Partilhar via

Configurar raízes confiáveis e certificados não permitidos no Windows

Redirecione o URL de Atualização Automática da Microsoft para um ficheiro ou servidor Web que aloja Listas de Certificados Fidedignos (CTLs), CTLs não fidedignas ou um subconjunto dos ficheiros CTL fidedignos num ambiente desligado.

Para saber mais sobre como o Microsoft Root Certificate Program funciona para distribuir certificados raiz confiáveis automaticamente entre sistemas operacionais Windows, consulte Certificados e confiança.

Tip

Não é necessário redirecionar a URL de Atualização Automática da Microsoft para ambientes em que os computadores podem se conectar diretamente ao site do Windows Update. Os computadores que podem se conectar ao site do Windows Update podem receber CTLs atualizadas diariamente.

Prerequisites

Antes de configurar seu ambiente desconectado para usar arquivos CTL hospedados em um arquivo ou servidor Web, você precisa concluir os pré-requisitos a seguir.

Pré-requisitos do cliente:

  • Pelo menos um computador capaz de se conectar à Internet para baixar CTLs da Microsoft. O computador requer acesso HTTP (porta TCP 80) e capacidade de resolver nomes (portas TCP e UDP 53) para contactar ctldl.windowsupdate.com. Este computador pode ser um membro do domínio ou um membro de um grupo de trabalho. Atualmente, todos os arquivos baixados requerem aproximadamente 1,5 MB de espaço.
  • As máquinas cliente devem estar conectadas a um domínio do Serviço de Domínio Ative Directory.
  • Tem de ser membro do grupo local Administradores .

Pré-requisitos do servidor:

  • Um servidor de arquivos ou servidor Web para hospedar os arquivos CTL.
  • Política de Grupo do AD ou solução MDM para implementar definições de configuração no seu cliente.
  • Uma conta que seja membro do grupo Administradores do Domínio ou permissões equivalentes

Métodos de configuração

Um administrador pode configurar um arquivo ou servidor Web para baixar os seguintes arquivos usando o mecanismo de atualização automática:

  • authrootstl.cab contém uma CTL que não é da Microsoft.

  • disallowedcertstl.cab contém uma CTL com certificados não confiáveis.

  • disallowedcert.sst Contém um armazenamento de certificados serializado, incluindo certificados não confiáveis.

  • <thumbprint>.crt contém certificados raiz que não são da Microsoft.

As etapas para executar essa configuração são descritas na seção Configurar um arquivo ou servidor Web para baixar os arquivos CTL deste documento.

Há vários métodos para configurar seu ambiente para usar arquivos CTL locais ou um subconjunto de CTLs confiáveis. Os seguintes métodos estão disponíveis.

  • Configure os computadores membros do domínio dos Serviços de Domínio Ative Directory (AD DS) para usar o mecanismo de atualização automática para CTLs confiáveis e não confiáveis, sem ter acesso ao site do Windows Update. Essa configuração é descrita na seção Redirecionar a URL de Atualização Automática da Microsoft deste documento.

  • Configure os computadores membros do domínio AD DS para optarem independentemente por atualizações automáticas CTL não confiáveis e confiáveis. A configuração de aceitação independente é descrita na seção Redirecionar a URL de Atualização Automática da Microsoft somente para CTLs não confiáveis deste documento.

  • Examine o conjunto de certificados raiz no Programa de Certificados Raiz do Windows. O exame do conjunto de certificados raiz permite que os administradores selecionem um subconjunto de certificados a serem distribuídos usando um GPO (Objeto de Diretiva de Grupo). Essa configuração é descrita na seção Usar um subconjunto das CTLs confiáveis deste documento.

Important

  • As configurações descritas neste documento são implementadas usando GPOs. Essas configurações não serão removidas automaticamente se o GPO for desvinculado ou removido do domínio do AD DS. Quando implementadas, essas configurações podem ser alteradas somente usando um GPO ou modificando o registro dos computadores afetados.

  • Os conceitos discutidos neste documento são independentes do Windows Server Update Services (WSUS).

Configurar um arquivo ou servidor Web para baixar os arquivos CTL

Para facilitar a distribuição de certificados confiáveis ou não confiáveis para um ambiente desconectado, você deve primeiro configurar um arquivo ou servidor Web para baixar os arquivos CTL do mecanismo de atualização automática.

