• Artigo

Modelo do MSRC ppDocument

Comunicado de Segurança Microsoft 2871997

Atualização para Melhorar a Proteção e o Gerenciamento de Credenciais

Publicado em: 13 de maio de 2014 | Atualizado em: 9 de fevereiro de 2016

Versão: 5.0

Informações Gerais

Sinopse

A Microsoft está anunciando a disponibilidade de atualizações para edições com suporte do Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 que melhoram a proteção de credenciais e controles de autenticação de domínio para reduzir roubos de credenciais.

Atualizações relacionadas a este comunicado

Recomendação. A Microsoft recomenda que os clientes apliquem essas atualizações imediatamente, usando o software de gerenciamento de atualização, ou procurem atualizações usando o serviço Microsoft Update. As atualizações podem ser instaladas em qualquer ordem.

  • Em 13 de maio de 2014, a Microsoft lançou a atualização 2871997 para edições com suporte do Windows 8, Windows RT, Windows Server 2012, Windows 7 e Windows Server 2008 R2 que melhoram a proteção de credenciais e controles de autenticação de domínio para reduzir roubos de credenciais. Esta atualização fornece proteção adicional para a Local Security Authority (LSA), adiciona um modo de administração restrito para o Credential Security Support Provider (CredSSP), introduz suporte para categoria de usuário com domínio restrito por conta protegida e impõe políticas de autenticação mais rigorosas para máquinas com Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012 como clientes. Para obter mais informações sobre essa atualização, incluindo links para download, consulte o Artigo 2871997 da Base de Dados de Conhecimento Microsoft. |

    Observação

    Edições com suporte do Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 já incluem esses recursos e não precisam da atualização 2871997.

  • Em 8 de julho de 2014, a Microsoft lançou a atualização 2973351 para edições com suporte do Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT e edições com suporte do Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 que têm a atualização 2919355 (Windows 8.1 Update) instalada. A Microsoft lançou a atualização 2975625 para edições com suporte do Windows 8.1 e Windows Server 2012 R2 que não têm a atualização 2919355 (Windows 8.1 Update) instalada. A atualização fornece configurações de registro configuráveis para gerenciar o modo Admin restrito do Credential Security Support Provider (CredSSP). Para obter mais informações sobre essa atualização, incluindo links para download, consulte o Artigo 2973351 da Base de Dados de Conhecimento Microsoft e o Artigo 2975625 da Base de Dados de Conhecimento Microsoft. |

    Observação

    A atualização muda a funcionalidade do modo Admin restrito para Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. Consulte a seção de Perguntas frequentes do comunicado para obter detalhes.

  • Em 9 de setembro de 2014, a Microsoft lançou a atualização 2982378 para edições com suporte do Windows 7 e Windows Server 2008 R2. A atualização oferece proteção adicional para credenciais de usuários ao fazerem logon no sistema do Windows 7 ou Windows Server 2008 R2, garantindo que as credenciais sejam limpas imediatamente em vez de esperar até que um TGT Kerberos (Ticket Granting Ticket) tenha sido obtido. Para obter mais informações sobre essa atualização, incluindo links para download, consulte o Artigo 2982378 da Base de Dados de Conhecimento Microsoft.

     

  • Em 14 de outubro de 2014, a Microsoft lançou as seguintes atualizações. Atualizações aplicáveis adicionam um modo restrito admin para Conexão remota de área de trabalho remota e Protocolo de área de trabalho remota:

    • 2984972 para edições com suporte do Windows 7 e Windows Server 2008 R2

    • 2984976 para edições com suporte do Windows 7 e Windows Server 2008 R2 com atualização 2592687 (atualização do Protocolo de área de trabalho remota [RDP]) 8.0 instalada. Os clientes que instalaram a atualização 2984976 também devem instalar atualização 2984972.

    • 2984981 para edições com suporte do Windows 7 e Windows Server 2008 R2 com atualização 2830477 (atualização da Conexão de área de trabalho remota [RDC]) 8.1 instalada. Os clientes que instalaram a atualização 2984981 também devem instalar atualização 2984972.

    • 2973501 para todas as edições com suporte do Windows 8, Windows Server 2012 e Windows RT.

