Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 973811

Proteção estendida para Autenticação

Publicado: terça-feira, 11 de agosto de 2009 | Atualizado: terça-feira, 8 de janeiro de 2013

Versão: 1.14

A Microsoft anuncia a disponibilidade de um novo recurso, a Proteção Estendida para Autenticação, na plataforma Windows. Esse recurso aprimora a proteção e a manipulação de credenciais na autenticação de conexões de rede usando a Autenticação Integrada do Windows (IWA).

A atualização propriamente dita não oferece proteção direta contra ataques específicos, como o encaminhamento de credenciais, mas permite aos aplicativos aceitar a Proteção Estendida para Autenticação. Este comunicado informa os desenvolvedores e administradores de sistema sobre esta nova funcionalidade e como ela pode ser implantada para ajudar a proteger as credenciais de autenticação.

Fatores atenuantes:

  • Os aplicativos que usam assinatura de sessão e criptografia (como chamada de procedimento remoto (RPC) com privacidade e integridade, ou o protocolo SMB com assinatura habilitada) não são afetados pelo encaminhamento de credenciais.

Informações Gerais

Finalidade do comunicado: Este comunicado foi lançado para anunciar aos clientes o lançamento de uma atualização não relacionada à segurança para tornar disponível um novo recurso, a Proteção Estendida para Autenticação, na plataforma Windows.

Status do comunicado: Comunicado publicado.

Recomendação: Avalie as medidas sugeridas e configure da forma apropriada.

ReferênciasIdentificação
Artigo da Microsoft Knowledge Base Artigo 973811 (em inglês) da Microsoft Knowledge Base

Este comunicado anuncia o lançamento deste recurso para as seguintes plataformas:

Softwares afetados
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP para sistemas baseados em x64 Service Pack 2 e Windows XP para sistemas baseados em x64 Service Pack 3
Windows Server 2003 Service Pack 2
Windows Server 2003 para sistemas baseados em x64 Service Pack 2
Windows Server 2003 para sistemas baseados no Itanium e Windows Server 2003 para sistemas baseados no Itanium Service Pack 2
Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista para sistemas baseados em x64, Windows Vista para sistemas baseados em x64 Service Pack 1 e Windows Vista para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados no Itanium e Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
Softwares não afetados
Windows 7 para sistemas de 32 bits
Windows 7 para sistemas baseados em x64
Windows Server 2008 R2 para sistemas baseados em x64
Windows Server 2008 R2 para sistemas baseados no Itanium

Qual é o escopo do comunicado?
A Microsoft lançou este comunicado para anunciar o lançamento de um novo recurso, a Proteção Estendida para Autenticação, como uma atualização para Windows SSPI para ajudar a resolver o encaminhamento de credenciais.

Trata-se de uma vulnerabilidade de segurança que requer a publicação de uma atualização pela Microsoft?
Não, esta não é uma vulnerabilidade de segurança que requer a publicação de uma atualização de segurança pela Microsoft. Este recurso requer a configuração opcional que alguns clientes podem optar por implantar. Este recurso não é apropriado para todos os clientes. Para obter mais informações sobre este recurso e como configurá-lo corretamente, consulte o Artigo 973811 (em inglês) da Microsoft Knowledge Base. Este recurso já está incluído no Windows 7 e no Windows Server 2008 R2.

O que é Proteção Estendida para Autenticação do Windows?
A atualização no Artigo 968389 (em inglês) da Microsoft Knowledge Base modifica a SSPI para aprimorar a maneira como a autenticação do Windows funciona, de maneira que as credenciais não sejam facilmente encaminhadas quando a Autenticação Integrada do Windows (IWA) é ativada.

Quando a Proteção Estendida para Autenticação está ativada, as solicitações de autenticação são limitadas tanto aos Nomes da Entidade do Serviço (SPN) do servidor ao qual o cliente tenta se conectar, quanto ao canal externo por protocolo TLS através do qual a autenticação IWA acontece. Esta é uma atualização básica que permite que os clientes aceitem o novo recurso.

Futuras atualizações modificarão componentes de sistema individuais que executam a autenticação IWA, de modo que os componentes usem esse mecanismo de proteção. Os clientes precisam instalar tanto a atualização do Artigo 968389 (em inglês) da Microsoft Knowledge Base, quanto as respectivas atualizações de segurança para aplicativos cliente e servidores em que for preciso ativar a Proteção Estendida para Autenticação. Na instalação, a Proteção Estendida para Autenticação é controlada no cliente pelo uso de chaves do Registro. No servidor, a configuração é específica ao aplicativo.

