Configurar raízes confiáveis e certificados não permitidos no Windows

  • Artigo

Aplica-se a: Windows Server (todas as versões compatíveis), clientes Windows e Azure Stack HCI.

Redirecione a URL de Atualização Automática da Microsoft para um servidor de arquivos ou um servidor Web que hospeda CTLs (listas de certificados confiáveis), CTLs não confiáveis ou um subconjunto dos arquivos de CTL confiáveis em um ambiente desconectado.

Para saber mais sobre como o Programa de Certificado Raiz da Microsoft funciona para distribuir certificados raiz confiáveis automaticamente entre sistemas operacionais Windows, confira Certificados e relação de confiança.

Dica

Você não precisa redirecionar a URL de Atualização Automática da Microsoft para ambientes em que os computadores podem se conectar diretamente ao site do Windows Update. Os computadores que podem se conectar ao site do Windows Update conseguem receber CTLs atualizadas diariamente.

Pré-requisitos

Para configurar seu ambiente desconectado para usar arquivos de CTL hospedados em um arquivo ou em um servidor Web, conclua os pré-requisitos a seguir.

Pré-requisitos do cliente

  • Pelo menos, um computador que consiga estabelecer conexão com a Internet para baixar as CTLs da Microsoft. O computador exige acesso HTTP (porta TCP 80) e a capacidade de resolução de nomes (porta TCP e UDP 53) para se comunicar com o ctldl.windowsupdate.com. Esse computador pode ser um membro de domínio ou um membro de um grupo de trabalho. Atualmente, todos os arquivos baixados exigem aproximadamente 1,5 MB de espaço.
  • Os computadores cliente precisam estar conectados a um domínio do Serviço Domínio do Active Directory.
  • Você precisa ser membro do grupo local Administradores.

Pré-requisitos do servidor

  • Um servidor de arquivos ou um servidor Web para hospedar os arquivos de CTL.
  • Política de grupo do AD ou solução de MDM para implantar as definições de configuração no cliente.
  • Uma conta que seja membro do grupo Administradores de Domínio ou que tenha recebido as permissões necessárias

Métodos de configuração

Um administrador pode configurar um servidor de arquivos ou um servidor Web para baixar os seguintes arquivos por meio do mecanismo de atualização automática:

  • authrootstl.cab contém uma CTL não Microsoft.

  • disallowedcertstl.cab contém uma CTL com certificados não confiáveis.

  • disallowedcert.sst contém um repositório de certificados serializado, incluindo certificados não confiáveis.

  • <thumbprint>.crt contém os certificados raiz não Microsoft.

As etapas para executar essa configuração são descritas na seção Configurar um servidor Web ou de arquivos para baixar os arquivos da CTL deste documento.

Há vários métodos para configurar seu ambiente para usar arquivos de CTL locais ou um subconjunto de CTLs confiáveis. Os métodos a seguir estão disponíveis.

  • Configurar os computadores de membro de domínio do AD DS (Serviços de Domínio Active Directory) para usar o mecanismo de atualização automática para as CTLs confiáveis e não confiáveis, sem ter acesso ao site do Windows Update. Essa configuração é descrita na seção Redirecionar a URL de Atualização Automática da Microsoft deste documento.

  • Configurar os computadores do membro de domínio do AD DS para aceitar independentemente as atualizações automáticas de CTL confiável e não confiável. A configuração independente sujeita a aceitação é descrita na seção Redirecionar a URL de Atualização Automática da Microsoft somente para CTLs não confiáveis deste documento.

  • Examinar o conjunto de certificados raiz no Windows Root Certificate Program. A análise do conjunto de certificados raiz permite que os administradores selecionem um subconjunto de certificados para distribuição usando um GPO (Objeto de Política de Grupo). Essa configuração é descrita na seção Usar um subconjunto de CTLs confiáveis deste documento.

Importante

  • As configurações descritas neste documento são implementadas usando GPOs. Essas configurações não serão removidas automaticamente se o GPO estiver desvinculado ou removido do domínio AD DS. Quando implementadas, essas configurações podem ser alteradas somente usando um GPO ou modificando o Registro dos computadores afetados.

