Atualizações necessárias para Serviços de Federação do Active Directory (AD FS) (AD FS) e wap (web Proxy de Aplicativo)

A partir de outubro de 2016, todas as atualizações para todos os componentes do Windows Server são lançadas somente por meio do WU (atualização Windows). Não há mais hotfixes ou downloads individuais. Isso se aplica Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2 SP1.

Esta página lista os pacotes de rollup de interesse específico para AD FS e WAP, bem como a lista histórica de atualizações de hotfix recomendadas para AD FS e WAP.

Atualizações para AD FS e WAP no Windows Server 2016

As atualizações Windows Server 2016 são entregues mensalmente por meio Windows Atualização e são cumulativas. O pacote de atualização listado abaixo é recomendado para todos os servidores AD FS e WAP 2016 e inclui todas as atualizações necessárias anteriormente, bem como as correções mais recentes.

KB # Descrição Data de lançamento
4534271 Aborda uma possível AD FS chrome devido ao suporte de novas políticas de cookie SameSite por padrão para a versão 80 do Google Chrome. Para obter mais informações, consulte aqui. Janeiro de 2020
CVE-2019-1126 Essa atualização de segurança aborda uma vulnerabilidade Serviços de Federação do Active Directory (AD FS) (AD FS) que pode permitir que um invasor ignore a política de bloqueio de extranet. Julho de 2019
4489889 (Build do sistema operacional 14393.2879) Resolve um problema no Serviços de Federação do Active Directory (AD FS) (AD FS) que faz com que uma confiança de parte confiável duplicada apareça no console AD FS gerenciamento. Isso ocorre quando você cria ou visualiza as confianças de uma parte confiável usando o console AD FS gerenciamento.

Aborda um problema de latência de WAP (Serviços de Federação do Active Directory (AD FS)) de alta Serviços de Federação do Active Directory (AD FS) (AD FS Proxy de Aplicativo) (mais de 10.000 ms) que ocorre enquanto o ESL (Bloqueio Inteligente de Extranet) está habilitado no AD FS 2016. Essa atualização de segurança aborda a vulnerabilidade descrita em CVE-2018-16794.
Março de 2019
4487006 (Build do sistema operacional 14393.2828) Resolve um problema que faz com que as atualizações de uma confiança de parte confiável falhem ao usar o PowerShell ou o console de gerenciamento Serviços de Federação do Active Directory (AD FS) (AD FS). Esse problema ocorrerá se você configurar uma relação de confiança de parte confiável para usar uma URL de metadados online que publica mais de um PassiveRequestorEndpoint. O erro é " MSIS7615: os pontos de extremidade confiáveis especificados em uma confiança de parte confiável devem ser exclusivos para essa confiança de parte confiável".

Resolve um problema que exibe uma mensagem de erro específica para alterações de senha de complexidade externa devido às políticas de Proteção de Senha do Azure.
Fevereiro de 2019
4462928 (Build do sistema operacional 14393.2580) Aborda problemas de interoperação entre Serviços de Federação do Active Directory (AD FS) (AD FS) ESL (Bloqueio Inteligente de Extranet) e ID de Logon Alternativo. Quando a ID de Logon Alternativa estiver habilitada, as chamadas AD FS cmdlets do PowerShell, Get-AdfsAccountActivity e Reset-AdfsAccountLockout retornarão erros de "Conta não encontrada". Quando Set-AdfsAccountActivity é chamado, uma nova entrada é adicionada em vez de editar uma existente. Outubro de 2018
4343884 (Build do sistema operacional 14393.2457) Aborda um problema Serviços de Federação do Active Directory (AD FS) (AD FS) em que a Autenticação Multifa factor não funciona corretamente com dispositivos móveis que usam definições de cultura personalizadas.

Aborda um problema no Windows Hello for Business que causa um atraso significativo (15 segundos) no novo registro de usuário. Esse problema ocorre quando um módulo de segurança de hardware é usado para armazenar um certificado AD FS RA (Autoridade de Registro de Dados).
Agosto de 2018
4338822 (Build do sistema operacional 14393.2395) Resolve um problema no AD FS que mostra uma confiança de Parte Confiável duplicada no console de gerenciamento do AD FS ao criar ou exibir as Confianças de Parte Confiável no console.

Resolve um problema no AD FS que faz com que Windows Hello para Empresas falhem. O problema ocorre quando há dois provedores de declaração. O registro de PIN falhará com "Erro interno do servidor 400: não é possível obter o identificador do dispositivo".