Que outras ações a Microsoft está tomando para implementar este recurso?

As alterações precisam ser feitas ao servidor específico e aos aplicativos cliente que usam a Autenticação Integrada do Windows (IWA) para garantir que aceitem essa nova tecnologia de proteção.

As atualizações lançadas pela Microsoft em 11 de agosto de 2009 são:

  • O Artigo 968389 (em inglês) da Microsoft Knowledge Base implementa a Proteção Estendida para Autenticação na Interface do Provedor de Suporte de Segurança do (SSPI). Esta atualização permite que os aplicativos aceitem a Proteção Estendida para Autenticação.
  • O Boletim de Segurança da Microsoft MS09-042 também contém uma atualização de defesa profunda não relacionada à segurança que permite ao cliente e servidor Telnet aceitarem a Proteção Estendida para Autenticação.

A atualização lançada pela Microsoft em 13 de outubro de 2009 é:

As atualizações lançadas pela Microsoft em 8 de dezembro de 2009 são:

As atualizações lançadas pela Microsoft em 8 de junho de 2010 são:

  • O Artigo 982532 da Microsoft Knowledge Base contém uma atualização não relacionada à segurança que permite ao .NET Framework 2.0 Service Pack 2 no Windows Vista Service Pack 1 aceitar a Proteção Estendida para Autenticação.
  • O Artigo 982533 da Microsoft Knowledge Base contém uma atualização não relacionada à segurança que permite ao .NET Framework 2.0 Service Pack 2 no Windows Vista Service Pack 2 aceitar a Proteção Estendida para Autenticação.
  • O Artigo 982535 da Microsoft Knowledge Base contém uma atualização não relacionada à segurança que permite ao .NET Framework 2.0 Service Pack 2 e 3.0 Service Pack 2 no Windows Vista Service Pack 1 aceitar a Proteção Estendida para Autenticação.
  • O Artigo 982536 da Microsoft Knowledge Base contém uma atualização não relacionada à segurança que permite ao .NET Framework 2.0 Service Pack 2 e 3.0 Service Pack 2 no Windows Vista Service Pack 2 aceitar a Proteção Estendida para Autenticação.
  • O Artigo 982167 da Microsoft Knowledge Base contém uma atualização não relacionada à segurança que permite ao .NET Framework 2.0 Service Pack 2 no Windows XP e Windows Server 2003 aceitar a Proteção Estendida para Autenticação.
  • O Artigo 982168 da Microsoft Knowledge Base contém uma atualização não relacionada à segurança que permite ao .NET Framework 2.0 Service Pack 2 e 3.0 Service Pack 2 no Windows XP e Windows Server 2003 aceitar a Proteção Estendida para Autenticação.

A atualização lançada pela Microsoft em 14 de setembro de 2010 é:

A atualização lançada pela Microsoft em 12 de outubro de 2010 é:

A atualização lançada pela Microsoft em 29 de dezembro de 2010 é:

A atualização lançada pela Microsoft em 12 de abril de 2011 é:

As soluções do Microsoft Fix It lançadas pela Microsoft em 8 de janeiro de 2013 são:

  • O artigo 2793313 (em inglês) da Microsoft Knowledge Base contém soluções do Microsoft Fix It que configuram os sistemas Windows XP e Windows Server 2003 para permitir somente NTLMv2. Aplicar estas soluções do Microsoft Fix It ativa as configurações de NTLMv2 necessárias para que os usuários do Windows XP e Windows Server 2003 tirem proveito da Proteção Estendida para Autenticação.

A Microsoft planeja estender a cobertura lançando atualizações futuras que incluirão servidores e clientes de aplicativos adicionais da Microsoft nesses mecanismos de proteção. Este comunicado de segurança será revisado para incluir informações atualizadas quando essas atualizações forem lançadas.

Como os desenvolvedores podem incorporar essa tecnologia de proteção em seus aplicativos?

Os desenvolvedores podem encontrar mais informações sobre como usar a tecnologia de Proteção Estendida para Autenticação no seguinte artigo do MSDN: Integrated Windows Authentication with Extended Protection.

Como habilito este recurso?

No cliente, os clientes precisam implementar as configurações de chave do Registro a seguir.

Instruções detalhadas sobre a ativação desta chave do Registro podem ser encontradas no Artigo 968389 (em inglês) da Microsoft Knowledge Base.

