Atualizações necessárias para Serviços de Federação do Active Directory (AD FS) e WAP (Proxy de aplicativo Web)
A partir de outubro de 2016, todas as atualizações para os componentes do Windows Server serão lançadas somente por meio de Windows Update (WU). Hotfixes ou downloads individuais não exitem mais. Isso se aplica ao Windows Server 2016, ao Windows Server 2012 R2, ao Windows Server 2012 e ao Windows Server 2008 R2 SP1.
Esta página lista pacotes cumulativos de interesse específico dos AD FS e do WAP, bem como a lista histórica de atualizações de hotfix recomendadas para os AD FS e o WAP.
Atualizações para AD FS e WAP no Windows Server 2016
Atualizações para Windows Server 2016 são entregues mensalmente por meio do Windows Update e são cumulativas. O pacote de atualização listado abaixo é recomendado para todos os servidores dos AD FS e WAP 2016 e inclui todas as atualizações necessárias anteriormente, bem como as correções mais recentes.
| KB # | Descrição | Data de lançamento |
|---|---|---|
| 4534271 | Aborda uma possível falha do Chrome dos AD FS devido ao suporte a novas políticas de cookies SameSite por padrão para a versão 80 do Google Chrome. Para obter mais informações, confira aqui. | Janeiro de 2020 |
| CVE-2019-1126 | Essa atualização de segurança aborda uma vulnerabilidade nos Serviços de Federação do Active Directory (AD FS) que pode permitir que um invasor ignore a política de bloqueio da extranet. | Julho de 2019 |
| 4489889 (Build sistema operacional 14393.2879) | Aborda um problema nos Serviços de Federação do Active Directory (AD FS) que faz com que um objeto de confiança de terceira parte confiável duplicado seja exibido no console de gerenciamento dos AD FS. Isso ocorre quando você cria ou exibe objetos de confiança de terceira parte confiável usando o console de gerenciamento dos AD FS. Aborda um problema de latência alta de WAP (Proxy de aplicativo Web) dos Serviços de Federação do Active Directory (AD FS) (superior a 10.000ms), que ocorre enquanto o ESL (Bloqueio inteligente da extranet) está habilitado nos AD FS 2016. Essa atualização de segurança aborda a vulnerabilidade descrita em CVE-2018-16794. | Março de 2019 |
| 4487006 (Build sistema operacional 14393.2828) | Aborda um problema que faz com que as atualizações de um objeto de confiança de terceira parte confiável falhem ao usar o PowerShell ou o console de gerenciamento dos Serviços de Federação do Active Directory (AD FS). Esse problema ocorrerá se você configurar uma relação de confiança de terceira parte confiável para usar uma URL de metadados online que publica mais de um PassiveRequestorEndpoint. O erro é: "MSIS7615: os pontos de extremidade confiáveis especificados em um objeto de confiança de terceira parte confiável devem ser exclusivos para ele". Aborda um problema que exibe uma mensagem de erro específica para alterações de senha de complexidade externa devido as políticas de Proteção de Senha do Azure. | Fevereiro de 2019 |
| 4462928 (Build do sistema operacional 14393.2580) | Aborda problemas de interoperação entre o ESL (Bloqueio inteligente da extranet) e a ID de logon alternativa dos Serviços de Federação do Active Directory (AD FS). Quando a ID de logon alternativa estiver habilitada, as chamadas para cmdlets do PowerShell dos AD FS, Get-AdfsAccountActivity e Reset-AdfsAccountLockout retornarão erros de "Conta não encontrada". Quando Set-AdfsAccountActivity é chamado, uma nova entrada é adicionada em vez de editar uma existente. | Outubro de 2018 |
| 4343884 (Build do sistema operacional 14393.2457) | Aborda um problema dos Serviços de Federação do Active Directory (AD FS) em que a Autenticação Multifator não funciona corretamente com dispositivos móveis que usam definições de cultura personalizadas. Aborda um problema no Windows Hello para Negócios que causa um atraso significativo (de 15 segundos) no novo registro de usuário. Esse problema ocorre quando um módulo de segurança de hardware é usado para armazenar um certificado de AR (autoridade de registro) dos AD FS. | Agosto de 2018 |