Recuperar os arquivos CTL do Windows Update

Você pode recuperar os arquivos CTL do site do Windows Update usando o certutil comando usando as seguintes etapas:

  1. Crie uma pasta compartilhada em um arquivo ou servidor Web que seja capaz de sincronizar usando o mecanismo de atualização automática e que você deseja usar para armazenar os arquivos CTL.

    Tip

    Antes de começar, talvez seja necessário ajustar as permissões de pasta compartilhada e as permissões de pasta NTFS para permitir o acesso apropriado à conta, especialmente se estiver usando uma tarefa agendada com uma conta de serviço. Para obter mais informações sobre como ajustar permissões, consulte Gerenciando permissões para pastas compartilhadas.

  2. Em um prompt do PowerShell com privilégios elevados, execute o seguinte comando:

    Certutil -syncWithWU \\<server>\<share>

    Substitua o nome real do servidor por <server> e o nome da pasta compartilhada por <share> Por exemplo, para um servidor nomeado Server1 com uma pasta compartilhada chamada CTL, você executaria o comando:

    Certutil -syncWithWU \\Server1\CTL

  3. Baixe os arquivos CTL em um servidor que os computadores em um ambiente desconectado podem acessar pela rede usando um caminho FILE (por exemplo, FILE://\\Server1\CTL) ou um caminho HTTP (por exemplo, http://Server1/CTL).

Note

  • Se o servidor que sincroniza as CTLs não estiver acessível a partir dos computadores no ambiente desconectado, você deverá fornecer outro método para transferir as informações. Por exemplo, você pode permitir que um dos membros do domínio se conecte ao servidor e, em seguida, agendar outra tarefa no computador membro do domínio para extrair as informações para uma pasta compartilhada em um servidor Web interno. Se não houver absolutamente nenhuma conexão de rede, talvez seja necessário usar um processo manual para transferir os arquivos, como um dispositivo de armazenamento removível.

  • Se você planeja usar um servidor Web, você deve criar um novo diretório virtual para os arquivos CTL. As etapas para criar um diretório virtual usando o IIS (Serviços de Informações da Internet) são quase as mesmas para todos os sistemas operacionais suportados discutidos neste documento. Para obter mais informações, consulte Criar um diretório virtual (IIS7).

  • Certas pastas de sistema e aplicativos no Windows têm proteção especial aplicada a eles. Por exemplo, a pasta inetpub requer permissões de acesso especiais, o que dificulta a criação de uma pasta compartilhada para uso com uma tarefa agendada para transferir arquivos. Um administrador pode criar um local de pasta na raiz de um sistema de unidade lógica para usar para transferências de arquivos.

Redirecionar a URL de Atualização Automática da Microsoft

Os computadores na rede podem estar configurados em um ambiente desconectado e, portanto, não é possível usar o mecanismo de atualização automática ou baixar CTLs. Você pode implementar um GPO no AD DS para configurar esses computadores para obter as atualizações de CTL de um local alternativo.

A configuração nesta seção requer que você já tenha concluído as etapas em Configurar um arquivo ou servidor Web para baixar os arquivos CTL.

Para configurar um modelo administrativo personalizado para um GPO

  1. Em um controlador de domínio, crie um novo modelo administrativo. Abra um ficheiro de texto no Bloco de Notas e, em seguida, altere a extensão de nome de ficheiro para .adm. O conteúdo do ficheiro deve ser o seguinte:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
    POLICY !!RootDirURL
       EXPLAIN !!RootDirURL_help
       PART !!RootDirURL EDITTEXT
             VALUENAME "RootDirURL"
       END PART
    END POLICY
END CATEGORY
[strings]
RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
SystemCertificates="Windows AutoUpdate Settings"

  2. Use um nome descritivo para salvar o arquivo, como RootDirURL.adm.

    • Certifique-se de que a extensão de nome de arquivo é .adm e não .txt.

    • Se você precisar habilitar a exibição da extensão de nome de arquivo, consulte Como exibir extensões de nome de arquivo.