  • Defina a chave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection como 0 para habilitar a tecnologia de proteção. Por padrão, esta chave é definida como 1 na instalação, o que desabilita a proteção.
  • Defina a chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel como 3. Esse não é o padrão no Windows XP e no Windows Server 2003. Esta é uma chave existente que ativa a Autenticação NTLMv2. A Proteção Estendida para Autenticação do Windows só se aplica aos protocolos de autenticação Kerberos e NTLMv2 e não se aplica a NTLMv1.

    Mais informações sobre como impor a autenticação NTLMv2 e esta chave podem ser encontradas no Artigo 239869 (em inglês) da Microsoft Knowledge Base.

No servidor, a Proteção Estendida para Autenticação precisa ser habilitada para cada serviço. A seguinte visão geral mostra como habilitar a Proteção Estendida para Autenticação nos protocolos comuns para os quais ela está disponível:

Telnet (KB960859)

Para Telnet, a Proteção Estendida para Autenticação pode ser habilitada no servidor criando a chave do Registro DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection. O valor padrão desta chave é Legacy (Herdado). Configure a chave com um dos seguintes valores:

  • Legacy (Herdado): quando o valor de DWORD é definido como 0, a Proteção Estendida para Autenticação é desabilitada no servidor e nenhuma conexão, mesmo as de clientes atualizados e corretamente configurados, estará protegida contra ataques de encaminhamento de credenciais.
  • Allow Extended Protection (Permitir Proteção Estendida): quando o valor de DWORD é configurado como 1, o servidor protege os computadores cliente que foram configurados para usar o mecanismo de Proteção Estendida para Autenticação contra ataques de retransmissão de credenciais. Os clientes que não foram atualizados e corretamente configurados não estarão protegidos.
  • Require Extended Protection (Exigir Proteção Estendida): quando o valor de DWORD é configurado como 2, o servidor exigirá o suporte à Proteção Estendida para Autenticação pelos clientes ou recusará a autenticação. Os clientes que não têm a proteção estendida habilitada não serão autenticados no servidor.

Mais informações sobre como criar esta chave de Registro podem ser encontradas no Artigo 960859 (em inglês) da Microsoft Knowledge Base.

Serviços de Informações da Internet (KB973917)

Para os Serviços de Informações da Internet, a Proteção Estendida para Autenticação pode ser habilitada no servidor por meio do uso do gerenciador de configurações do IIS ou da edição direta do arquivo de configuração ApplicationHost.Config. Informações detalhadas sobre como configurar o IIS podem ser encontradas no Artigo 973917 (em inglês) da Microsoft Knowledge Base.

Do que devo estar ciente ao implantar a Proteção Estendida para Autenticação?

Os clientes precisam instalar a atualização contida no Artigo 968389 (em inglês) da Microsoft Knowledge Base, instalar as respectivas atualizações de aplicativo em computadores cliente e servidor e configurar corretamente ambos os computadores para usar o mecanismo de proteção para se protegerem contra ataques de encaminhamento de credenciais.

Quando a Proteção Estendida para Autenticação está habilitada no cliente, está habilitada para todos os aplicativos que usam IWA. No entanto, no servidor ela precisa ser habilitada em cada aplicativo.

Por que essa não é uma atualização de segurança anunciada em um boletim de segurança?
Esta atualização implementa um novo recurso que talvez não seja apropriado habilitar para todos os clientes. Ela fornece um recurso de segurança adicional que os clientes podem optar por instalar, com base em seu cenário específico.

Este é um comunicado de segurança sobre uma atualização não relacionada à segurança. Isso não é uma contradição?
Os comunicados de segurança abordam alterações de segurança para as quais não necessariamente precisam ser emitidos boletins de segurança, mas que ainda podem afetar a segurança geral do cliente. Os comunicados de segurança são uma maneira da Microsoft informar os clientes sobre problemas de segurança que podem não ser classificados como vulnerabilidades e para os quais não necessariamente precisam ser emitidos boletins de segurança. Neste caso, estamos comunicamos a disponibilidade de uma atualização que não trata de uma vulnerabilidade de segurança específica, mas de sua segurança em geral.

Como essa atualização é oferecida?
Essas atualizações estão disponíveis no Centro de Download da Microsoft. Links diretos para as atualizações para softwares afetados específicos estão listados na tabela Softwares afetados na seção Visão geral. Para obter mais informações sobre a atualização e as alterações no comportamento, consulte o Artigo 968389 (em inglês) da Microsoft Knowledge Base.

