e Número de Série, são comunicados num formato "reencaminhar". Tem de inverter este formato quando adicionar a cadeia de mapeamento ao atributo altSecurityIdentities . Por exemplo, para adicionar o mapeamento X509IssuerSerialNumber a um utilizador, pesquise os campos "Emissor" e "Número de Série" do certificado que pretende mapear para o utilizador. Veja o resultado de exemplo abaixo.

  • Emissor: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B0000000011AC0000000012

Em seguida, atualize o atributo altSecurityIdentities do utilizador no Active Directory com a seguinte cadeia:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Para atualizar este atributo com o PowerShell, poderá utilizar o comando abaixo. Tenha em atenção que, por predefinição, apenas os administradores de domínio têm permissão para atualizar este atributo.

  • set-aduser 'DomainUser' -substitua @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Tenha em atenção que, quando inverter o SerialNumber, tem de manter a ordem de bytes. Isto significa que reverter o SerialNumber "A1B2C3" deve resultar na cadeia "C3B2A1" e não "3C2B1A". Para obter mais informações, veja HowTo: Mapear um utilizador para um certificado através de todos os métodos disponíveis no atributo altSecurityIdentities.

Linha cronológica das atualizações do Windows

Importante A Fase de Ativação começa com as atualizações de 11 de abril de 2023 para o Windows, que irão ignorar a definição de chave de registo do modo Desativado. 

Depois de instalar as atualizações do Windows de 10 de maio de 2022, os dispositivos estarão no modo de Compatibilidade. Se um certificado puder ser fortemente mapeado para um utilizador, a autenticação ocorrerá conforme esperado. Se um certificado só puder ser mapeado de forma fraca para um utilizador, a autenticação ocorrerá conforme esperado. No entanto, será registada uma mensagem de aviso, a menos que o certificado seja mais antigo do que o utilizador. Se o certificado for mais antigo do que o utilizador e a chave de registo de Backdating de Certificados não estiver presente ou se o intervalo estiver fora da compensação de backdating, a autenticação falhará e será registada uma mensagem de erro.  Se a chave de registo de Backdating do Certificado estiver configurada, registará uma mensagem de aviso no registo de eventos se as datas se enquadrarem na compensação de backdating.

Depois de instalar as atualizações do Windows de 10 de maio de 2022, watch para qualquer mensagem de aviso que possa aparecer após um mês ou mais. Se não existirem mensagens de aviso, recomendamos vivamente que ative o modo de Imposição Total em todos os controladores de domínio através da autenticação baseada em certificados. Pode utilizar a chave de registo KDC para ativar o modo de Imposição Total.

A menos que seja atualizado para o Modo de auditoria ou modo de imposição com a chave de registo StrongCertificateBindingEnforcement anteriormente, os controladores de domínio serão movidos para o modo de Imposição Completa quando a atualização de segurança do Windows de fevereiro de 2025 estiver instalada. A autenticação será negada se não for possível mapear fortemente um certificado. A opção para voltar ao modo de Compatibilidade permanecerá até setembro de 2025. Após esta data, a chave de registo StrongCertificateBindingEnforcement deixará de ser suportada

Se a autenticação baseada em certificado depender de um mapeamento fraco que não pode mover do ambiente, pode colocar controladores de domínio no modo Desativado através de uma definição de chave de registo. A Microsoft não o recomenda e iremos remover o modo Desativado a 11 de abril de 2023.

Depois de instalar as atualizações de 13 de fevereiro de 2024 ou posteriores do Windows no Servidor 2019 e superior e os clientes suportados com a funcionalidade opcional RSAT instalada, o mapeamento de certificados em Utilizadores do Active Directory & Computadores irá, por predefinição, selecionar o mapeamento forte utilizando o X509IssuerSerialNumber em vez de um mapeamento fraco utilizando o X509IssuerSubject. A definição ainda pode ser alterada conforme pretendido.

Solução de problemas

  • Utilize o registo Operacional kerberos no computador relevante para determinar que controlador de domínio está a falhar o início de sessão. Aceda a Visualizador de Eventos > Registos de Aplicações e Serviços\Microsoft \Windows\Security-Kerberos\Operational.

  • Procure eventos relevantes no Registo de Eventos do Sistema no controlador de domínio no qual a conta está a tentar autenticar-se.

  • Se o certificado for mais antigo do que a conta, reedita o certificado ou adicione um mapeamento altSecurityIdentities seguro à conta (veja Mapeamentos de certificados).

  • Se o certificado contiver uma extensão sid, verifique se o SID corresponde à conta.

  • Se o certificado estiver a ser utilizado para autenticar várias contas diferentes, cada conta precisará de um mapeamento altSecurityIdentities separado.

  • Se o certificado não tiver um mapeamento seguro para a conta, adicione um ou deixe o domínio no modo de Compatibilidade até que um possa ser adicionado.

Um exemplo de mapeamento de certificados TLS é a utilização de uma aplicação Web da intranet do IIS.

  • Depois de instalar as proteções CVE-2022-26391 e CVE-2022-26923 , estes cenários utilizam o protocolo Kerberos Certificate Service for User (S4U) para mapeamento e autenticação de certificados por predefinição.