      Observação

      Edições com suporte do Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 já incluem esse recurso e não precisam da atualização.

  • Em 9 de fevereiro de 2016, a Microsoft lançou a atualização 3126593 para as edições com suporte do Windows 7, do Windows Server 2008 R2, do Windows 8, do Windows RT e do Windows Server 2012. A atualização habilita o modo Administrador Restrito para o Credential Security Support Provider (CredSSP) por padrão. Esse recurso forçará o apagamento de uma sessão de logon de usuário após o logoff. Para saber mais sobre essa atualização, veja o artigo 2973351 da Base de Dados de Conhecimento da Microsoft.

  • V5.0 (9 de fevereiro de 2016): Comunicado relançado para anunciar o lançamento da atualização 3126593 para habilitar o modo Administrador Restrito para o Credential Security Support Provider (CredSSP) por padrão. Consulte Atualizações relacionadas a este comunicado para obter detalhes.

Softwares aplicáveis

Este comunicado descreve o seguinte software:

Sistema operacional
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para Sistemas Service Pack 1 baseados em x64
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64
Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1
Windows 8 para sistemas de 32 bits
Windows 8 para sistemas baseados em x64
Windows 8.1 para sistemas de 32 bits
Windows 8.1 para sistemas baseados em x64
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Opção de instalação Server Core
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core)
Windows Server 2012 (instalação Server Core)
Windows Server 2012 R2 (instalação Server Core)
  Perguntas frequentes do comunicado ---------------------------------- **Qual é o escopo do comunicado?** A finalidade deste comunicado é notificar os clientes de que há atualizações disponíveis para Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 que fornecem mais proteção e gerenciamento de credenciais. **Quais são os principais sistemas que correm riscos de roubo de credenciais?** Ambientes empresariais em que há domínios do Windows implantados são os que correm mais risco. Os servidores correm mais riscos se os administradores permitirem que os usuários façam logon em servidores e executem programas. Entretanto, as práticas recomendadas não recomendam esse procedimento. **Nas atualizações 2973351 e 2975625, há alguma alteração na funcionalidade?** Sim. O comportamento padrão para modo restrito Admin mudou no Windows 8.1 , Windows Server 2012 R2 e Windows RT 8.1. Modo restrito Admin agora fica desabilitado por padrão; se você quiser usar esta funcionalidade, você precisará reativá-la depois de instalar a atualização 2973351 ou 2975625. Anteriormente, modo restrito Admin ficava ativado por padrão. Para obter informações sobre como habilitar modo Admin restrito, consulte o [Artigo 2973351 da Base de Dados de Conhecimento Microsoft](https://support.microsoft.com/pt-br/kb/2973351) ou o [Artigo 2975625 da Base de Dados de Conhecimento Microsoft](https://support.microsoft.com/pt-br/kb/2975625). A atualização 2973351 não muda o comportamento padrão em edições com suporte do Windows 7, Windows Server 2008 R2, Windows 8, Windows 2012 ou Windows RT. O modo Admin restrito fica desabilitado por padrão nesses sistemas operacionais. **As atualizações 2973351 ou 2975625 substituem a atualização 2871997?** Não. A atualização 2871997 é necessária para instalar qualquer atualização, 2973351 ou 2975625. Essas atualizações fornecem configurações de registro configuráveis para o modo Admin restrito, adicionado quando você instalou a atualização 2871997. **Há várias atualizações listadas para o Windows 8.1 e o Windows Server 2012 R2. Eu preciso instalar todas as atualizações?** Não. Dependendo de como o sistema estiver configurado para receber atualizações, somente uma das atualizações para o Windows 8.1 ou Windows Server 2012 R2 poderá ser aplicada. Para sistemas que executam o Windows 8.1 ou o Windows Server 2012 R2: A atualização 2973351 destina-se aos sistemas que já têm a atualização 2919355 (atualização do Windows 8.1) instalada. A atualização 2975625 destina-se aos sistemas sem a atualização 2919355 instalada. A atualização 2975625 está disponível somente para os clientes que gerenciam atualizações usando o Windows Server Update Services (WSUS), o Windows Intune ou o System Center Configuration Manager. **Existem pré-requisitos para a atualização 2973351 para Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1?