  • Os conceitos abordados neste documento são independentes de WSUS (Windows Server Update Services).

Configurar um servidor Web ou de arquivos para baixar os arquivos da CTL

Para facilitar a distribuição de certificados confiáveis ou não confiáveis para um ambiente desconectado, primeiro é necessário configurar um servidor Web ou de arquivos para baixar os arquivos da CTL do mecanismo de atualização automática.

Recuperar os arquivos de CTL do Windows Update

  1. Crie uma pasta compartilhada em um servidor Web ou de arquivos que consiga sincronizar usando o mecanismo de atualização automática e que você deseja usar para armazenar os arquivos da CTL.

    Dica

    Antes de começar, talvez você precise ajustar as permissões da pasta compartilhada e as permissões da pasta NTFS para permitir o acesso apropriado à conta, principalmente se está usando uma tarefa planejada com uma conta de serviço. Para obter mais informações sobre como ajustar as permissões, confira Como gerenciar permissões para pastas compartilhadas.

  2. Em um prompt do PowerShell com privilégios elevados, execute o seguinte comando:

    Certutil -syncWithWU \\<server>\<share>

    Substitua o nome real do servidor por <server> e o nome da pasta compartilhada por <share>. Por exemplo, para um servidor chamado Server1 com uma pasta compartilhada chamada CTL, execute o comando:

    Certutil -syncWithWU \\Server1\CTL

  3. Baixe os arquivos de CTL em um servidor que os computadores em um ambiente desconectado possam acessar na rede usando um caminho FILE (por exemplo, FILE://\\Server1\CTL) ou um caminho HTTP (por exemplo, http://Server1/CTL).

Observação

  • Se o servidor que sincroniza as CTLs não estiver acessível dos computadores no ambiente desconectado, você deverá fornecer outro método para transferir as informações. Por exemplo, você pode permitir que um dos computadores do membro de domínio se conecte ao servidor e, em seguida, planeje outra tarefa no computador do membro de domínio para receber informações em uma pasta compartilhada em um servidor Web interno. Se não houver absolutamente nenhuma conexão de rede, convém você usar um processo manual para transferir os arquivos, como um dispositivo de armazenamento removível.

  • Se você planeja usar um servidor Web, crie um novo diretório virtual para os arquivos da CTL. As etapas para criar um diretório virtual usando IIS (Serviços de Informações da Internet) são praticamente as mesmas para todos os sistemas operacionais com suporte abordados neste documento. Para obter mais informações, confira Criar um diretório virtual (IIS7).

  • Algumas pastas de aplicativo e do sistema no Windows têm uma proteção especial aplicada. Por exemplo, a pasta inetpub exige permissões de acesso especiais, o que dificulta a criação de uma pasta compartilhada para uso com uma tarefa agendada para transferir arquivos. Como administrador, você pode criar um local de pasta na raiz de um sistema de unidade lógica para usar nas transferências de arquivos.

Redirecionar a URL de Atualização Automática da Microsoft

Os computadores da sua rede podem estar configurados em um ambiente desconectado e, portanto, não podem usar o mecanismo de atualização automática ou baixar as CTLs. Você pode implementar um GPO no AD DS para configurar esses computadores a fim de obter as atualizações de CTL de um local alternativo.

A configuração desta seção exige que você já tenha concluído as etapas descritas em Configurar um servidor de arquivos ou um servidor Web para baixar os arquivos de CTL.

Para configurar um modelo administrativo personalizado para um GPO

  1. Em um controlador de domínio, crie um novo modelo administrativo. Abra um arquivo de texto no Bloco de notas e altere a extensão de nome de arquivo para .adm. O conteúdo do arquivo deve ser o seguinte:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
    POLICY !!RootDirURL
       EXPLAIN !!RootDirURL_help
       PART !!RootDirURL EDITTEXT
             VALUENAME "RootDirURL"
       END PART
    END POLICY
END CATEGORY
[strings]
RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
SystemCertificates="Windows AutoUpdate Settings"

  2. Use um nome descritivo para salvar o arquivo, como RootDirURL.adm.

    • Verifique se a extensão de nome de arquivo é .adm e não .txt.