Aborda um problema de WAP relacionado a conexões inativas que nunca terminam. Isso leva a vazamentos de recursos do sistema (por exemplo, um vazamento de memória) e a um serviço WAP que não responde mais. Resolve um AD FS que impede que os usuários selecionem uma opção de logon diferente. Isso ocorre quando os usuários optam por fazer logoff usando a Autenticação Baseada em Certificado, mas ela não foi configurada. Isso também ocorrerá se os usuários selecionarem Autenticação Baseada em Certificado e tentarem selecionar outra opção de logon. Se isso acontecer, os usuários serão redirecionados para a página Autenticação Baseada em Certificado até que fechem o navegador.
Julho de 2018
4103720 (Build do sistema operacional 14393.2273) Resolve um problema com AD FS que faz com que um logon iniciado por IdP para uma parte de confiança SAML falhe quando PreventTokenReplays estiver habilitado.

Aborda um AD FS problema que ocorre quando o OAUTH é autenticado de um dispositivo ou aplicativo de navegador. Uma alteração de senha de usuário gera uma falha e exige que o usuário saia do aplicativo ou do navegador para fazer logoff.

Resolve um problema em que a habilitação do Bloqueio Inteligente de Extranet em UTC +1 e superior (Europa e Ásia) não funcionou. Além disso, isso faz com que o bloqueio de extranet normal falhe com o seguinte erro: Get-AdfsAccountActivity: valores DateTime maiores que DateTime.MaxValue ou menores que DateTime.MinValue quando convertidos em UTC não podem ser serializados em JSON.

Aborda um AD FS Windows Hello problema de negócios no qual novos usuários não podem provisionar seu PIN. Isso ocorre quando nenhum provedor de MFA está configurado.
Maio de 2018
4093120 (Build do sistema operacional 14393.2214) Aborda um problema de validação de token de atualização sem tratamento. Ele gera o seguinte erro: "Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312: Token de atualização OAuth inválido recebido. O token de atualização foi recebido antes do horário permitido no token." Abril de 2018
4077525 (Build do sistema operacional 14393.2097) Resolve o problema em que ocorre um erro HTTP 500 quando um farm AD FS tem pelo menos dois servidores usando o WID (Banco de Dados Interno do Windows). Nesse cenário, a pré-autenticação básica HTTP no servidor WAP (web Proxy de Aplicativo) falha ao autenticar alguns usuários. Quando o erro ocorrer, você também poderá ver a ID do evento 13039 do Microsoft Windows Web Proxy de Aplicativo aviso no log de eventos do WAP. A descrição diz " Falha Proxy de Aplicativo web falhou ao autenticar o usuário. A pré-autenticação é "AD FS para clientes rich". O usuário determinado não está autorizado a acessar a parte de confiança determinada. As regras de autorização da parte de base de destino ou da parte de confiança do WAP são necessárias para serem modificadas."

Resolve o problema no qual AD FS pode mais ignorar prompt=login durante a autenticação. Uma opção Desabilitada foi adicionada para dar suporte a cenários em que a autenticação de senha não é usada. Para obter mais informações, AD FS o parâmetro "prompt=login" durante uma autenticação no Windows Server 2016 RTM.

Resolve o problema no AD FS clientes autorizados (e partes subjacentes) que selecionam Certificado como uma opção de autenticação falharão ao se conectar. A falha ocorrerá ao usar prompt=login se Windows WIA (Autenticação Integrada) estiver habilitada e a solicitação puder fazer WIA.

Resolve o problema em que AD FS exibe incorretamente a página HRD (Descoberta de Realm Inicial) quando um IDP (provedor de identidade) está associado a uma RP (parte de confiança) em um grupo OAuth. A menos que vários IDPs sejam associados ao RP no Grupo OAuth, o usuário não será mostrado na página HRD. Em vez disso, o usuário irá diretamente para o IDP associado para autenticação.
Fevereiro de 2018
4041688 (Build do sistema operacional 14393.1794) Essa correção resolve um problema que intermitentemente leva as solicitações da Autoridade do AD para o Provedor de Identidade incorreto devido ao comportamento de cache incorreto. Isso pode efetivar recursos de autenticação, como a Autenticação Multifação.

Adicionada AAD Conexão Health para relatar AD FS de servidor com fidelidade correta (usando auditoria detalhada) em farms de AD FS WS2012R2 e WS2016 mistos.

Corrigido um problema em que durante a atualização do farm 2012 R2 AD FS para o AD FS 2016, o cmdlet do PowerShell para aumentar o nível de comportamento do farm falha com um tempoout quando há muitas confianças de parte confiável.

Foi resolvido um problema em que AD FS causa falhas de autenticação modificando o valor do parâmetro wct ao federar as solicitações para outro STS (Servidor de Token de Segurança).
Outubro de 2017
4038801 (Build do sistema operacional 14393.1737) Suporte adicionado para logout OIDC usando LDPs federados. Isso permitirá "Cenários de Quiosque" em que vários usuários podem ser conectados em série em um único dispositivo em que há federação com um LDP.

Corrigido um problema do WinHello em que os certificados baseados em CEP/CES não funcionam com contas gMSA.

Corrige um problema em que o WID (Banco de Dados Interno do Windows) em servidores Windows Server 2016 AD FS falha ao sincronizar algumas configurações, como as colunas ApplicationGroupId das tabelas IdentityServerPolicy.Scopes e IdentityServerPolicy.Clients) devido a uma restrição de chave estrangeira. Essas falhas de sincronização podem causar diferentes experiências de declaração, provedor de declaração e aplicativo entre servidores primários AD FS secundários. Além disso, se a função primária wid for movida para um nó secundário, os grupos de aplicativos não serão mais gerenciáveis no UX AD FS gerenciamento.

Essa atualização corrige um problema em que a Autenticação Multifa factor não funciona corretamente com dispositivos móveis que usam definições de cultura personalizadas
Setembro de 2017
4034661 (Build do sistema operacional 14393.1613) Corrige um problema em que o endereço IP do chamador é registrado em log por 411 eventos no log de eventos de segurança do AD FS 4.0 \ Windows Server 2016 RS1 AD FS, mesmo depois de habilitar "auditorias de êxito" e "auditorias de falha".

Essa correção resolve um problema com a MFA (Autenticação Multifafação) do Azure quando um servidor ADFX está configurado para usar um Proxy HTTP.

" Foi resolvido um problema em que apresentar um certificado expirado ou revogado para o servidor proxy AD FS não retorna um erro para o usuário."
Agosto de 2017
4034658 (Build do sistema operacional 14393.1593) Correção do servidor de AD FS 2016 para dar suporte ao registro de certificado MFA para Windows Hello For Business para implantações locais Agosto de 2017
4025334 (Build do sistema operacional 14393.1532) Foi resolvido um problema em que o manipulador de token PkeyAuth poderia falhar em uma autenticação se a solicitação pkeyauth contivesse dados incorretos. A autenticação ainda deve continuar sem executar a autenticação do dispositivo Julho de 2017
4022723 (Build do sistema operacional 14393.1378) [Proxy de aplicativo Web] O valor da propriedade de configuração DisableHttpOnlyCookieProtection não é selecionado pelo WAP 2016 na implantação mista do 2012R2/2016

[proxy de aplicativo Web] não é possível obter o token de acesso do usuário de AD FS em cenários de pré-autenticação do EAS.

AD FS 2016: a saída do WSFED leva a uma exceção
Junho de 2017
3213986 atualização cumulativa para Windows Server 2016 para sistemas baseados em x64 (KB3213986) Janeiro de 2017

atualizações para AD FS e WAP no Windows Server 2012 R2

abaixo está a lista de hotfixes e pacotes cumulativos de atualizações que foram lançados para Serviços de Federação do Active Directory (AD FS) (AD FS) no Windows Server 2012 R2.

QUILOBYTE # Descrição Data de lançamento
4534309 Trata de uma possível falha de AD FS Chrome devido ao suporte de novas políticas de cookie SameSite por padrão para a versão 80 do Google Chrome. Para obter mais informações, consulte aqui. Janeiro de 2020
4507448 Essa atualização de segurança aborda uma vulnerabilidade no Serviços de Federação do Active Directory (AD FS) (AD FS) que pode permitir que um invasor ignore a política de bloqueio da extranet. Julho de 2019
4041685 Foi resolvido um problema AD FS em que os cookies MSISConext nos cabeçalhos de solicitação podem, eventualmente, exceder o limite de tamanho dos cabeçalhos e causar falha na autenticação com código de status HTTP 400 "cabeçalho de solicitação inadequado muito longo".

Corrigido um problema em que AD FS não pode mais ignorar "prompt = logon" durante a autenticação. Uma opção "Disabled" foi adicionada para os cenários de restauração em que a autenticação de não-senha é usada.
Versão prévia de outubro de 2017 do pacote cumulativo de atualizações
4019217 Os clientes de pastas de trabalho usando o agente de token não funcionam ao usar um servidor de AD FS R2 Server 2012 Pacote cumulativo de atualizações de visualização de maio de 2017
4015550 Correção de um problema com o AD FS não autenticando usuários externos e AD FS WAP falhando de forma aleatória ao encaminhar a solicitação Pacote cumulativo de atualizações de abril de 2017
4015547 Correção de um problema com o AD FS não autenticando usuários externos e AD FS WAP falhando de forma aleatória ao encaminhar a solicitação Atualização de segurança de abril de 2017
4012216 MS17-019 esta atualização de segurança resolve uma vulnerabilidade no Serviços de Federação do Active Directory (AD FS) (AD FS). A vulnerabilidade pode permitir a divulgação de informações se um invasor envia uma solicitação especialmente criada para um servidor AD FS, permitindo que o invasor Leia informações confidenciais sobre o sistema de destino. Pacote cumulativo de atualizações de março de 2017
3179574 Correção do problema com AD FS atualização de senha da extranet. Pacote cumulativo de atualizações de agosto de 2016
3172614 Introduzido o prompt = suportea logon, problema corrigido com o console de gerenciamento do AD FS e a configuração AlwaysRequireAuthentication. Pacote cumulativo de atualizações de julho de 2016
3163306 Serviços de Federação do Active Directory (AD FS) (AD FS) 3,0 não pode se conectar a repositórios de atributos do protocolo LDAP que estão configurados para usar a porta 636 ou 3269 na cadeia de conexão do protocolo SSL (SSL). Pacote cumulativo de atualizações de junho de 2016
3148533 a autenticação de fallback de MFA falha por meio do Proxy de AD FS no Windows Server 2012 R2 Maio de 2016
3134787 os logs de AD FS não contêm endereço IP do cliente para cenários de bloqueio de conta no Windows Server 2012 R2 Fevereiro de 2016
3134222 MS16-020: atualização de segurança para Serviços de Federação do Active Directory (AD FS) para endereçar a negação de serviço: 9 de fevereiro de 2016 Fevereiro de 2016
3105881 não é possível acessar aplicativos quando a autenticação do dispositivo está habilitada no servidor AD FS baseado no Windows Server 2012 R2 Outubro de 2015
3092003 a página é carregada repetidamente e a autenticação falha quando os usuários usam o MFA no Windows Server 2012 R2 AD FS Agosto de 2015
3080778 AD FS não chama onerror quando o adaptador MFA gera uma exceção no Windows Server 2012 R2 2015 de julho
3075610 as relações de confiança são perdidas no servidor de AD FS secundário depois que você adiciona ou remove o provedor de declarações no Windows Server 2012 R2 2015 de julho
3070080 O realm inicial que está descobrindo não está funcionando corretamente para confiança de terceira parte confiável sem reconhecimento de declaração Junho de 2015
3052122 a atualização adiciona suporte para declarações de ID composta em tokens de AD FS no Windows Server 2012 R2 Maio de 2015
3045711 MS15-040: vulnerabilidade no Serviços de Federação do Active Directory (AD FS) pode permitir a divulgação de informações Abril de 2015
3042127 erro "HTTP 400-solicitação inadequada" ao abrir uma caixa de correio compartilhada por meio de WAP no Windows Server 2012 R2 Março de 2015
3042121 proteção de reprodução de token AD FS para tokens de autenticação de Proxy de aplicativo Web no Windows Server 2012 R2 Março de 2015
3035025 Hotfix para o recurso de atualização de senha para que os usuários não precisem usar o dispositivo registrado no Windows Server 2012 R2 Janeiro de 2015
3033917 AD FS não é possível processar a resposta SAML no Windows Server 2012 R2 Janeiro de 2015
3025080 a operação falha quando você tenta salvar um arquivo de Office por meio do Proxy de aplicativo Web no Windows Server 2012 R2 Janeiro de 2015
3025078 você não será solicitado a fornecer o nome de usuário novamente quando usar um nome de usuário incorreto para fazer logon no Windows Server 2012 R2 Janeiro de 2015
3020813 você será solicitado a fornecer autenticação quando executar um aplicativo web no Windows Server 2012 R2 AD FS Janeiro de 2015
3020773 falhas de tempo limite após a implantação inicial do serviço de registro de dispositivo no Windows Server 2012 R2 Janeiro de 2015
3018886 você será solicitado a fornecer um nome de usuário e senha duas vezes ao acessar o Windows Server 2012 R2 AD FS Server da intranet Janeiro de 2015
3013769 acumulação de atualização do Windows Server 2012 R2 Dezembro de 2014
3000850 acumulação de atualização do Windows Server 2012 R2 Novembro de 2014
2975719 acumulação de atualização do Windows Server 2012 R2 Agosto de 2014
2967917 acumulação de atualização do Windows Server 2012 R2 Julho de 2014
2962409 acumulação de atualização do Windows Server 2012 R2 Junho de 2014
2955164 acumulação de atualização do Windows Server 2012 R2 Mai 2014
2919355 acumulação de atualização do Windows Server 2012 R2 Abril de 2014

atualizações para AD FS no Windows Server 2012 (AD FS 2,1) e AD FS 2,0

Abaixo está a lista de hotfixes e pacotes cumulativos de atualizações que foram lançados para o AD FS 2,0 e 2,1.

QUILOBYTE # Descrição Data de lançamento Aplica-se a:
3197878 a autenticação por meio do proxy falha no Windows Server 2012 (esta é a versão geral do hotfix 3094446) ROLLUP de qualidade de 2016 de novembro AD FS 2,1
3197869 a autenticação por meio do proxy falha no Windows Server 2008 R2 SP1 (esta é a versão geral do hotfix 3094446) ROLLUP de qualidade de 2016 de novembro AD FS 2.0
3094446 a autenticação por meio do proxy falha no Windows Server 2012 ou no Windows Server 2008 R2 SP1 Setembro de 2015 AD FS 2,0 e 2,1
3070078 AD FS 2,1 gera uma exceção quando você se autentica em um certificado de criptografia no Windows Server 2012 2015 de julho AD FS 2,1
3062577 MS15-062: vulnerabilidade no Active Directory serviços de Federação pode permitir a elevação de privilégio Junho de 2015 AD FS 2,0/2,1
3003381 MS14-077: vulnerabilidade no Serviços de Federação do Active Directory (AD FS) pode permitir a divulgação de informações: 14 de abril de 2015 Novembro de 2014 AD FS 2,0/2,1
2987843 O uso de memória do AD FS servidor de Federação continua aumentando quando muitos usuários fazem logon em um aplicativo Web no Windows Server 2012 Julho de 2014 AD FS 2,1
2957619 A relação de confiança de terceira parte confiável no AD FS é interrompida quando uma solicitação é feita para AD FS para um token delegado Mai 2014 AD FS 2,1
2926658 AD FS implantação de farm de SQL falhará se você não tiver permissões de SQL Outubro de 2014 AD FS 2,1
2896713 ou 2989956 A atualização está disponível para corrigir vários problemas após a instalação da atualização de segurança 2843638 em um servidor AD FS Novembro de 2013 a

2014 de setembro
AD FS 2,0/2,1
2877424 A atualização permite que você use um certificado para várias relações de confiança de terceira parte confiável em um farm AD FS 2,1 Outubro de 2013 AD FS 2,1
2873168 correção: ocorre um erro quando você usa um CSP de terceiros e um HSM e, em seguida, configura uma confiança do provedor de declarações no pacote cumulativo de atualizações 3 para AD FS 2,0 no Windows Server 2008 R2 Service Pack 1 Setembro de 2013 AD FS 2.0
2861090 uma vírgula no nome da entidade de um certificado de criptografia causa uma exceção no Windows Server 2008 R2 SP1 Agosto de 2013 AD FS 2.0
2843639 Segurança Vulnerabilidade no Serviços de Federação do Active Directory (AD FS) pode permitir a divulgação de informações Novembro de 2013 AD FS 2,1
2843638 MS13-066: Descrição da atualização de segurança para Serviços de Federação do Active Directory (AD FS) 2,0:13 de agosto de 2013 Agosto de 2013 AD FS 2.0
2827748 O arquivo de Federationmetadata.xml não contém as informações de ponto de extremidade MEX para os WS-Trust e WS-Federation pontos de extremidades no Windows Server 2012 Maio de 2013 AD FS 2,1
2790338 Descrição do pacote cumulativo de atualizações 3 para Serviços de Federação do Active Directory (AD FS) (AD FS) 2,0 Março de 2013 AD FS 2.0