Aviso de Segurança da Microsoft 973811

Protecção de Autenticação Alargada

Data de publicação: 11 de agosto de 2009 | Updated: 12 de janeiro de 2011

actualizada: 1.11

A Microsoft anuncia a disponibilidade de uma nova funcionalidade, Protecção de Autenticação Alargada, na plataforma Windows. Esta funcionalidade melhora a protecção e o processamento de credenciais durante a autenticação de ligações de rede utilizando a Autenticação Integrada do Windows (IWA).

A actualização em si não fornece directamente protecção contra ataques específicos, como o reencaminhamento de credenciais, mas permite que as aplicações optem pela Protecção de Autenticação Alargada. Este aviso informa os programadores e administradores de sistema sobre esta nova funcionalidade e sobre como pode ser implementada para ajudar a proteger credenciais de autenticação.

Factores Atenuantes:

  • O Internet Explorer nunca enviará automaticamente credenciais a servidores alojados na zona da Internet. Isto reduz o risco de as credenciais serem reencaminhadas por um intruso dentro desta zona.
  • As aplicações que utilizam assinatura e encriptação de sessão (tal como Chamada de Procedimento Remoto (RPC) com privacidade e integridade, ou bloco de mensagens de servidor (SMB) com assinatura activada) não são afectadas pelo reencaminhamento de credenciais.

Informações Gerais

Objectivo do Aviso: Este aviso foi lançado para anunciar aos clientes a publicação de uma actualização não relacionada com segurança para disponibilizar uma nova funcionalidade, Protecção de Autenticação Alargada, na plataforma Windows.

Estado do Aviso: Aviso publicado.

Recomendação: Verifique e configure as acções sugeridas adequadas.

ReferênciasIdentificação
Artigo da Base de Dados de Conhecimento da Microsoft Artigo 973811 da Base de Dados de Conhecimento da Microsoft

Este aviso anuncia a publicação desta funcionalidade para as seguintes plataformas.

Software Afectado
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP para sistemas baseados em x64 Service Pack 2 e Windows XP para sistemas baseados em x64 Service Pack 3
Windows Server 2003 Service Pack 2
Windows Server 2003 para sistemas baseados em x64 Service Pack 2
Windows Server 2003 para sistemas baseados em Itanium e Windows Server 2003 para sistemas baseados em Itanium Service Pack 2
Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista para sistemas baseados em x64, Windows Vista para sistemas baseados em x64 Service Pack 1 e Windows Vista para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Software Não Afectado
Windows 7 para sistemas de 32 bits
Windows 7 para sistemas baseados em x64
Windows Server 2008 R2 para sistemas baseados em x64
Windows Server 2008 R2 para sistemas baseados em Itanium

Qual é a abrangência deste aviso?
A Microsoft lançou este aviso para anunciar a publicação de uma nova funcionalidade, Protecção de Autenticação Alargada, como uma actualização para o Windows SSPI, para ajudar a resolver a questão de reencaminhamento de credenciais.

Esta é uma vulnerabilidade de segurança que requer que a Microsoft publique uma actualização de segurança?
Não, esta é uma vulnerabilidade não relacionada com segurança que requer que a Microsoft publique uma actualização de segurança. Esta funcionalidade requer uma configuração opcional que alguns clientes podem optar por implementar. A activação desta funcionalidade não é adequada para todos os clientes. Para obter mais informações sobre esta funcionalidade e sobre como a configurar adequadamente, consulte o Artigo 973811 da Base de Dados de Conhecimento da Microsoft. Esta funcionalidade já está incluída no Windows 7 e no Windows Server 2008 R2.

O que é a Protecção de Autenticação Alargada para o Windows?
A actualização no Artigo 968389 da Base de Dados de Conhecimento da Microsoft modifica a SSPI para melhorar o funcionamento da autenticação do Windows para que as credenciais não sejam reencaminhadas com facilidade quando a Autenticação Integrada do Windows (IWA) está activada.

Quando a Protecção de Autenticação Alargada está activada, os pedidos de autenticação estão limitados a ambos os Nomes de Principais de Serviço (SPN) do servidor ao qual o cliente tenta estabelecer uma ligação e ao canal Internet Secure Sockets Layer externo onde ocorre a autenticação IWA. Esta é uma actualização de base que permite às aplicações optarem pela nova funcionalidade.