    • Se ainda não tiver habilitado a exibição de extensão de nome de arquivo, confira Como exibir extensões de nome de arquivo.

    • Se você salvar o arquivo na pasta %windir%\inf, será mais fácil localizá-lo nas etapas a seguir.

  3. Feche o Editor de Gerenciamento de Política de Grupo. Selecione Iniciar > Executar, digite GPMC.msc e pressione ENTER.

    Aviso

    Você pode vincular um novo GPO ao domínio ou a qualquer unidade organizacional. As modificações do GPO implementadas neste documento alteram as configurações de Registro dos computadores afetados. Não é possível desfazer essas configurações excluindo ou desvinculando o GPO. As configurações podem ser desfeitas apenas revertendo-as nas configurações do GPO ou modificando o Registro usando outra técnica.

  4. Expanda o objeto Floresta, o objeto Domínios e o domínio específico que contém as contas do computador que você deseja alterar. Se você tiver uma unidade organizacional específica que deseja modificar, navegue para esse lugar.

  5. Selecione com o botão direito do mouse e escolha Criar um GPO neste domínio e fornecer um link para ele aqui para criar um GPO.

  6. No painel de navegação, em Configuração do Computador, expanda Políticas.

  7. Selecione Modelos Administrativos com o botão direito do mouse e escolha Adicionar/Remover Modelos.

  8. Em Adicionar/Remover Modelos, selecione Adicionar.

  9. Na caixa de diálogo Modelos de Política, selecione o modelo .adm que você salvou anteriormente. Selecione Abrir e, depois, Fechar.

  10. No painel de navegação, expanda Modelos Administrativos e expanda Modelos Administrativos Clássicos (ADM).

  11. Escolha Configurações de Atualização Automática do Windows e, no painel de detalhes, selecione duas vezes Endereço de URL a ser usado, em vez do padrão ctldl.windowsupdate.com.

  12. Selecione Habilitado. Na seção Opções, insira a URL para o servidor Web ou de arquivos que contém os arquivos da CTL. Por exemplo, http://server1/CTL ou file://\\server1\CTL.

  13. Selecione OK.

  14. Feche o Editor de Gerenciamento de Política de Grupo.

A política é imediatamente efetivada, mas os computadores clientes precisam ser reiniciados para receber as novas configurações. Outra opção é digitar gpupdate /force em um prompt de comandos com privilégios elevados ou no Windows PowerShell.

Importante

As CTLs confiáveis e não confiáveis podem ser atualizadas diariamente, portanto mantenha os arquivos sincronizados usando uma tarefa planejada ou outro método (como um script que manipula condições de erro) para atualizar a pasta compartilhada ou o diretório virtual Web. Para obter mais informações sobre como criar uma tarefa agendada usando o PowerShell, confira New-ScheduledTask. Se você pretende escrever um script para fazer atualizações diárias, confira a referência de comandos do certutil do Windows.

Redirecionar a URL de Atualização Automática da Microsoft somente para as CTLs não confiáveis

Algumas organizações podem desejar que apenas as CTLs não confiáveis (não as CTLs confiáveis) sejam atualizadas automaticamente. Para atualizar automaticamente apenas as CTLs não confiáveis, crie dois modelos .adm para adicioná-los à Política de Grupo.

Em um ambiente desconectado, você pode usar o procedimento a seguir com o procedimento anterior (redirecionar a URL de Atualização Automática da Microsoft para as CTLs confiáveis e não confiáveis). Este procedimento explica como desabilitar seletivamente a atualização automática de CTLs confiáveis.

Use também este procedimento em um ambiente conectado em isolamento para desabilitar seletivamente a atualização automática de CTLs confiáveis.

Para redirecionar seletivamente apenas CTLs não confiáveis

  1. Em um controlador de domínio, crie o primeiro modelo administrativo iniciando com um arquivo de texto e alterando a extensão de nome de arquivo para .adm. O conteúdo do arquivo deve ser o seguinte:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!DisableRootAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "DisableRootAutoUpdate"
       VALUEON NUMERIC 0
          VALUEOFF NUMERIC 1

    END POLICY
END CATEGORY
[strings]
DisableRootAutoUpdate="Auto Root Update"
Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  2. Use um nome descritivo para salvar o arquivo, como DisableAllowedCTLUpdate.adm.

  3. Crie um segundo modelo administrativo novo. O conteúdo do arquivo deve ser o seguinte:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!EnableDisallowedCertAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "EnableDisallowedCertAutoUpdate"
       VALUEON NUMERIC 1
          VALUEOFF NUMERIC 0

    END POLICY
END CATEGORY
[strings]
EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  4. Use um nome de arquivo descritivo para salvar o arquivo, como EnableUntrustedCTLUpdate.adm.

    • Verifique se as extensões de nome de arquivo desses arquivos são .adm e não .txt.

    • Se você salvar o arquivo na pasta %windir%\inf, será mais fácil localizá-lo nas etapas a seguir.

  5. Feche o Editor de Gerenciamento de Política de Grupo.

  6. Expanda o objeto Floresta, o objeto Domínios e o domínio específico que contém as contas do computador que você deseja alterar. Se você tiver uma unidade organizacional específica que deseja modificar, navegue para esse lugar.

  7. No painel de navegação, em Configuração do Computador, expanda Políticas.

  8. Selecione Modelos Administrativos com o botão direito do mouse e escolha Adicionar/Remover Modelos.

  9. Em Adicionar/Remover Modelos, selecione Adicionar.

  10. Na caixa de diálogo Modelos de Política, selecione o modelo .adm que você salvou anteriormente. Selecione Abrir e, depois, Fechar.

  11. No painel de navegação, expanda Modelos Administrativos e Modelos Administrativos Clássicos (ADM).

  12. Selecione Configurações do Windows AutoUpdate e, no painel de detalhes, clique duas vezes em Atualização Automática de Raiz.

  13. Selecione Desabilitado, depois selecione OK.

  14. No painel de detalhes, clique duas vezes em Atualização Automática de CTL não Confiável e selecione Habilitado e OK.

A política é imediatamente efetivada, mas os computadores clientes precisam ser reiniciados para receber as novas configurações. Outra opção é digitar gpupdate /force em um prompt de comandos com privilégios elevados ou no Windows PowerShell.

Importante

As CTLs confiáveis e não confiáveis podem ser atualizadas diariamente, portanto mantenha os arquivos sincronizados usando uma tarefa planejada ou outro método para atualizar a pasta compartilhada ou o diretório virtual.

Usar um subconjunto das CTLs confiáveis

Esta seção descreve como você pode produzir, revisar e filtrar as CTLs confiáveis a serem usadas pelos computadores em sua organização. Você deve implementar os GPOs descritos nos procedimentos anteriores para usar esta resolução. Essa resolução está disponível para ambientes conectados e desconectados.

Existem dois procedimentos para personalizar a lista de CTLs confiáveis.

  1. Criar um subconjunto de certificados confiáveis

  2. Distribuir os certificados confiáveis usando a Política de Grupo

Para criar um subconjunto de certificados confiáveis

Veja como gerar arquivos SST usando o mecanismo de atualização automática do Windows no Windows. Para obter mais informações sobre como gerar arquivos SST, confira a referência de comandos do CertUtil do Windows.

  1. Em um computador conectado à Internet, abra o Windows PowerShell como Administrador ou um prompt de comando com privilégios elevados e digite o seguinte comando:

    Certutil -generateSSTFromWU WURoots.sst

  2. Execute o seguinte comando no Windows Explorer para abrir WURoots.sst:

    start explorer.exe wuroots.sst

    Dica

    Use também o Internet Explorer para navegar até o arquivo e clique duas vezes nele para abri-lo. Dependendo de onde você armazenou o arquivo, também poderá abri-lo digitando wuroots.sst.

  3. Abra o Gerenciador de Certificados.

  4. Expanda o caminho do arquivo em Certificados – Usuário Atual até ver Certificados e selecione Certificados.

  5. No painel de detalhes, você pode ver os certificados confiáveis. Mantenha a tecla CTRL pressionada e selecione cada um dos certificados que deseja permitir. Quando terminar de escolher os certificados que deseja permitir, clique com o botão direito do mouse em um dos certificados escolhidos, selecione Todas as Tarefas e Exportar.

