A Microsoft explica o impacto dos KB5055523/KB5055526 e KB5057784 nos logins do Kerberos Windows Hello DC

Anúncio Crítico: Problemas de Autenticação Kerberos do Windows Hello Identificados

A Microsoft reconheceu um problema significativo que afeta a autenticação Kerberos do Windows Hello em Controladores de Domínio do Active Directory (AD DC).Esse problema surgiu após a instalação das recentes atualizações do Patch Tuesday de abril de 2025, afetando especificamente o Windows Server 2025 (KB5055523), o Server 2022 (KB5055526), ​​o Server 2019 (KB5055519) e o Server 2016 (KB5055521).

Detalhes da falha de autenticação

As atualizações causaram complicações no processamento de logons ou delegações Kerberos que utilizam credenciais baseadas em certificados. Esse problema se manifesta principalmente em sistemas que dependem da confiança de chave por meio do campo msds-KeyCredentialLink no Active Directory. Consequentemente, organizações que utilizam o Windows Hello for Business (WHfB) em ambientes de confiança de chave ou aquelas com autenticação de chave pública de dispositivo (Machine PKINIT) podem enfrentar falhas de autenticação.

A Microsoft elaborou:

Após a instalação da atualização de segurança mensal do Windows de abril, lançada em 8 de abril de 2025 (KB5055523 / KB5055526 / KB5055519 /KB5055521) ou posterior, os Controladores de Domínio (DC) do Active Directory podem apresentar problemas ao processar logons ou delegações do Kerberos usando credenciais baseadas em certificado que dependem da confiança de chave por meio do campo msds-KeyCredentialLink do Active Directory. Isso pode resultar em problemas de autenticação em ambientes de confiança de chave do Windows Hello for Business (WHfB) ou em ambientes que implantaram a Autenticação de Chave Pública de Dispositivo (também conhecida como PKINIT de Máquina).

…

Os protocolos afetados incluem a Criptografia de Chave Pública Kerberos para Autenticação Inicial (Kerberos PKINIT) e a Delegação de Serviço para Usuário baseada em Certificado (S4U), que opera por meio da Delegação Restrita Kerberos (KCD) e da Delegação Restrita Baseada em Recursos Kerberos (RBKCD).

Compreendendo a causa raiz

A interrupção é atribuída a um problema de compatibilidade decorrente de patches que abordam uma vulnerabilidade de segurança de rede no Kerberos do Windows, identificada como CVE-2025-26647. Mais detalhes podem ser encontrados nas notas do patch em KB5057784. Como a implementação desses patches ainda está na fase inicial de implantação ou em modo de auditoria, eles ainda não estão totalmente implementados.

Segundo a Microsoft, o problema decorre de novos protocolos de segurança introduzidos nas atualizações recentes. Especificamente, o método pelo qual os Controladores de Domínio validam certificados para autenticação Kerberos foi modificado. O processo atualizado agora exige que os certificados se conectem a uma raiz encontrada no repositório NTAuth, conforme detalhado no KB5057784.

A Microsoft observou:

Este problema está relacionado às medidas de segurança descritas no KB5057784, Proteções para CVE-2025-26647 (Autenticação Kerberos).A partir das atualizações do Windows lançadas em 8 de abril de 2025 e posteriormente, o método pelo qual os controladores de domínio validam os certificados usados ​​para autenticação Kerberos mudou. Após esta atualização, eles verificarão se os certificados estão encadeados a uma raiz no repositório NTAuth, conforme descrito no KB5057784.

Esse comportamento pode ser controlado pelo valor do registro AllowNtAuthPolicyBypassem HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc. Se AllowNtAuthPolicyBypassnão existir, o controlador de domínio se comportará como se o valor estivesse definido como “1”.

Os dois sintomas a seguir foram identificados:

• Se o valor do registro AllowNtAuthPolicyBypassestiver configurado como “1” no controlador de domínio de autenticação, o ID do evento 45 do Kerberos-Key-Distribution-Center será registrado repetidamente, indicando: “O Key Distribution Center (KDC) encontrou um certificado de cliente que era válido, mas não foi encadeado a uma raiz no repositório NTAuth”.Embora esse evento possa ser registrado várias vezes, os processos de logon afetados permanecem bem-sucedidos sem problemas adicionais.
• Por outro lado, se AllowNtAuthPolicyBypassfor definido como “2”, os logins do usuário falharão, e o ID do evento Kerberos-Key-Distribution-Center 21 aparecerá nos logs de eventos, informando: “O certificado do cliente para o usuário não é válido e resultou em uma falha no login do smartcard”.

Solução alternativa atual e informações adicionais

Para organizações que atualmente enfrentam esses problemas de autenticação, a Microsoft recomenda ajustar a configuração do Registro, alterando o valor de “2” para “1” para mitigar o impacto temporariamente. Para obter informações mais detalhadas sobre esse problema, consulte a entrada no Painel de Integridade do Microsoft Windows.

Para mais informações e atualizações sobre essa situação em desenvolvimento, visite o artigo da Neowin.

Artigos relacionados:

A Microsoft descontinua o aplicativo Clipchamp para iOS, mas confirma que o editor de vídeo do Windows 11 permanecerá disponível.

10:16Abril 19, 2026

O Microsoft Edge reintroduz o recurso de guias verticais após a adoção pelo Google Chrome.

16:10Abril 16, 2026

O Microsoft Edge reformula seu design para espelhar o Copilot, com cantos mais suaves e botões de alternância inspirados no iOS.

2:20Abril 13, 2026

Microsoft esclarece que o anúncio do GitHub Pull Request Copilot era um bug, não uma estratégia de marketing.

0:24Abril 2, 2026