  • No protocolo Kerberos Certificate S4U, o pedido de autenticação flui do servidor da aplicação para o controlador de domínio e não do cliente para o controlador de domínio. Por conseguinte, os eventos relevantes estarão no servidor da aplicação.

Informações da chave do Registro

Depois de instalar as proteções CVE-2022-26931 e CVE-2022-26923 nas atualizações do Windows disponibilizadas entre 10 de maio de 2022 e 10 de setembro de 2025 ou posteriores, estão disponíveis as seguintes chaves de registo.

Esta chave de registo não será suportada após a instalação de atualizações para o Windows lançadas em ou depois de setembro de 2025.

Importante

A utilização desta chave de registo é uma solução temporária para ambientes que a exigem e têm de ser feitas com cuidado. Utilizar esta chave de registo significa o seguinte para o seu ambiente:

  • Esta chave de registo só funciona no modo de Compatibilidade a partir das atualizações disponibilizadas a 10 de maio de 2022.

  • Esta chave de registo não será suportada após a instalação das atualizações para o Windows lançadas a 10 de setembro de 2025.

  • A deteção e validação da Extensão sid utilizada pela Imposição de Enlace de Certificado Forte tem uma dependência no valor da chave de registo KDC UseSubjectAltName . A extensão sid será utilizada se o valor do registo não existir ou se o valor estiver definido para um valor de 0x1. A extensão sid não será utilizada se UseSubjectAltName existir e o valor estiver definido como 0x0.

Subchave do Registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Valor

StrongCertificateBindingEnforcement

Tipo de Dados

REG_DWORD

Dados

1 – Verifica se existe um mapeamento de certificados forte. Se sim, a autenticação é permitida. Caso contrário, o KDC marcar se o certificado tiver a nova extensão sid e validá-la. Se esta extensão não estiver presente, a autenticação é permitida se a conta de utilizador anterior ao certificado.

2 – Verifica se existe um mapeamento de certificados forte. Se sim, a autenticação é permitida. Caso contrário, o KDC marcar se o certificado tiver a nova extensão sid e validá-la. Se esta extensão não estiver presente, a autenticação será negada.

0 – desativa marcar de mapeamento de certificados fortes. Não recomendado porque esta ação irá desativar todos os melhoramentos de segurança.

Se definir esta opção como 0, também tem de definir CertificateMappingMethods para 0x1F conforme descrito na secção chave de registo Schannel abaixo para que a autenticação baseada em certificados do computador seja bem-sucedida..

Reinício Obrigatório?

Não

Quando uma aplicação de servidor requer autenticação de cliente, o Schannel tenta automaticamente mapear o certificado que o cliente TLS fornece a uma conta de utilizador. Pode autenticar os utilizadores que iniciam sessão com um certificado de cliente ao criar mapeamentos que relacionam as informações do certificado com uma conta de utilizador do Windows. Depois de criar e ativar um mapeamento de certificados, sempre que um cliente apresentar um certificado de cliente, a aplicação de servidor associa automaticamente esse utilizador à conta de utilizador do Windows adequada.

O Schannel tentará mapear cada método de mapeamento de certificados que ativou até que um seja bem-sucedido. O Schannel tenta mapear primeiro os mapeamentos Service-For-User-To-Self (S4U2Self). Os mapeamentos de certificados Subject/Issuer, Issuer e UPN são agora considerados fracos e foram desativados por predefinição. A soma de máscara de bits das opções selecionadas determina a lista de métodos de mapeamento de certificados que estão disponíveis.

A predefinição da chave de registo SChannel foi 0x1F e está agora 0x18. Se ocorrer falhas de autenticação com aplicações de servidor baseadas em Schannel, sugerimos que realize um teste. Adicione ou modifique o valor da chave de registo CertificateMappingMethods no controlador de domínio e defina-o como 0x1F e veja se isso resolve o problema. Procure nos registos de eventos do Sistema no controlador de domínio quaisquer erros listados neste artigo para obter mais informações. Tenha em atenção que a alteração do valor da chave de registo SChannel novamente para a predefinição anterior (0x1F) irá reverter a utilizar métodos de mapeamento de certificados fracos.

Subchave do Registro

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Valor

CertificateMappingMethods

Tipo de Dados

DWORD

Dados

0x0001 – Mapeamento de certificados do Requerente/Emissor (fraco – Desativado por predefinição)

0x0002 – Mapeamento de certificados do Emissor (fraco – Desativado por predefinição)

0x0004 – mapeamento de certificados UPN (fraco – Desativado por predefinição)

0x0008 - Mapeamento de certificados S4U2Self (forte)

0x0010 – Mapeamento de certificados explícitos S4U2Self (forte)

Reinício Obrigatório?

Não

Para obter recursos e suporte adicionais, veja a secção "Recursos adicionais".

Depois de instalar as atualizações que abordam o CVE-2022-26931 e o CVE-2022-26923, a autenticação pode falhar nos casos em que os certificados de utilizador são mais antigos do que a hora de criação dos utilizadores. Esta chave de registo permite a autenticação com êxito quando está a utilizar mapeamentos de certificados fracos no seu ambiente e a hora do certificado é anterior à hora de criação do utilizador dentro de um intervalo definido. Esta chave de registo não afeta utilizadores ou computadores com mapeamentos de certificados fortes, uma vez que a hora do certificado e a hora de criação do utilizador não são verificadas com mapeamentos de certificados fortes. Esta chave de registo não tem qualquer efeito quando StrongCertificateBindingEnforcement está definido como 2.

A utilização desta chave de registo é uma solução temporária para ambientes que a exigem e têm de ser feitas com cuidado. Utilizar esta chave de registo significa o seguinte para o seu ambiente:

  • Esta chave de registo só funciona no modo de Compatibilidade a partir das atualizações disponibilizadas a 10 de maio de 2022. A autenticação será permitida no desvio da compensação de back-endting, mas será registado um aviso de registo de eventos para o enlace fraco.

  • Ativar esta chave de registo permite a autenticação do utilizador quando a hora do certificado é anterior à hora de criação do utilizador num intervalo definido como um mapeamento fraco. Os mapeamentos fracos não serão suportados após a instalação de atualizações para o Windows lançadas em ou depois de setembro de 2025.

Subchave do Registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Valor

CertificateBackdatingCompensation

Tipo de Dados

REG_DWORD

Dados

Valores para solução em anos aproximados:

  • 50 anos: 0x5E0C89C0

  • 25 anos: 0x2EFE0780

  • 10 anos: 0x12CC0300

  • 5 anos: 0x9660180

  • 3 anos: 0x5A39A80

  • 1 ano: 0x1E13380

Observação Se souber a duração dos certificados no seu ambiente, defina esta chave de registo como ligeiramente mais longa do que a duração do certificado.  Se não souber a duração do certificado para o seu ambiente, defina esta chave de registo como 50 anos. A predefinição é de 10 minutos quando esta chave não está presente, o que corresponde aos Serviços de Certificados do Active Directory (ADCS). O valor máximo é 50 anos (0x5E0C89C0).

Esta chave define a diferença de tempo, em segundos, que o Centro de Distribuição de Chaves (KDC) irá ignorar entre o tempo de emissão de um certificado de autenticação e o tempo de criação da conta para contas de utilizador/computador.

Importante Defina esta chave de registo apenas se o seu ambiente o exigir. A utilização desta chave de registo está a desativar um marcar de segurança.

Reinício Obrigatório?

Não

Autoridades de Certificação empresarial

As Autoridades de Certificação empresarial (AC) começarão a adicionar uma nova extensão não crítica com o Identificador de Objeto (OID) (1.3.6.1.4.1.311.25.2) por predefinição em todos os certificados emitidos em relação aos modelos online após instalar a atualização do Windows de 10 de maio de 2022. Pode parar a adição desta extensão ao definir o bit 0x00080000 no valor msPKI-Enrollment-Flag do modelo correspondente.

Execute o seguinte comando certutil para excluir certificados do modelo de utilizador de obter a nova extensão.

  1. Inicie sessão num servidor de Autoridade de Certificação ou num cliente de Windows 10 associado a um domínio com o administrador da empresa ou com as credenciais equivalentes.

  2. Abra uma linha de comandos e escolha Executar como administrador.

  3. Execute certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Desativar a adição desta extensão removerá a proteção fornecida pela nova extensão. Considere fazê-lo apenas após um dos seguintes procedimentos:

  1. Confirme que os certificados correspondentes não são aceitáveis para a Criptografia de Chave Pública para Autenticação Inicial (PKINIT) nas autenticações do Protocolo Kerberos na KDC

  2. Os certificados correspondentes têm outros mapeamentos de certificados fortes configurados

Os ambientes que tenham implementações de AC que não sejam da Microsoft não serão protegidos através da nova extensão sid após a instalação da atualização do Windows de 10 de maio de 2022. Os clientes afetados devem trabalhar com os fornecedores de AC correspondentes para resolver este problema ou devem considerar a utilização de outros mapeamentos de certificados fortes descritos acima.

Para obter recursos e suporte adicionais, veja a secção "Recursos adicionais".

Perguntas frequentes

Não, a renovação não é necessária. A AC será enviada no modo de Compatibilidade. Se você quiser um mapeamento forte usando a extensão ObjectSID, precisará de um novo certificado.

Na atualização do Windows de 11 de fevereiro de 2025, os dispositivos que ainda não estão em Enforcement (StrongCertificateBindingEnforcement registry value está definido como 2), serão movidos para Enforcement. Se a autenticação for negada, você verá a ID do Evento 39 (ou a ID do Evento 41 para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2). Você terá a opção de definir o valor da chave do registro de volta como 1 (modo de compatibilidade) nesta fase.

Na atualização do Windows de 10 de setembro de 2025, o valor do registro StrongCertificateBindingEnforcement não terá mais suporte. ​​​​​​​

Recursos adicionais

Para obter mais informações sobre o mapeamento de certificado do cliente TLS, confira os seguintes artigos:

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.