    • Selecione, no mínimo, dois certificados para exportar o tipo de arquivo .sst. Se você selecionar apenas um certificado, o tipo de arquivo .sst não estará mais disponível e o tipo de arquivo .cer será selecionado no lugar.

  6. No Assistente para Exportação de Certificados, selecione Avançar.

  7. Na página Formato do Arquivo de Exportação, selecione Repositório de Certificados Serializados da Microsoft (.SST) e escolha Avançar.

  8. Na página Arquivo a Ser Exportado, insira um caminho de arquivo e um nome adequado para o arquivo, como C:\AllowedCerts.sst, e selecione Avançar.

  9. Selecione Concluir. Quando você receber a notificação de que a exportação foi bem-sucedida, selecione OK.

  10. Copie o arquivo .sst criado para um controlador de domínio.

Para distribuir a lista de certificados confiáveis usando a Política de Grupo

  1. No controlador de domínio que tem o arquivo .sst personalizado, abra o Editor de Gerenciamento de Política de Grupo.

  2. Expanda Floresta, Domínios e o objeto de domínio específico que deseja modificar. Clique com o botão direito do mouse em GPO de Política de Domínio Padrão e selecione Editar.

  3. No painel de navegação, em Configuração do Computador, expanda Políticas, Configurações do Windows, Configurações de Segurança e Políticas de Chave Pública.

  4. Clique com o botão direito do mouse em Autoridades de Certificação Raiz Confiáveis e selecione Importar.

  5. No Assistente para Importação de Certificados, escolha Avançar.

  6. Insira o caminho e o nome do arquivo copiado para o controlador de domínio ou use o botão Procurar para localizar o arquivo. Selecione Avançar.

  7. Confirme que deseja colocar esses certificados no repositório de certificados Autoridades de Certificação Raiz Confiáveis selecionando Avançar. Selecione Concluir. Quando você receber a notificação de que a importação dos certificados foi bem-sucedida, selecione OK.

  8. Feche o Editor de Gerenciamento de Política de Grupo.

A política é imediatamente efetivada, mas os computadores clientes precisam ser reiniciados para receber as novas configurações. Outra opção é digitar gpupdate /force em um prompt de comandos com privilégios elevados ou no Windows PowerShell.

Configurações do Registro modificadas

As configurações descritas neste documento configuram as seguintes chaves de Registro nos computadores clientes. Essas configurações não serão removidas automaticamente se o GPO estiver desvinculado ou for removido do domínio. Essas configurações precisam ser redefinidas caso você deseje alterá-las.

  • Habilite ou desabilite o Windows AutoUpdate da CTL confiável:

    • Chave: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
    • Tipo: REG_DWORD
    • Nome: DisableRootAutoUpdate
    • Dados: 0 para habilitado ou 1 para desabilitado.
    • Padrão: não há nenhuma chave presente por padrão. Sem uma chave presente, o padrão é habilitado.

  • Habilite ou desabilite o Windows AutoUpdate da CTL não confiável:

    • Chave: SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
    • Tipo: REG_DWORD
    • Nome: EnableDisallowedCertAutoUpdate
    • Dados: 1 para habilitado ou 0 para desabilitado.
    • Padrão: não há nenhuma chave presente por padrão. Sem uma chave presente, o padrão é habilitado.

  • Defina o local do arquivo CTL compartilhado (o caminho FILE ou HTTP):

    • Chave: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
    • Tipo: REG_SZ
    • Nome: RootDirUrl
    • Dados: insira um URI de arquivo ou um HTTP válido.
    • Padrão: não há nenhuma chave presente por padrão. Sem uma chave presente, o comportamento padrão usado é o Windows Update.

Verificar CTLs confiáveis e não confiáveis

Pode ser necessário, por vários motivos, verificar todas as CTLs confiáveis e não confiáveis de um computador cliente. As opções do Certutil a seguir podem ser usadas para verificar todas as CTLs Confiáveis e não Confiáveis de um computador cliente.

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

Como verificar a hora da sua última sincronização

Para verificar a hora de sincronização mais recente no computador local para CTLs Confiáveis ou Não Confiáveis, execute o seguinte comando do CertUtil:

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"