Comunicado de Segurança da Microsoft 3174644

Suporte atualizado para Troca de Chaves Diffie-Hellman

Publicado em: 13 de setembro de 2016

Versão: 1.0

Sinopse

A Microsoft está fornecendo suporte atualizado para habilitar os administradores a configurar compartilhamentos de chaves DHE (Diffie-Hellman efêmeros) mais longos para servidores TLS. O suporte atualizado permite que os administradores aumentem o tamanho de um módulo DH do padrão de atual de 1024 para 2048, 3072 ou 4096.

Observação: Todas as versões do Windows 10 dão suporte a as novas configurações do módulo DH e usam 2048 como a configuração padrão do módulo DH.

Qual é o escopo do comunicado? 
O objetivo deste comunicado é informar os clientes de que Microsoft está fornecendo suporte atualizado para habilitar os administradores a configurar compartilhamentos de chaves DHE (Diffie-Hellman efêmeros) mais longos para servidores TLS.

O que o suporte atualizado para compartilhamentos de chaves de DHE fornece? 
O tamanho atual do módulo na implementação de troca de chaves DHE é de 1024 bits. Este suporte atualizado habilita os administradores a configurar um tamanho de módulo de 2048, 3072 ou 4096.

Trata-se de uma vulnerabilidade de segurança que requer a publicação de uma atualização pela Microsoft? 
Não. No entanto, habilitar os administradores a configurar compartilhamentos de chaves DHE mais longos pode aumentar a segurança para os servidores TLS que eles gerenciam.

Por que a Microsoft está habilitando os administradores a configurar compartilhamentos de chaves DHE mais longos para servidores TLS? 
Habilitar os administradores a configurar compartilhamentos de chaves DHE mais longos para servidores TLS facilitará a implementação dos grupos 14, 15 e 16 (RFC3526) que correspondem a 2048, 3072 e 4096 como o padrão mínimo de segurança padrão em servidores TLS.

Os administradores podem alterar o tamanho do módulo adicionando o valor da chave do Registro no procedimento a seguir. Se o valor da chave estiver ausente, o padrão do módulo permanecerá como 1024 bits. O exemplo a seguir define o tamanho do módulo como 2048 bits. Os valores de chave válidos são decimais: 1024, 2048, 3072 e 4096.

Para alterar o tamanho padrão do módulo:

Aviso A utilização incorreta do Editor do Registro é capaz de provocar problemas graves que poderão forçar a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.

  1. Abra o Editor do Registro.
  2. Acesse o seguinte local do Registro:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
    
  3. Atualize o seguinte valor DWORD para:
    "ServerMinKeyBitLength"=dword:00000800
    

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte o Centro de Segurança e Proteção Microsoft.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se você não sabe ao certo se o seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se atualizações automáticas estiverem habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (13 de setembro de 2016): Comunicado publicado.
Página gerada em 07/09/2016 às 09:16-07:00.
Mostrar: