Resumo
As atualizações de Windows de 13 de julho Windows e posteriores adicionam proteção para CVE-2021-33757.
Após instalar as atualizações do Windows de 13 de julho de 2021 ou posteriores do Windows, a encriptação Advanced Encryption Standard (AES) será o método preferencial para clientes do Windows ao utilizar o protocolo MS-SAMR legado para operações de palavra-passe se a encriptação AES for suportada pelo servidor SAM. Se a encriptação AES não for suportada pelo servidor SAM, a encriptação RC4 legada será permitida.
As alterações no CVE-20201-33757 são específicas do protocolo MS-SAMR e são independentes de outros protocolos de autenticação. MS-SAMR utiliza SMB sobre RPC e pipes com nome. Apesar de SMB também suportar encriptação, não está ativada por predefinição. Por predefinição, as alterações no CVE-20201-33757 são ativadas e fornecem segurança adicional na camada SAM. Não são necessárias alterações de configuração adicionais para além da instalação das proteções de CVE-20201-33757 incluídas nas atualizações de Windows de 13 de julho de 2021 ou atualizações de Windows posteriores em todas as versões suportadas do Windows. As versões não Windows devem ser descontinuadas ou atualizadas para uma versão suportada.
Nota: oCVE-2021-33757 só modifica a forma como as palavras-passe são encriptadas em trânsito quando utilizam APIs específicas do protocolo MS-SAMR e, especificamente, NÃO modifica a forma como as palavras-passe são armazenadas. Para obter mais informações sobre como as palavras-passe são encriptadas inicialmente no Active Directory e localmente na Base de Dados SAM (registo), consulte o artigo Visão Geral das Palavras-passe.
Mais informações
-
Padrão de alteração de palavra-passe
As atualizações modificam o padrão de alteração de palavra-passe do protocolo ao adicionar um novo método de alteração de palavra-passe que utilizará o AES.
Método Antigo com RC4
Novo Método com AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
Para uma lista completa de OpNums MS-SAMR, consulte Eventos de Processamento de Mensagens e Regras de Sequenciação.
-
Padrão do conjunto de palavras-passe
As atualizações modificam o padrão do conjunto de palavras-passe do protocolo ao adicionar duas novas Classes de Informações de Utilizador ao método SamrSetInformationUser2 (Opnum 58). Pode definir as informações da palavra-passe da seguinte forma.
Método Antigo com RC4
Novo Método com AES
SamrSetInformationUser2 (Opnum 58) juntamente com UserInternal4InformationNew, que mantém uma palavra-passe de utilizador encriptado com RC4.
SamrSetInformationUser2 (Opnum 58) juntamente com UserInternal8Information que guarda uma palavra-passe de utilizador encriptado com AES.
SamrSetInformationUser2 (Opnum 58) juntamente com UserInternal5InformationNew, que mantém uma palavra-passe de utilizador encriptado com RC4 e todos os outros atributos de utilizador.
SamrSetInformationUser2 (Opnum 58) juntamente com UserInternal7Information que guarda uma palavra-passe encriptado com AES e todos os outros atributos de utilizador.
O método SamrConnect5 existente é geralmente utilizado para estabelecer uma ligação entre o cliente SAM e o servidor.
Um servidor atualizado irá agora devolver um novo bit na resposta SamrConnect5(), conforme definido no SAMPR_REVISION_INFO_V1.
|
Valor |
Significado |
|
0x00000010 |
No recibo do cliente, este valor, quando definido, indica que o cliente deve utilizar a Encriptação AES com a estrutura do SAMPR_ENCRYPTED_PASSWORD_AES para encriptar memórias de palavra-passe quando enviado por e-mail. Consulte Utilização de Cipher Usage AES (secção 3.2.2.4)e SAMPR_ENCRYPTED_PASSWORD_AES (secção 2.2.6.32). |
Se o servidor atualizado suportar AES, o cliente irá utilizar novos métodos e novas classes de informações para operações de palavra-passe. Se o servidor não devolver este sinalizador ou se o cliente não estiver atualizado, o cliente voltará a utilizar métodos anteriores com encriptação RC4.
As operações de Conjunto de Palavras-passe requerem um controlador de domínio (RWDC) de escrita. As alterações de palavra-passe são re encaminhadas pelo Controlador de Domínio Só de Leitura (RODC) para um RWDC. Todos os dispositivos têm de ser atualizados para que o AES seja utilizado. Por exemplo:
-
Se o cliente, RODC ou RWDC não estiver atualizado, será utilizada a encriptação RC4.
-
Se o cliente, o RODC e o RWDC estiverem atualizados, será utilizada a encriptação AES.
As atualizações de 13 de julho de 2021 adicionam quatro novos eventos ao registo do sistema para ajudar a identificar dispositivos que não estão atualizados e ajuda a melhorar a segurança.
-
Estado de configuração O ID do Evento 16982 ou 16983 é registado no arranque ou numa alteração da configuração do registo.
ID do Evento 16982Registo de eventos
Sistema
Origem do evento
Directory-Services-SAM
ID do Evento
16982
Nível
Informações
Texto da mensagem do evento
O gestor de conta de segurança está agora a registo de eventos verbosos para clientes remotos que chamam alteração de palavra-passe legada ou definem métodos RPC. Esta definição pode causar um grande número de mensagens e só deve ser utilizada durante um curto período de tempo para diagnosticar problemas.
ID do Evento 16983Registo de eventos
Sistema
Origem do evento
Directory-Services-SAM
ID do Evento
16983
Nível
Informações
Texto da mensagem do evento
O gestor de conta de segurança está agora a registo de eventos de resumo periódicos para clientes remotos que chamam alteração de palavra-passe legada ou definem métodos RPC.
-
Após aplicar a atualização de 13 de julho de 2021, um Evento de Resumo 16984 é registrado no registo de eventos do Sistema a cada 60 minutos.
ID do Evento 16984Registo de eventos
Sistema
Origem do evento
Directory-Services-SAM
ID do Evento
16984
Nível
Informações
Texto da mensagem do evento
O gestor de conta de segurança detetou uma alteração de palavra-passe %x legada ou detetou chamadas de método RPC nos últimos 60 minutos.
-
Após configurar o registo de eventos verboso, o Evento ID 16985 é registrado no registo de eventos do Sistema sempre que um método RPC legado for utilizado para alterar ou definir uma palavra-passe de conta.
ID do Evento 16985Registo de eventos
Sistema
Origem do evento
Directory-Services-SAM
ID do Evento
16985
Nível
Informações
Texto da mensagem do evento
O gestor de conta de segurança detetou a utilização de uma alteração legada ou a configuração do método RPC a partir de um cliente de rede. Considere atualizar o sistema operativo ou aplicação cliente para utilizar a versão mais recente e mais segura deste método.
Detalhes:
Método RPC: %1
Endereço de Rede do Cliente: %2
SID do Cliente: %3
Nome de utilizador: %4
Para registar o verboso ID do Evento 16985, altere o seguinte valor de registo no servidor ou controlador de domínio.
Caminho
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Tipo
REG_DWORD
Nome do valor
AuditLegacyPasswordRpcMethods
Dados de valor
1 = registo verboso está ativado
0 ou não apresentar = o registo verboso está desativado. Eventos de resumo apenas. (Predefinição)
Tal como descrito em SamrUnicodeChangePasswordUser4 (Opnum 73), quando utilizar o novo método SamrUnicodeChangePasswordUser4, o cliente e o servidor utilizarão o Algoritmo PBKDF2 para decifrar uma chave de encriptação e de encriptação da palavra-passe antiga do texto simples. Isto deve-se ao facto de a palavra-passe antiga ser o único segredo comum que é conhecido no servidor e no cliente.
Para obter mais informações sobre o PBKDF2, consulte Função BCryptDeriveKeyPBKDF2 (bcrypt.h).
Se tiver de fazer uma alteração por motivos de desempenho e de segurança, pode ajustar o número de iterações PBKDF2 utilizadas pelo cliente para alteração da palavra-passe ao definir o seguinte valor de registo no cliente.
Nota: Diminuir o número de iterações PBKDF2 diminuirá a segurança. Não recomendamos que o número seja diminuido a partir da predefinição. No entanto, recomendamos que utilize o maior número possível de iterações PBKDF2.
|
Caminho |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
|
Tipo |
REG_DWORD |
|
Nome do valor |
PBKDF2Iterações |
|
Dados de valor |
Mínimo de 5 000 a um máximo de 1 000 000 |
|
Valor predefinido |
10,000 |
Nota: O PBKDF2 não é utilizado para operações do conjunto de palavras-passe. Para operações do conjunto de palavras-passe, a chave de sessão SMB é o segredo partilhado entre o cliente e o servidor e utilizado como base para a identificação de chaves de encriptação.
Para obter mais informações, consulte Adquirir uma Chave de Sessão SMB.
Perguntas Mais Frequentes (FAQ)
A atualização ocorre quando o servidor ou cliente não suporta AES.
Os servidores atualizados registarão eventos quando são utilizados métodos legados com o RC4.
De momento, não existe nenhum modo de imposição disponível, mas poderá estar disponível no futuro. Não temos uma data.
Se um dispositivo terceiro não estiver a utilizar o protocolo SAMR, isso não é importante. Os fornecedores terceiros que implementem o protocolo MS-SAMR podem optar por implementar esta implementação. Contacte o fornecedor de terceiros se tiver dúvidas.
Não são necessárias alterações adicionais.
Este protocolo é legado e prevemos que a sua utilização é muito baixa. As aplicações legadas poderão utilizar estas APIs. Além disso, algumas ferramentas do Active Directory, como o AD Users e Computers MMC, utilizam o SAMR.
Não. Apenas as alterações de palavra-passe que utilizam estas APIs DE SAMR específicas são afetadas.
Sim. O PBKDF2 é mais dispendioso do que o RC4. Se ocorrerem muitas alterações de palavra-passe ao mesmo tempo no controlador de domínio que chama a API SamrUnicodeChangePasswordUser4, o carregamento da CPU do LSASS poderá ser afetado. Pode ajustar as iterações PBKDF2 nos clientes se for necessário, no entanto, não recomendamos que diminua da predefinição, uma vez que esta ação poderia reduzir a segurança.
Referências
Encriptação Autenticada com AES-CBC e HMAC-SHA
Exclusão de exclusão de informações de terceiros
Fornecemos informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a precisão destas informações de contacto de terceiros.