Essa atualização é distribuída nas Atualizações Automáticas?
Sim. Essas atualizações são distribuídas pelo mecanismo Atualizações Automáticas.

Quais versões do Windows estão associadas a este comunicado?
O recurso abordado neste comunicado está disponível para todas as plataformas listadas no resumo de Softwares afetados. Este recurso está presente em todas as versões do Windows 7 e Windows Server 2008 R2.

A Microsoft está ciente de informações detalhadas e de ferramentas para ataques contra a autenticação de rede NTLMv1 (NT LAN Manager versão 1 e LAN Manager (LM) ?
Sim. A Microsoft está ciente de informações detalhadas e de ferramentas para ataques contra NTLMv1 (NT LAN Manager versão 1) e autenticação de rede do LAN Manager (LM). As melhorias em algoritmos de software e hardware de computador tornaram estes protocolos vulneráveis a ataques amplamente publicados para obter senhas de usuário. As informações e conjuntos de ferramentas disponíveis apontam especificamente ambientes que não impõem a autenticação NTLMv2.

Informações detalhadas sobre Ameaças e contramedidas para segurança de rede do Windows e o nível de autenticação do LAN Manager estão disponíveis no Microsoft Technet no Guia de Ameaças e Contramedidas.

A Microsoft recomenda que os clientes avaliem seus ambientes e mantenham suas configurações de autenticação de rede atualizadas. A Microsoft recomenda que o NTLMv2 seja implementado e que configurações sejam implementados para reduzir ou eliminar o uso da autenticação de rede NTLMv1 e LM.

  • Leia o artigo da Microsoft Knowledge Base associado a este comunicado

    Os clientes interessados em saber mais sobre esse recurso devem consultar o Artigo 973811 (em inglês) da Microsoft Knowledge Base.

  • Aplique e habilite as atualizações não relacionadas à segurança listadas neste comunicado de segurança

    Os clientes devem revisar a lista de atualizações não relacionadas à segurança e de atualizações de segurança que a Microsoft lançou como parte desta atualização de segurança e, onde apropriado, devem implementar e configurar esses mecanismos. A lista de atualizações disponíveis encontra-se na entrada Que outras ações a Microsoft está tomando para implementar este recurso?, na seção Perguntas frequentes deste comunicado.

  • Aplique as soluções do Microsoft Fix It descritas no Artigo 2793313 (em inglês) da Microsoft Knowledge Base

    A Microsoft recomenda que ambientes com Windows XP e Windows Server 2003 permitam apenas NTLMv2. Isso pode ser feito configurando o nível de autenticação do LAN Manager como 3 ou mais alto. Consulte o Artigo 2793313 (em inglês) da Microsoft Knowledge Base para obter mais informações e usar as soluções automatizadas do Microsoft Fix It que configuram esses sistemas para permitir somente NTLMv2. Aplicar estas soluções do Microsoft Fix It também ativa as configurações de NTLMv2 necessárias para que os usuários tirem proveito da Proteção Estendida para Autenticação.

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Os clientes podem aprender mais sobre essas etapas visitando o site Proteja seu Computador.

    Para obter mais informações sobre como ficar protegido na Internet, os clientes devem visitar a Central de Segurança da Microsoft.

  • Mantenha o Windows atualizado

    Todos os usuários do Windows devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estão protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Windows Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se o recurso Atualizações automáticas estiver ativado, as atualizações serão fornecidas quando forem lançadas, mas você precisará instalá-las.

Soluções alternativas

Existem várias soluções alternativas que ajudam a proteger os sistemas contra a reflexão de credenciais ou o encaminhamento de credenciais. A Microsoft testou as seguintes soluções alternativas. Apesar de essas soluções alternativas não corrigirem a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é identificada na seção a seguir.

Habilitar a assinatura de SMB

Habilitar a assinatura de SMB no servidor impede que o invasor acesse o servidor no contexto do usuário conectado. Isso ajuda a proteger contra o encaminhamento de credenciais para o serviço SMB. A Microsoft recomenda usar Diretivas de Grupo para configurar a assinatura de SMB.

Para obter instruções detalhadas sobre como usar as Diretivas de Grupo para habilitar e desabilitar a assinatura de SMB para o Microsoft Windows 2000, Windows XP e Windows Server 2003, consulte o Artigo 887429 (em inglês) da Microsoft Knowledge Base. As instruções contidas no Artigo 887429 (em inglês) da Microsoft Knowledge Base para Windows XP e Windows Server 2003 também se aplicam ao Windows Vista e ao Windows Server 2008.

Impacto da solução alternativa: Usar a assinatura de pacote SMB pode prejudicar o desempenho com o SMBv1 nas transações de serviço de arquivo. Os computadores que têm esse conjunto de diretivas não se comunicarão com os computadores que não têm a assinatura de pacote do lado do cliente habilitada. Para obter mais informações sobre a assinatura de SMB e impactos potenciais, consulte o artigo do MSDN "Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)".

Outras informações

Agradecimentos

A Microsoft agradece às pessoas mencionadas abaixo por trabalhar conosco para ajudar a proteger os clientes:

  • Mark Gamache, da T-Mobile USA, por trabalhar conosco para ajudar a proteger clientes de ataques contra a autenticação de rede NTLMv1 (NT LAN Manager versão 1) e de LAN Manager (LM)

Recursos

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (11 de agosto de 2009): Comunicado publicado.
  • V1.1 (14 de outubro de 2009): As Perguntas frequentes foram atualizadas com informações sobre uma atualização não relacionada à segurança incluída no boletim MS09-054 com relação a WinINET.
  • V1.2 (8 de dezembro de 2009): As Perguntas frequentes foram atualizadas com informações sobre três atualizações não relacionadas à segurança referentes a Windows HTTP Services, Pilha do protocolo HTTP e Serviços de Informações da Internet.
  • V1.3 (9 de março de 2010): Foram atualizadas as Perguntas frequentes para anunciar o relançamento da atualização que permite que os Serviços de Informações da Internet ativem a Proteção Estendida para Autenticação. Para obter mais informações, consulte os problemas conhecidos no Artigo 973917 (em inglês) da Microsoft Knowledge Base.
  • V1.4 (14 de abril de 2010): A seção Ações sugeridas foi atualizada para direcionar os clientes à entrada "Que outras ações a Microsoft está tomando para implementar este recurso?", na seção Perguntas frequentes.
  • V1.5 (8 de junho de 2010): Foram atualizadas as Perguntas frequentes com informações sobre seis atualizações não relacionadas à segurança que permitem ao .NET Framework aceitar a Proteção Estendida para Autenticação.
  • V1.6 (14 de setembro de 2010): As Perguntas frequentes foram atualizadas com informações sobre uma atualização não relacionada à segurança que permite ao Outlook Express e ao Windows Mail aceitar a Proteção Estendida para Autenticação.
  • V1.7 (12 de outubro de 2010): As Perguntas frequentes foram atualizadas com informações sobre uma atualização não relacionada à segurança que permite ao bloco de mensagens de servidor (SMB) do Windows aceitar a Proteção Estendida para Autenticação.
  • V1.8 (14 de dezembro de 2010): As Perguntas frequentes foram atualizadas com informações sobre uma atualização não relacionada à segurança que permite ao Microsoft Outlook aceitar a Proteção Estendida para Autenticação.
  • V1.9 (17 de dezembro de 2010): Removida a entrada das Perguntas frequentes, originalmente adicionada em 14 de dezembro de 2010, sobre uma atualização não relacionada à segurança, fornecendo ao Microsoft Outlook a opção de Proteção Estendida para Autenticação.
  • V1.10 (11 de janeiro de 2011): Atualizadas as Perguntas frequentes com informações sobre o lançamento que fornece ao Portal de serviços do Microsoft Office Live Meeting a opção de Proteção Estendida para Autenticação.
  • V1.11 (12 de janeiro de 2011): Corrigido o link para as notas de lançamento do Portal de Serviços do Microsoft Office Live Meeting nas Perguntas frequentes.
  • V1.12 (12 de abril de 2011): As Perguntas frequentes foram atualizadas com informações sobre uma atualização não relacionada à segurança que permite ao Microsoft Outlook aceitar a Proteção Estendida para Autenticação.
  • V1.13 (31 de outubro de 2012): Foram corrigidos os Fatores atenuantes.
  • V1.14 (8 de janeiro de 2013): Foram atualizadas as Perguntas frequentes e as Ações recomendadas com informações sobre ataques contra a autenticação de rede NTLMv1 (NT LAN Manager 1) e LAN Manager (LM). As soluções do Microsoft Fix It para Windows XP e Windows Server 2003 estão disponíveis para ajudar a proteger contra estes ataques. Aplicar estas soluções do Microsoft Fix It ativa as configurações de NTLMv2 necessárias para que os usuários tirem proveito da Proteção Estendida para Autenticação.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2015 Microsoft