** Sim. Os clientes que executam o Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1 devem instalar primeiro a atualização 2919355 (Windows 8.1 Update) lançada em abril de 2014 antes de instalar a atualização 2973351. Para obter mais informações sobre esta atualização de pré-requisito, consulte o [Artigo 2919355 (em inglês) da Microsoft Knowledge Base](https://support.microsoft.com/pt-br/kb/2919355). **Devo instalar todas as atualizações de segurança que foram lançadas neste comunicado?** Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seu sistema para obter todos os recursos de proteção de credenciais. **Quais são os cenários de implantação esperados?** Embora essas alterações melhorem a proteção de credenciais em todos os sistemas, elas serão mais úteis em um ambiente empresarial no qual os domínios do Windows são implantados. Algumas dessas alterações dependem dos recursos disponíveis em um domínio baseado em Windows Server 2012 R2 e outras são úteis em todos os ambientes empresariais. **O que é LSASS (Local Security Authority Subsystem Service)?** O LSASS (Local Security Authority Subsystem Service) serve de interface para gerenciamento da segurança local, autenticação de domínio e processos do Active Directory. Ele cuida da autenticação do cliente e do servidor. Ele também dispõe de recursos usados para oferecer suporte a utilitários do Active Directory. **O que é a LSA (Local Security Authority)?** A LSA (Local Security Authority), que reside no processo LSASS (Local Security Authority Subsystem Service), valida os usuários para logins locais e remotos e impõe políticas de segurança local. **O que esta atualização faz?**   Esta atualização aprimora a proteção de credenciais e os controles de autenticação de domínio para reduzir o roubo de credenciais, fazendo melhorias em quatro áreas: - **Modo de admin restrito para CredSSP (Credential Security Support Provider)** Os aplicativos podem ser programados para usar essa alteração para se conectar a um servidor remoto sem transmitir credenciais ao servidor host. Isso impede que suas credenciais sejam capturadas durante o processo de conexão inicial se o servidor tiver sido comprometido. Quando o host verifica que a conta de usuário conectada a ele tem direitos de administrador e é compatível com o modo Admin restrito, a conexão é estabelecida com sucesso. Caso contrário, a tentativa de conexão falha. Em momento algum, o modo Admin restrito envia texto sem formatação nem outras formas reutilizáveis de credenciais a computadores remotos. Duas configurações de chave do registro podem ser definidas para gerenciar o modo Admin restrito. A chave DisableRestrictedAdmin é usada para habilitar ou desabilitar o modo Admin restrito. Se o modo Admin restrito for ativado, DisableRestrictedAdminOutboundCreds será usado para ativar ou desativar a capacidade de um usuário conectado ao sistema por meio da Área de Trabalho Remota com modo Admin restrito de autenticar automaticamente recursos remotos usando a conta da máquina local. - **Limpeza de credencial na LSA**  Este recurso reduz a superfície de ataque de credenciais de domínio na LSA. Alterações para este recurso incluem: impedir o logon na rede e o logon interativo remoto em computadores que ingressaram em um domínio por meio de contas locais, restringir o cache de credencial de logon ao tempo de vida do logon, restringir o cache de credencial fornecido pelo Kerberos/NTLM/Digest/CredSSP, restringir o cache de senha de texto sem formatação do Kerberos, não armazenar a credencial de logon em cache no CredSSP, a menos que a política de Delegação de credenciais permita, e restringir o uso de credencial de logon para o Digest. - **Grupo de segurança de usuários protegidos** Este recurso adiciona suporte ao Grupo de segurança de usuários protegidos que foi introduzido no Windows 8.1 e no Windows Server 2012 R2. Este suporte é aplicável a computadores que ingressaram em um domínio baseado em Windows Server 2012 R2. Os membros do Grupo de usuários protegidos são limitados ainda mais pelos seguintes métodos de autenticação: - Um membro do Grupo de usuários protegidos somente pode efetuar logon usando o protocolo Kerberos. A conta não pode ser autenticada usando NTLM, Autenticação Digest ou