Alterações importantes nas configurações de segurança do controlador de domínio do Windows
Em maio de 2022, a Microsoft lançou atualizações críticas de segurança para o Windows, abordando diversas vulnerabilidades identificadas como CVE-2022-34691, CVE-2022-26931 e CVE-2022-26923. Essas vulnerabilidades dizem respeito a falhas de elevação de privilégio (EoP) que visam especificamente os processos de manutenção de sistemas de autenticação baseados em certificados empregados no Centro de Distribuição de Chaves (KDC) do Kerberos.
O problema afetou particularmente os Controladores de Domínio (DCs) do Windows, que não reconheciam o cifrão (“$”) no final dos nomes de máquinas. Essa omissão criou uma oportunidade para cibercriminosos falsificarem certificados de diversas maneiras maliciosas. Em resposta, a Microsoft introduziu uma série de atualizações nos últimos anos para facilitar uma transição mais tranquila para os administradores de TI, mantendo a compatibilidade do sistema.
Próximas atualizações do Patch Tuesday
A partir de 9 de setembro, mudanças significativas entrarão em vigor com as próximas atualizações do Patch Tuesday. Notavelmente, a chave de registro do Key Distribution Center será considerada incompatível. Como solução alternativa de curto prazo, introduzida em maio de 2022, a Microsoft disponibilizou a chave de registro StrongCertificateBindingEnforcement. Essa chave permitiu que os administradores de TI continuassem utilizando mapeamentos e autenticação baseados em certificados, embora apenas no modo de compatibilidade, permitindo vários métodos de validação da autenticidade do usuário e mecanismos de fallback com base em valores definidos.
Impacto da Chave de Retrodatação do Certificado
Além da chave StrongCertificateBindingEnforcement, outra chave de registro conhecida como CertificateBackdatingCompensation também será alterada em setembro. Essa chave, que também visava oferecer suporte ao Modo de Compatibilidade, permitia a autenticação do usuário mesmo com mapeamentos de certificados mais fracos, desde que a data do certificado fosse anterior à data de criação do usuário. No entanto, após as próximas atualizações, o uso de mapeamentos de certificados fracos será proibido. A justificativa para essa alteração é lógica, visto que as configurações anteriores desabilitavam efetivamente uma verificação de segurança vital.
Transição do Modo de Compatibilidade
É crucial que os administradores de TI observem que, após a ativação do Modo de Aplicação Completa após 10 de setembro, a reversão para o Modo de Compatibilidade não será mais uma opção. Essa mudança enfatiza o compromisso da Microsoft em aprimorar a postura de segurança dos Controladores de Domínio do Windows, garantindo que as organizações não apenas estejam em conformidade, mas também protegidas contra potenciais ameaças.
Para obter informações mais detalhadas sobre essas alterações, os profissionais de TI que gerenciam os Controladores de Domínio do Windows são incentivados a consultar as orientações abrangentes da Microsoft.
Artigos relacionados:
Recurso clássico do Windows Vista pode retornar ao Windows 11
19:30
Microsoft remove bloqueio de atualização, permitindo que mais usuários baixem o Windows 11 24 horas por dia, 7 dias por semana
8:44
Microsoft confirma que as atualizações KB5065426 e KB5064081 do Windows 11 interrompem a reprodução de vídeo DRM/HDCP
6:04
Deixe um comentário