As futuras actualizações modificarão componentes individuais do sistema que executam autenticação IWA, para que os componentes utilizem este mecanismo de protecção. Os clientes devem instalar a actualização do Artigo 968389 da Base de Dados de Conhecimento da Microsoft e as respectivas actualizações de aplicações específicas para aplicações de cliente e servidores nas quais a Autenticação de Protecção Alargada tem de ser activada. Com a instalação, a autenticação de protecção alargada é controlada no cliente através da utilização de chaves de registo. No servidor, a configuração é específica à aplicação.

Que outras medidas está a Microsoft a tomar para implementar esta funcionalidade?

As alterações devem ser feitas nas aplicações de servidor e cliente específicas que utilizam a Autenticação Integrada do Windows (IWA) para garantir que optam por esta nova tecnologia de protecção.

As actualizações lançadas pela Microsoft no dia 11 de Agosto de 2009 são:

  • OArtigo 968389 da Base de Dados de Conhecimento da Microsoft implementa a Protecção de Autenticação Alargada na Interface do Fornecedor de Suporte de Segurança (SSPI) do Windows. Esta actualização permite que as aplicações optem por Protecção de Autenticação Alargada.
  • O Boletim de Segurança da Microsoft MS09-042 também contém uma actualização defensiva profunda não relacionada com segurança que permite que o cliente e o servidor Telnet optem por Protecção de Autenticação Alargada.

A actualização relançada pela Microsoft a 13 de Outubro de 2009 é:

As actualizações lançadas pela Microsoft no dia 8 de Dezembro de 2009 são:

As actualizações lançadas pela Microsoft no dia 8 de Junho de 2010 são:

A actualização lançada pela Microsoft a 14 de Setembro de 2010 é:

A actualização relançada pela Microsoft a 12 de Outubro de 2010 é:

A actualização lançada pela Microsoft a 29 de Dezembro de 2010 é:

A Microsoft está a planear alargar a cobertura lançando actualizações futuras que incluirão outras aplicações de servidor e cliente da Microsoft nestes mecanismos de protecção. Este aviso de segurança será revisto para conter informações actualizadas quando essas actualizações forem lançadas.

Como podem os programadores incorporar esta tecnologia de protecção nas suas aplicações?

Os programadores podem encontrar mais informações sobre como utilizar a tecnologia de Protecção de Autenticação Alargada no seguinte artigo MSDN, sobre Autenticação Integrada do Windows com Protecção Alargada.

Como activo esta funcionalidade?

No cliente, os clientes devem implementar as seguintes definições de chave de registo.

Pode encontrar instruções detalhadas sobre a activação desta chave de registo no Artigo 968389 da Base de Dados de Conhecimento da Microsoft.

  • Defina a chave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection para 0 para activar a tecnologia de protecção. Por predefinição, esta chave está definida para 1 na instalação, desactivando a protecção.
  • Defina a chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel para 3. Não se trata da predefinição do Windows XP e Windows Server 2003, mas de uma chave existente que activa a autenticação NTLMv2. A protecção alargada para autenticação em Windows aplica-se apenas aos protocolos de autenticação NTLMv2 e Kerberos, não se aplicando ao NTLMv1.

    Pode encontrar mais informações sobre a aplicação da autenticação NTLMv2 e sobre esta chave no Artigo 239869 da Base de Dados de Conhecimento da Microsoft.

No servidor, a Protecção de Autenticação Alargada deve ser activada com base numa utilização por serviço. A seguinte visão geral mostra como activar a Protecção de Autenticação Alargada nos protocolos comuns para os quais está actualmente disponível:

Telnet (KB960859)

Para Telnet, a Protecção de Autenticação Alargada pode ser activada no servidor criando a chave de registo DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection. O valor predefinido desta chave é Legacy. Defina a chave para um dos seguintes valores:

  • Legacy: definindo o valor DWORD para 0, a Protecção de Autenticação Alargada será desactivada no servidor e as ligações não estarão protegidas contra ataques de reencaminhamento de credenciais, nem mesmo clientes correctamente actualizados e configurados.
  • Permitir a protecção alargada: definindo o valor DWORD para 1, o servidor protegerá os computadores cliente configurados para utilizar o mecanismo de Protecção de Autenticação Alargada contra ataques de reencaminhamento de credenciais. Os clientes que não forem correctamente actualizados e configurados não estarão protegidos.
  • Requerer protecção alargada: definindo o valor DWORD para 2, o servidor exigirá que os clientes suportem a Protecção de Autenticação Alargada ou recusarão a autenticação. Os clientes que não têm a protecção alargada activada não se conseguirão autenticar no servidor.