CredSSP. Em um dispositivo com Windows 8, as senhas não são armazenadas em cache, portanto, o dispositivo que usa qualquer um desses Provedores de Suporte de Segurança (SSPs) não conseguirá autenticar-se em um domínio quando a conta for membro do Grupo de usuários protegidos. - O protocolo Kerberos não utilizará os tipos mais fracos de criptografia DES ou RC4 no processo de pré-autenticação. Isso significa que o domínio deve ser configurado para suportar, pelo menos, o Pacote de criptografia AES. - A conta de usuário não pode ser delegada com a delegação Kerberos com restrição ou sem restrição. Isso significa que as conexões antigas com outros sistemas podem falhar se o usuário for membro do Grupo de usuários protegidos. - **Modo restrito Admin para Conexão da área de trabalho remota** Este recurso adiciona o suporte para Modo restrito Admin para a Conexão da área de trabalho remota e Protocolo de área de trabalho remota no Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012 que foi introduzido no Windows 8.1 e Windows Server 2012 R2. - Modo restrito Admin permite um método de interativamente fazer logon em um host de servidor remoto sem transmitir suas credenciais para ele. Isso impede que suas credenciais sejam capturadas durante o processo de conexão inicial se o servidor tiver sido comprometido. - Usando este modo com credenciais de administrador, o cliente da área de trabalho remota tenta fazer o logon interativamente em um host que também oferece suporte a esse modo, sem a necessidade de envio credenciais. Quando o host verifica que a conta de usuário conectada a ele tem direitos de administrador e é compatível com o modo Admin restrito, a conexão é estabelecida com sucesso. Caso contrário, a tentativa de conexão falha. Em momento algum, o modo Admin restrito envia texto sem formatação nem outras formas reutilizáveis de credenciais a computadores remotos. - Para obter mais informações, consulte [Novidades nos Serviços da Área de Trabalho Remota no Windows Server](https://technet.microsoft.com/pt-br/library/dn283323.aspx). Outras informações ------------------ ### Microsoft Active Protections Program (MAPP) Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em [Parceiros do Microsoft Active Protections Program (MAPP)](http://technet.microsoft.com/pt-br/security/dn467918). ### Comentários - Você pode fazer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, [Atendimento ao Cliente e Contato](http://support.microsoft.com/kb/?scid=sw;en;1257&=1&=technet&sd=tech). ### Suporte - Os clientes nos EUA e Canadá podem receber suporte técnico do [Suporte de Segurança](https://consumersecuritysupport.microsoft.com/default.aspx?mkt=pt-br). Para obter mais informações, consulte [Ajuda e Suporte da Microsoft](https://support.microsoft.com/pt-br). - Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações, consulte [Suporte internacional](http://support.microsoft.com/common/international.aspx?ln=pt-br). - O [Microsoft TechNet Security](http://technet.microsoft.com/pt-br/security/default.aspx) fornece informações adicionais sobre segurança em produtos da Microsoft. ### Aviso de isenção de responsabilidade As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você. ### Revisões - V1.0 (13 de maio de 2014): Comunicado publicado. - V2.0 (8 de julho de 2014): Foi relançado o comunicado para anunciar o lançamento das atualizações 2973351 e 2919355 para fornecer mais controle sobre as configurações de Admin restrito. Dependendo do software instalado em seu sistema, os clientes devem aplicar qualquer uma, 2973351 ou 2919355, imediatamente. Consulte as **Atualizações relacionadas a este comunicado** e as **Perguntas frequentes do comunicado** para obter detalhes. - V3.0 (9 de setembro de 2014): Comunicado relançado para anunciar o lançamento da atualização 2982378 que fornece proteção adicional para credenciais de usuários ao fazerem logon no sistema Windows 7 ou Windows Server 2008 R2. Consulte **Atualizações relacionadas a este comunicado** para obter detalhes. - V4.0 (14 de outubro de 2014): Comunicado relançado para anunciar atualizações que oferecem proteção adicional às credenciais do usuário quando este faz logon em um host de servidor remoto. Consulte as **Atualizações relacionadas a este comunicado** e as **Perguntas frequentes do comunicado** para obter detalhes. *Página gerada 09/10/2014 15:32Z-07:00.*