| 4338822 (Build do sistema operacional 14393.2395) | Aborda um problema nos AD FS que mostra um objeto de confiança de terceira parte confiável duplicado no console de gerenciamento dos AD FS ao criar ou exibir objetos de confiança de terceira parte confiável do console. Aborda um problema nos AD FS que faz com que Windows Hello para Negócios falhem. O problema ocorre quando há dois provedores de declaração. O registro de PIN falhará com: "Erro do servidor interno 400: não é possível obter o identificador do dispositivo". Aborda um problema WAP relacionado a conexões inativas que nunca terminam. Isso leva a vazamentos de recursos do sistema (por exemplo, um vazamento de memória) e a um serviço WAP que não é mais responsivo. Aborda um problema dos AD FS que impede que os usuários selecionem uma opção de logon diferente. Isso ocorre quando os usuários optam por fazer logon usando a Autenticação baseada em certificado, mas ela não foi configurada. Isso também ocorrerá se os usuários selecionarem a Autenticação baseada em certificado e tentarem selecionar outra opção de logon. Se isso acontecer, os usuários serão redirecionados para a página de Autenticação baseada em certificado até fecharem o navegador. | Julho de 2018 |
| 4103720 (Build do sistema operacional 14393.2273) | Aborda um problema com os AD FS que faz com que um logon iniciado por IdP para uma terceira parte confiável do SAML falhe quando PreventTokenReplays estiver habilitado. Aborda um problema dos AD FS que ocorre quando o OAUTH se autentica de um aplicativo do dispositivo ou navegador. Uma alteração de senha de usuário gera uma falha e exige que o usuário saia do aplicativo ou navegador para fazer logon. Aborda um problema no qual a habilitação do Bloqueio inteligente da extranet em UTC +1 e superior (Europa e Ásia) não funcionava. Além disso, isso faz com que o Bloqueio da Extranet normal falhe com o seguinte erro: Get-AdfsAccountActivity: valores DateTime maiores que DateTime.MaxValue ou menores que DateTime.MinValue quando convertidos em UTC não podem ser serializados para JSON. Aborda um problema de Windows Hello para negócios dos AD FS no qual novos usuários não podem provisionar seu PIN. Isso ocorre quando nenhum provedor de MFA está configurado. | Maio de 2018 |
| 4093120 (Build do sistema operacional 14393.2214) | Aborda um problema de validação de token de atualização sem tratamento. Ele gera o seguinte erro: "Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312: recebeu token de atualização de OAuth inválido. O token de atualização foi recebido antes do horário permitido no token." | Abril de 2018 |
| 4077525 (Build do sistema operacional 14393.2097) | Aborda o problema em que ocorre um erro HTTP 500 quando um farm dos AD FS tem pelo menos dois servidores usando o Banco de Dados Interno do Windows (WID). Nesse cenário, a pré-autenticação básica HTTP no servidor WAP (Proxy de aplicativo Web) falha ao autenticar alguns usuários. Quando o erro ocorrer, também será possível exibir o aviso ID do Evento 13039 do Proxy de aplicativo Web do Microsoft Windows no log de eventos do WAP. A descrição diz: "Falha no Proxy de aplicativo Web ao autenticar o usuário. A pré-autenticação é "AD FS para clientes avançados". O usuário determinado não está autorizado a acessar a terceira parte confiável fornecida. As regras de autorização da terceira parte confiável de destino ou da terceira parte confiável do WAP são necessárias para serem modificadas." Aborda o problema no qual os AD FS não podem mais ignorar prompt=login durante a autenticação. Uma opção Desabilitada foi adicionada a cenários de suporte nos quais a autenticação de senha não é usada. Para obter mais informações, consulte AD FS ignora o parâmetro "prompt=login" durante uma autenticação no Windows Server 2016 RTM. Aborda o problema nos AD FS em que clientes autorizados (e terceiras partes confiáveis) que selecionam Certificado como uma opção de autenticação obterão falha ao se conectar. A falha ocorre ao usar prompt=login se a WIA (Autenticação integrada do Windows) estiver habilitada e a solicitação puder fazê-la. Aborda o problema em que os AD FS exibem incorretamente a página de HRD (Descoberta de realm inicial) quando um IDP (provedor de identidade) está associado a uma terceira parte confiável (RP) em um Grupo OAuth. A menos que vários IDPs estejam associados à RP no Grupo OAuth, o usuário não será exibido na página de HRD. Em vez disso, o usuário irá diretamente para o IDP associado para autenticação. | Fevereiro de 2018 |
| 4041688 (Build do sistema operacional 14393.1794) | Essa correção aborda um problema que redireciona intermitentemente as solicitações da Autoridade do AD para o Provedor de Identidade errado devido ao comportamento de cache incorreto. Isso pode afetar recursos de autenticação, como a Autenticação Multifator. Adicionada a capacidade do Microsoft Entra Connect Health de relatar a integridade do servidor dos AD FS com fidelidade correta (usando auditoria detalhada) em farms dos AD FS mistos do WS2012R2 e do WS2016. Corrigido um problema em que, durante a atualização do farm dos AD FS 2012 R2 para os AD FS 2016, o cmdlet do PowerShell para elevar o nível de comportamento do farm falha com um tempo limite quando há muitos objetos de confiança de terceira parte confiável. Abordado um problema em que o AD FS causa falhas de autenticação modificando o valor do parâmetro wct ao federar as solicitações para outro STS (Serviço de token de segurança). | Outubro de 2017 |
| 4038801 (Build do sistema operacional 14393.1737) | Adicionado suporte para logoff OIDC usando LDPs federados. Isso permitirá "Cenários de Kiosk" em que vários usuários podem ser conectados serialmente em um único dispositivo em que há federação com um LDP. Corrigido um problema do WinHello em que os certificados baseados em PRC/CES não funcionava com contas gMSA. Corrige um problema em que o Banco de dados interno do Windows (WID) em servidores dos AD FS do Windows Server 2016 falham ao sincronizar algumas configurações (como as colunas ApplicationGroupId das tabelas IdentityServerPolicy.Scopes e IdentityServerPolicy.Clients) devido a uma restrição de chave estrangeira. Essas falhas de sincronização podem causar experiências de declaração, provedor de declarações e aplicativos diferentes entre servidores dos AD FS primários e secundários. Além disso, se a função primária do WID for movida para um nó secundário, os grupos de aplicativos não serão mais gerenciáveis na UX de gerenciamento dos AD FS. Essa atualização corrige um problema em que a Autenticação Multifator não funciona corretamente com dispositivos móveis que usam definições de cultura personalizadas | Setembro de 2017 |
| 4034661 (Build do sistema operacional 14393.1613) | Corrige um problema em que o endereço IP do chamador é registrado por 411 eventos no log de Eventos de Segurança dos AD FS 4.0\servidores dos AD FS do Windows Server 2016 RS1 mesmo depois de habilitar "auditorias com êxito" e "auditorias com falha". Essa correção aborda um problema com a MFA (Autenticação Multifator do Azure) quando um servidor ADFX é configurado para usar um Proxy HTTP."Abordado um problema em que a apresentação de um certificado expirado ou revogado para o servidor proxy do AD FS não retorna um erro para o usuário." | Agosto de 2017 |
| 4034658 (Build do sistema operacional 14393.1593) | Correção do servidor dos AD FS 2016 para dar suporte ao registro de certificado MFA do Windows Hello para Negócios em implantações locais | Agosto de 2017 |
| 4025334 (Build do sistema operacional 14393.1532) | Abordado um problema em que o identificador de token PkeyAuth poderia gerar falha em uma autenticação se houvesse dados incorretos na solicitação pkeyauth. A autenticação ainda deve continuar sem executar a autenticação do dispositivo | Julho de 2017 |
| 4022723 (Build do sistema operacional 14393.1378) | [Proxy de Aplicativo Web] O valor da propriedade de configuração DisableHttpOnlyCookieProtection não é captado pelo WAP 2016 na implantação mista de 2012R2/2016 [Proxy de aplicativo Web] Não é possível obter o token de acesso do usuário dos AD FS em cenários de pré-autenticação do EAS. AD FS 2016: a saída do WSFED gera uma exceção | Junho de 2017 |
| 3213986 | Atualização cumulativa para Windows Server 2016 em sistemas baseados em x64 (KB3213986) | Janeiro de 2017 |
Atualizações para AD FS e WAP no Windows Server 2012 R2
Abaixo está a lista de hotfixes e pacotes cumulativos de atualizações que foram lançados para os Serviços de Federação do Active Directory (AD FS) no Windows Server 2012 R2.