Pode encontrar instruções detalhadas sobre a criação desta chave de registo no Artigo 960859 da Base de Dados de Conhecimento da Microsoft.

Serviços de Informação Internet (KB973917)

Para os Serviços de Informação Internet, a Protecção de Autenticação Alargada pode ser activada no servidor através da utilização do Gestor de Configuração IIS, ou directamente, editando o ficheiro de configuração ApplicationHost.Config. É possível encontrar informações detalhadas sobre como configurar os IIS no Artigo 973917 da Base de Dados de Conhecimento da Microsoft.

O que devo saber quando implementar a Protecção de Autenticação Alargada?

Os clientes devem instalar a actualização contida no Artigo 968389 da Base de Dados de Conhecimento da Microsoft, instalar as respectivas actualizações de aplicações em computadores cliente e servidores e configurar correctamente ambos os computadores de forma a que utilizem o mecanismo de protecção para estarem protegidos contra ataques de reencaminhamento de credenciais de autenticação.

Quando a Protecção de Autenticação Alargada está activada no lado do cliente, é activada em todas as aplicações que utilizam IWA. No entanto, terá de ser activada no servidor com base numa utilização por aplicação.

Por que razão esta não é uma actualização de segurança anunciada num boletim de segurança?  
Esta actualização implementa uma nova funcionalidade cuja activação pode não ser adequada para todos os clientes. Fornece uma funcionalidade de segurança adicional que os clientes podem optar por implementar com base no seu cenário específico.

Este é um aviso de segurança sobre uma actualização não relacionada com segurança. Isto não é contraditório?  
Os avisos de segurança tratam de alterações de segurança que podem não requerer um boletim de segurança, mas podem ainda assim afectar a segurança geral dos sistemas dos clientes. Os avisos de segurança são uma forma de a Microsoft comunicar informações relacionadas com segurança aos clientes, em relação a questões que não podem ser classificadas como vulnerabilidades e podem não requerer um boletim de segurança, ou sobre questões para as quais não foi lançado um boletim de segurança. Neste caso, estamos a comunicar a disponibilidade de uma actualização que não resolve uma vulnerabilidade de segurança específica; em vez disso, visa a segurança em geral.

Como é disponibilizada esta actualização?  
Estas actualizações estão disponíveis no Centro de Transferências da Microsoft. Ligações directas às actualizações para software afectado específico encontram-se listadas na tabela de Software Afectado na secção Visão Geral. Para mais informações sobre a actualização e as alterações no comportamento, consulte o Artigo 968389 da Base de Dados de Conhecimento da Microsoft.

Esta actualização é distribuída através das Actualizações Automáticas?  
Sim. Estas actualizações são distribuídas através do mecanismo de Actualizações Automáticas.

Que versões do Windows estão associadas a este aviso?  
A funcionalidade resolvida neste aviso está a ser disponibilizada para todas as plataformas listadas no resumo de Software Afectado. Esta funcionalidade está presente em todos os lançamentos do Windows 7 e Windows Server 2008 R2.

  • Consulte o artigo da Base de Dados de Conhecimento da Microsoft que está associado a este aviso

    Os clientes que estiverem interessados em saber mais sobre esta funcionalidade devem consultar o Artigo 973811 da Base de Dados de Conhecimento da Microsoft.

  • Aplique e active as actualizações não relacionadas com segurança listadas neste aviso de segurança

    Os clientes devem consultar a lista de actualizações de segurança e não relacionadas com segurança que a Microsoft lançou como parte desta actualização de segurança e, quando apropriado, implementar e configurar estes mecanismos. A lista de actualizações disponíveis pode ser encontrada na entrada Que outras medidas está a Microsoft a tomar para implementar esta funcionalidade? na secção de Perguntas Mais Frequentes deste aviso.

  • Proteja o seu PC

    Continuamos a aconselhar os clientes a seguirem os nossos conselhos para protegerem os seus computadores e activarem uma firewall, aplicarem actualizações de software e instalarem software antivírus. Os clientes poderão saber mais sobre estes passos em Proteja o Seu PC.

  • Para obter mais informações sobre como estar seguro na Internet, os clientes devem visitar o Centro de Segurança da Microsoft.
  • Manter o Windows actualizado

    Todos os utilizadores do Windows devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Windows Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as Actualizações Automáticas activadas, as actualizações ser-lhe-ão entregues quando são lançadas, mas tem de se certificar de que as instala.