    • Se você salvar o %windir%\inf arquivo na pasta, será mais fácil localizá-lo nas etapas a seguir.

  3. Abra o Editor de Gerenciamento de Diretiva de Grupo. Selecione Iniciar > Executar, digite GPMC.msc e pressione ENTER.

    Warning

    Você pode vincular um novo GPO ao domínio ou a qualquer unidade organizacional (UO). As modificações de GPO implementadas neste documento alteram as configurações do Registro dos computadores afetados. Não é possível desfazer essas configurações excluindo ou desvinculando o GPO. As configurações só podem ser desfeitas revertendo-as nas configurações do GPO ou modificando o registro usando outra técnica.

  4. Expanda o objeto Forest , expanda o objeto Domains e, em seguida, expanda o domínio específico que contém as contas de computador que você deseja alterar. Se você tiver uma UO específica que deseja modificar, navegue até esse local.

  5. Clique com o botão direito do rato e selecione Criar um GPO neste domínio e vinculá-lo aqui para criar um novo GPO.

  6. No painel de navegação, em Configuração do Computador, expanda Políticas.

  7. Selecione com o botão direito do rato Modelos Administrativos e, em seguida, selecione Adicionar/Remover Modelos.

  8. Em Adicionar/Remover Modelos, selecione Adicionar.

  9. Na caixa de diálogo Modelos de Política , selecione o .adm modelo que você salvou anteriormente. Selecione Abrir e, em seguida, selecione Fechar.

  10. No painel de navegação, expanda Modelos Administrativos e, em seguida, expanda Modelos Administrativos Clássicos (ADM).

  11. Selecione Configurações do Windows AutoUpdate e, no painel de detalhes, selecione duas vezes o endereço URL a ser usado em vez do ctldl.windowsupdate.com padrão.

  12. Selecione Ativado. Na seção Opções, insira a URL para o servidor de arquivos ou servidor Web que contém os arquivos CTL. Por exemplo, http://server1/CTL ou file://\\server1\CTL.

  13. Selecione OK.

  14. Feche o Editor de Gestão de Política de Grupo.

A diretiva entra em vigor imediatamente, mas os computadores clientes devem ser reiniciados para receber as novas configurações ou você pode digitar gpupdate /force em um prompt de comando elevado ou no Windows PowerShell.

Important

As CTLs confiáveis e não confiáveis podem ser atualizadas diariamente. Para manter os arquivos sincronizados, use uma tarefa agendada ou um script. Verifique se o script pode lidar com erros ao atualizar a pasta compartilhada ou o diretório da Web. Para obter mais informações sobre como criar uma tarefa agendada usando o PowerShell, consulte New-ScheduledTask. Se você planeja escrever um script para fazer atualizações diárias, consulte a referência de comando certutil do Windows.

Redirecionar a URL de Atualização Automática da Microsoft apenas para CTLs não confiáveis

Algumas organizações podem querer que apenas as CTLs não confiáveis (não as CTLs confiáveis) sejam atualizadas automaticamente. Para atualizar automaticamente apenas as CTLs não confiáveis, crie dois .adm modelos para adicionar à Diretiva de Grupo.

Em um ambiente desconectado, você pode usar o procedimento a seguir com o procedimento anterior (redirecionar a URL de Atualização Automática da Microsoft para CTLs confiáveis e CTLs não confiáveis). Este procedimento explica como desativar seletivamente a atualização automática de CTLs confiáveis.

Você também pode usar esse procedimento em um ambiente conectado isoladamente para desabilitar seletivamente a atualização automática de CTLs confiáveis.

Para redirecionar seletivamente apenas CTLs não confiáveis

  1. Em um controlador de domínio, crie o primeiro novo modelo administrativo começando com um arquivo de texto e, em seguida, alterando a extensão de nome de arquivo para .adm. O conteúdo do ficheiro deve ser o seguinte:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!DisableRootAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "DisableRootAutoUpdate"
       VALUEON NUMERIC 0
          VALUEOFF NUMERIC 1

    END POLICY
END CATEGORY
[strings]
DisableRootAutoUpdate="Auto Root Update"
Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  2. Use um nome descritivo para salvar o arquivo, como DisableAllowedCTLUpdate.adm.

  3. Crie um segundo novo modelo administrativo. O conteúdo do ficheiro deve ser o seguinte:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!EnableDisallowedCertAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "EnableDisallowedCertAutoUpdate"
       VALUEON NUMERIC 1
          VALUEOFF NUMERIC 0

    END POLICY
END CATEGORY
[strings]
EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  4. Use um nome de arquivo descritivo para salvar o arquivo, como EnableUntrustedCTLUpdate.adm.

    • Certifique-se de que as extensões de nome de arquivo desses arquivos são .adm e não .txt.

    • Se você salvar o %windir%\inf arquivo na pasta, será mais fácil localizá-lo nas etapas a seguir.

  5. Abra o Editor de Gerenciamento de Diretiva de Grupo.

  6. Expanda o objeto Forest , expanda o objeto Domains e, em seguida, expanda o domínio específico que contém as contas de computador que você deseja alterar. Se você tiver uma UO específica que deseja modificar, navegue até esse local.

  7. No painel de navegação, em Configuração do Computador, expanda Políticas.

  8. Selecione com o botão direito do rato Modelos Administrativos e, em seguida, selecione Adicionar/Remover Modelos.

  9. Em Adicionar/Remover Modelos, selecione Adicionar.

  10. Na caixa de diálogo Modelos de Política , selecione o .adm modelo que você salvou anteriormente. Selecione Abrir e, em seguida, selecione Fechar.

  11. No painel de navegação, expanda Modelos Administrativos e, em seguida, expanda Modelos Administrativos Clássicos (ADM).

  12. Selecione Configurações do Windows AutoUpdate e, no painel de detalhes, clique duas vezes em Atualização Raiz Automática.

  13. Selecione Desativado e, em seguida, selecione OK.

  14. No painel de detalhes, clique duas vezes em Atualização Automática CTL Não Confiável e selecione Habilitado e OK.

A diretiva entra em vigor imediatamente, mas os computadores clientes devem ser reiniciados para receber as novas configurações ou você pode digitar gpupdate /force em um prompt de comando elevado ou no Windows PowerShell.

Important

CTLs confiáveis e não confiáveis podem atualizar-se diariamente. Para manter os arquivos sincronizados na pasta compartilhada ou no diretório virtual, você pode usar uma tarefa agendada.

Utilize um subconjunto das CTLs confiáveis

Esta seção descreve como você pode produzir, revisar e filtrar as CTLs confiáveis que deseja que os computadores da sua organização usem. Deve implementar os GPOs descritos nos procedimentos anteriores para poder utilizar esta resolução. Essa resolução está disponível para ambientes desconectados e conectados.

Há dois procedimentos para personalizar a lista de CTLs confiáveis.

  1. Criar um subconjunto de certificados confiáveis

  2. Distribuir os certificados confiáveis usando a Diretiva de Grupo

Criar um subconjunto de certificados confiáveis

Veja como gerar arquivos SST usando o mecanismo de atualização automática do Windows a partir do Windows. Para obter mais informações sobre como gerar arquivos SST, consulte a referência de comandos Certutil do Windows. Para criar um subconjunto de certificados confiáveis, siga estas etapas:

  1. Em um computador conectado à Internet, abra o Windows PowerShell como Administrador ou abra um prompt de comando com privilégios elevados e digite o seguinte comando:

    Certutil -generateSSTFromWU WURoots.sst

  2. Execute o seguinte comando no Windows Explorer para abrir WURoots.sst:

    start explorer.exe wuroots.sst

    Tip

    Você também pode usar o Internet Explorer para navegar até o arquivo e clicar duas vezes nele para abri-lo. Dependendo de onde você armazenou o arquivo, você também poderá abri-lo digitando wuroots.sst.

  3. Abra o Gerenciador de Certificados.

  4. Expanda o caminho do arquivo em Certificados - Usuário atual até ver Certificados e selecione Certificados.

  5. No painel de detalhes, você pode ver os certificados confiáveis. Mantenha pressionada a tecla CTRL e selecione cada um dos certificados que deseja permitir. Quando terminar de selecionar os certificados que deseja permitir, clique com o botão direito do mouse em um dos certificados selecionados, selecione Todas as Tarefas e selecione Exportar.

    • Você deve selecionar um mínimo de dois certificados para exportar o .sst tipo de arquivo. Se você selecionar apenas um certificado, o .sst tipo de arquivo não estará disponível e o .cer tipo de arquivo será selecionado.

  6. No Assistente para Exportação de Certificados, selecione Avançar.

  7. Na página Formato de Arquivo de Exportação , selecione Armazenamento de Certificados Serializados da Microsoft (. SST) e, em seguida, selecione Seguinte.

  8. Na página Arquivo a Exportar , insira um caminho de arquivo e um nome apropriado para o arquivo, como , e C:\AllowedCerts.sstselecione Avançar.

  9. Selecione Concluir. Quando for notificado de que a exportação foi bem-sucedida, selecione OK.

  10. Copie o .sst ficheiro que criou para um controlador de domínio.

Para distribuir a lista de certificados confiáveis usando a Diretiva de Grupo

  1. No controlador de domínio que possui o arquivo personalizado .sst , abra o Editor de Gerenciamento de Diretiva de Grupo.

  2. Expanda Floresta, Domínios e objeto de domínio específico que você deseja modificar. Clique com o botão direito do rato em GPO da Política de Domínio Padrão e selecione Editar.

  3. No painel de navegação, em Configuração do Computador, expanda Políticas, expanda Configurações do Windows, expanda Configurações de Segurança e expanda Diretivas de Chave Pública.

  4. Clique com o botão direito do mouse em Autoridades de Certificação Raiz Confiáveis e selecione Importar.

  5. No Assistente para Importação de Certificados, selecione Avançar.

  6. Introduza o caminho e o nome do ficheiro que copiou para o controlador de domínio ou utilize o botão Procurar para localizar o ficheiro. Selecione Avançar.

  7. Confirme que deseja colocar esses certificados no armazenamento de certificados de Autoridades de Certificação Raiz Confiáveis selecionando Avançar. selecione Concluir. Quando for notificado de que os certificados foram importados com êxito, selecione OK.

  8. Feche o Editor de Gestão de Política de Grupo.

A diretiva entra em vigor imediatamente, mas os computadores clientes devem ser reiniciados para receber as novas configurações ou você pode digitar gpupdate /force em um prompt de comando elevado ou no Windows PowerShell.

Configurações do Registro modificadas

As configurações descritas neste documento configuram as seguintes chaves do Registro nos computadores cliente. Essas configurações não serão removidas automaticamente se o GPO for desvinculado ou removido do domínio. Essas configurações devem ser reconfiguradas, se você quiser alterá-las.

  • Habilite ou desabilite o Windows Auto-Update da CTL confiável:

    • Chave: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
    • Tipo: REG_DWORD
    • Designação: DisableRootAutoUpdate
    • Dados: 0 para ativar ou 1 desativar.
    • Padrão: não há nenhuma chave presente por padrão. Sem uma chave presente, o padrão é habilitado.

  • Ative ou desative a Atualização Automática do Windows da CTL não fidedigna:

    • Chave: SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
    • Tipo: REG_DWORD
    • Designação: EnableDisallowedCertAutoUpdate
    • Dados: 1 para ativar ou 0 desativar.
    • Padrão: não há nenhuma chave presente por padrão. Sem uma chave presente, o padrão é habilitado.

  • Defina o local do arquivo CTL compartilhado (HTTP ou o caminho FILE):

    • Chave: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
    • Tipo: REG_SZ
    • Designação: RootDirUrl
    • Dados: insira um HTTP válido ou um URI de arquivo.
    • Padrão: não há nenhuma chave presente por padrão. Sem uma chave presente, o comportamento padrão usou o Windows Update.

Verificar CTLs confiáveis e não confiáveis

Pode ser necessário, por vários motivos, verificar todas as CTLs confiáveis e não confiáveis de uma máquina cliente. As seguintes opções de Certutil podem ser usadas para verificar todas as CTLs confiáveis e não confiáveis de uma máquina cliente.

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

Verificando o tempo da última sincronização

Para verificar o tempo de sincronização mais recente na máquina local para CTLs confiáveis ou não confiáveis, execute o seguinte comando Certutil:

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"

Conteúdo relacionado

  • Last updated on