| KB # | Descrição | Data de lançamento |
|---|---|---|
| 4534309 | Aborda uma possível falha do Chrome dos AD FS devido ao suporte a novas políticas de cookies SameSite por padrão para a versão 80 do Google Chrome. Para obter mais informações, confira aqui. | Janeiro de 2020 |
| 4507448 | Essa atualização de segurança aborda uma vulnerabilidade nos Serviços de Federação do Active Directory (AD FS) que pode permitir que um invasor ignore a política de bloqueio da extranet. | Julho de 2019 |
| 4041685 | Abordado um problema dos AD FS em que os cookies MSISConext nos cabeçalhos de solicitação podem em algum momento exceder o limite de tamanho dos cabeçalhos e causar falha na autenticação com o código de status HTTP 400 "Solicitação incorreta: cabeçalho longo demais". Corrigido um problema em que os AD FS não podem mais ignorar "prompt=login" durante a autenticação. Uma opção "Desabilitada" foi adicionada para restaurar cenários em que são usados a autenticação sem senha. | Versão prévia do pacote cumulativo de atualizações de outubro de 2017 |
| 4019217 | Os clientes de Pastas de Trabalho que usam o agente de token não funcionam ao usar um servidor AD FS do Server 2012 R2 | Pacote cumulativo de atualizações de maio de 2017 |
| 4015550 | Corrigido um problema com os AD FS não autenticando usuários externos e o WAP dos AD FS falhando aleatoriamente ao encaminhar a solicitação | Pacote cumulativo de atualizações de abril de 2017 |
| 4015547 | Corrigido um problema com os AD FS não autenticando usuários externos e o WAP dos AD FS falhando aleatoriamente ao encaminhar a solicitação | Atualizações de segurança de abril de 2017 |
| 4012216 | MS17-019 Essa atualização de segurança resolve uma vulnerabilidade nos Serviços de Federação do Active Directory (AD FS). A vulnerabilidade permitiria a divulgação de informações se um invasor enviasse uma solicitação especialmente elaborada para um servidor dos AD FS, permitindo que o invasor fizesse a leitura de informações confidenciais sobre o sistema de destino. | Pacote cumulativo de atualizações de março de 2017 |
| 3179574 | Corrigido o problema com a atualização de senha da extranet dos AD FS. | Pacote cumulativo de atualizações de agosto de 2016 |
| 3172614 | Introdução do suporte ao prompt=login, corrigido o problema com o console de gerenciamento dos AD FS e a configuração AlwaysRequireAuthentication. | Pacote cumulativo de atualizações de julho de 2016 |
| Os Serviços de Federação do Active Directory (AD FS) 3.0 não podem se conectar aos repositórios de atributos LDAP (Protocolo LDAP) configurados para usar a porta SSL (Protocolo SSL) 636 ou 3269 na cadeia de conexão. | Pacote cumulativo de atualizações de junho de 2016 | |
| 3148533 | A autenticação de fallback da MFA obtém falha por meio do proxy dos AD FS no Windows Server 2012 R2 | Maio de 2016 |
| 3134787 | Os logs dos AD FS não contêm o endereço IP do cliente para cenários de bloqueio de conta no Windows Server 2012 R2 | Fevereiro de 2016 |
| 3134222 | MS16-020: atualização de segurança para os Serviços de Federação do Active Directory (AD FS) abordar a negação de serviço: 9 de fevereiro de 2016 | Fevereiro de 2016 |
| 3105881 | Não é possível acessar aplicativos quando a autenticação de dispositivo está habilitada no servidor dos AD FS baseado em Windows Server 2012 R2 | Outubro de 2015 |
| 3092003 | A página é carregada repetidamente e a autenticação obtém falha quando os usuários usam a MFA nos AD FS do Windows Server 2012 R2 | Agosto de 2015 |
| 3080778 | Os AD FS não chamam OnError quando o adaptador de MFA gera uma exceção no Windows Server 2012 R2 | 2015 de julho |
| 3075610 | As relações de confiança são perdidas no servidor dos AD FS secundário depois de adicionar ou remover o provedor de declarações no Windows Server 2012 R2 | 2015 de julho |
| 3070080 | A descoberta realm inicial não está funcionando corretamente no objeto de confiança de terceira parte confiável sem reconhecimento de declarações | Junho de 2015 |
| 3052122 | A atualização adiciona suporte para declarações de ID composta em tokens dos AD FS no Windows Server 2012 R2 | Maio de 2015 |
| 3045711 | MS15-040: a vulnerabilidade nos Serviços de Federação do Active Directory pode permitir a divulgação de informações | Abril de 2015 |
| 3042127 | Erro "HTTP 400 – Solicitação incorreta" ao abrir uma caixa de correio compartilhada por meio do WAP no Windows Server 2012 R2 | Março de 2015 |
| 3042121 | Proteção de reprodução de token dos AD FS para tokens de autenticação do Proxy de aplicativo Web no Windows Server 2012 R2 | Março de 2015 |
| 3035025 | Hotfix para atualizar o recurso de senha para que os usuários não precisem usar o dispositivo registrado no Windows Server 2012 R2 | Janeiro de 2015 |
| 3033917 | Os AD FS não podem processar a resposta SAML no Windows Server 2012 R2 | Janeiro de 2015 |
| 3025080 | A operação obtém falha ao tentar salvar um arquivo do Office por meio do Proxy de aplicativo Web no Windows Server 2012 R2 | Janeiro de 2015 |
| 3025078 | Você não receberá uma solicitação para fornecer o nome de usuário novamente ao usar um nome de usuário incorreto para fazer logon no Windows Server 2012 R2 | Janeiro de 2015 |
| 3020813 | Você receberá uma solicitação de autenticação ao executar um aplicativo Web nos AD FS do Windows Server 2012 R2 | Janeiro de 2015 |
| 3020773 | Falhas de tempo limite após a implantação inicial do serviço de Registro de Dispositivo no Windows Server 2012 R2 | Janeiro de 2015 |
| 3018886 | Você receberá uma solicitação para fornecer um nome de usuário e uma senha duas vezes ao acessar o servidor dos AD FS do Windows Server 2012 R2 da intranet | Janeiro de 2015 |
| 3013769 | Pacote cumulativo de atualizações do Windows Server 2012 R2 | Dezembro de 2014 |
| 3000850 | Pacote cumulativo de atualizações do Windows Server 2012 R2 | Novembro de 2014 |
| 2975719 | Pacote cumulativo de atualizações do Windows Server 2012 R2 | Agosto de 2014 |
| 2967917 | Pacote cumulativo de atualizações do Windows Server 2012 R2 | Julho de 2014 |
| 2962409 | Pacote cumulativo de atualizações do Windows Server 2012 R2 | Junho de 2014 |
| 2955164 | Pacote cumulativo de atualizações do Windows Server 2012 R2 | Mai 2014 |
| 2919355 | Pacote cumulativo de atualizações do Windows Server 2012 R2 | Abril de 2014 |
Atualizações para os AD FS no Windows Server 2012 (AD FS 2.1) e AD FS 2.0
Confira a lista de hotfixes e pacotes cumulativos de atualizações que foram lançados para os AD FS 2.0 e 2.1.
| KB # | Descrição | Data de lançamento | Aplica-se a: |
|---|---|---|---|
| 3197878 | A autenticação por meio de proxy obtém falha no Windows Server 2012 (esta é a versão geral do hotfix 3094446) | Pacote cumulativo de atualizações de qualidade de novembro de 2016 | AD FS 2.1 |
| 3197869 | A autenticação por meio de proxy obtém falha no Windows Server 2008 R2 SP1 (esta é a versão geral do hotfix 3094446) | Pacote cumulativo de atualizações de qualidade de novembro de 2016 | AD FS 2.0 |
| 3094446 | Autenticação por meio do proxy obtém falha no Windows Server 2012 ou no Windows Server 2008 R2 SP1 | Setembro de 2015 | AD FS 2.0 e 2.1 |
| 3070078 | Os AD FS 2.1 geram uma exceção quando você se autentica em um certificado de criptografia no Windows Server 2012 | 2015 de julho | AD FS 2.1 |
| 3062577 | MS15-062: a vulnerabilidade nos Serviços de Federação do Active Directory pode permitir a elevação de privilégios | Junho de 2015 | AD FS 2.0 / 2.1 |
| 3003381 | MS14-077: a vulnerabilidade nos Serviços de Federação do Active Directory pode permitir a divulgação de informações: 14 abril de 2015 | Novembro de 2014 | AD FS 2.0 / 2.1 |
| 2987843 | O uso de memória do servidor de federação dos AD FS continua aumentando quando muitos usuários fazem logon em um aplicativo Web no Windows Server 2012 | Julho de 2014 | AD FS 2.1 |
| 2957619 | O objeto de confiança de terceira parte confiável nos AD FS é interrompida quando uma solicitação é feita ao AD FS para um token delegado | Mai 2014 | AD FS 2.1 |
| 2926658 | Falha na implantação do farm do SQL dos AD FS se você não tiver permissões SQL | Outubro de 2014 | AD FS 2.1 |
| 2896713 ou 2989956 | A atualização está disponível para corrigir vários problemas depois de instalar a atualização de segurança 2843638 em um servidor dos AD FS | Novembro de 2013setembro de 2014 | AD FS 2.0 / 2.1 |
| 2877424 | A atualização permite que você use um certificado para vários objetos de confiança de terceira parte confiável em um farm 2.1 dos AD FS | Outubro de 2013 | AD FS 2.1 |
| 2873168 | CORREÇÃO: ocorre um erro quando você usa um CSP e um HSM de terceiros e configura uma relação de confiança do provedor de declarações no Pacote cumulativo de atualizações 3 para os AD FS 2.0 no Windows Server 2008 R2 Service Pack 1 | Setembro de 2013 | AD FS 2.0 |
| Uma vírgula no nome da entidade de um certificado de criptografia causa uma exceção no Windows Server 2008 R2 SP1 | Agosto de 2013 | AD FS 2.0 | |
| 2843639 | [Segurança] A vulnerabilidade nos Serviços de Federação do Active Directory pode permitir a divulgação de informações | Novembro de 2013 | AD FS 2.1 |
| 2843638 | MS13-066: descrição da atualização de segurança para Serviços de Federação do Active Directory (AD FS) 2.0: 13 de agosto de 2013 | Agosto de 2013 | AD FS 2.0 |
| 2827748 | O arquivo federationmetadata.xml não contém as informações do ponto de extremidade MEX para os pontos de extremidade WS-Trust e Web Services Federation no Windows Server 2012 | Maio de 2013 | AD FS 2.1 |
| 2790338 | Descrição do pacote cumulativo de atualizações 3 para os Serviços de Federação do Active Directory (AD FS) 2.0 | Março de 2013 | AD FS 2.0 |