Soluções alternativas

Existem diversas soluções alternativas para ajudar a proteger os sistemas contra a reflexão ou o reencaminhamento de credenciais. A Microsoft testou as seguintes soluções alternativas. Embora estas soluções alternativas não corrijam a vulnerabilidade subjacente, elas ajudam a bloquear vectores de ataque conhecidos. Na secção seguinte identificam-se os casos em que uma solução alternativa reduz a funcionalidade.

Activar assinatura SMB

Activar a assinatura SMB no servidor evita que o intruso aceda ao servidor no contexto do utilizador com sessão iniciada. Isto ajuda a proteger contra o reencaminhamento de credenciais para o serviço SMB. A Microsoft recomenda a utilização de Políticas de Grupos para configurar a assinatura SMB.

Para obter instruções detalhadas sobre a utilização de Políticas de Grupos para activar e desactivar a assinatura SMB para o Microsoft Windows 2000, Windows XP e Windows Server 2003, consulte o Artigo 887429 da Base de Dados de Conhecimento da Microsoft. As instruções no Artigo 887429 da Base de Dados de Conhecimento da Microsoft para o Windows XP e Windows Server 2003 também se aplicam ao Windows Vista e Windows Server 2008.

Impacto da Solução Alternativa: Com o SMBv1, a utilização da assinatura de pacotes SMB pode diminuir o desempenho das transacções de serviços de ficheiros. Os computadores que tenham esta política definida não irão comunicar com computadores que não tenham a assinatura de pacotes do lado do cliente activada. Para obter mais informações sobre a assinatura SMB e potenciais impactos, consulte o artigo MSDN, "Microsoft network server: Digitally sign communications (always)".

Outras informações

Recursos:

Exclusão de garantia:

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • V1.0 (11 de Agosto de 2009): Aviso publicado.
  • V1.1 (14 de Outubro de 2009): Actualizada a secção de Perguntas Mais Frequentes com informações sobre uma actualização não relacionada com segurança incluída no boletim MS09-054 relacionado com o WinINET.
  • V1.2 (8 de Dezembro de 2009): Actualizada a secção de Perguntas Mais Frequentes com informações sobre três actualizações não relacionadas com segurança referentes aos Serviços HTTP do Windows, à Pilha de Protocolos HTTP e aos Serviços de Informação Internet.
  • V1.3 (9 de Março de 2010): Actualização da secção de Perguntas Mais Frequentes para anunciar o relançamento da actualização que permite ao Internet Information Services optar pela Protecção de Autenticação Alargada. Para obter mais informações, consulte Questões conhecidas no Artigo 973917 da Base de Dados de Conhecimento da Microsoft.
  • V1.4 (14 de Abril de 2010): Actualização da secção Acções Sugeridas, para orientar os clientes para a entrada "Que outras medidas está a Microsoft a tomar para implementar esta funcionalidade?" na secção de Perguntas Mais Frequentes.
  • V1.5 (8 de Junho de 2010): Actualizadas as Perguntas Mais Frequentes com informação sobre seis actualizações não relacionadas com segurança que permitem ao .NET Framework optar por Protecção de Autenticação Alargada.
  • V1.6 (14 de Setembro de 2010): Actualizada a secção de Perguntas Mais Frequentes com informações sobre uma actualização não relacionada com segurança que permite que o Outlook Express e o Windows Mail optem por Protecção de Autenticação Alargada.
  • V1.7 (12 de Outubro de 2010): Actualizada a secção de Perguntas Mais Frequentes com informações sobre uma actualização não relacionada com segurança que permite que o Bloco de Mensagem de Servidor (SMB) do Windows opte por Protecção de Autenticação Alargada.
  • V1.8 (14 de Dezembro de 2010): Actualizadas as Perguntas Mais Frequentes com informação sobre uma actualização não relacionada com segurança que permite ao Microsoft Outlook optar por Protecção de Autenticação Alargada.
  • V1.9 (17 de Dezembro de 2010): Removida uma entrada na secção de Perguntas Mais Frequentes, originalmente adicionada a 14 de Dezembro de 2010, sobre uma actualização não relacionada com segurança que permite ao Microsoft Outlook optar por Protecção de Autenticação Alargada.
  • V1.10 (11 de Janeiro de 2011): Actualização da secção de Perguntas Mais Frequentes com informações sobre um novo lançamento que permite que o Microsoft Office Live Meeting Service Portal opte por Protecção de Autenticação Alargada.
  • V1.11 (12 de Janeiro de 2011): Corrigida a ligação das notas de publicação para o Microsoft Office Live Meeting Service Portal nas Perguntas Mais Frequentes.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: