نصائح إرشادية للأمان من Microsoft: وثائق تفويض الممثلين تحديث لتحسين حماية وإدارة: 13 مايو 2014


مقدمة


قامت Microsoft بإصدار أمان Microsoft النصائح الإرشادية حول هذه المشكلة لمتخصصي تكنولوجيا المعلومات. النصائح الإرشادية للأمان معلومات إضافية متعلقة بالأمان. لعرض "النصائح الإرشادية للأمان"، انتقل إلى موقع Microsoft التالي على الويب:
هام وبالإضافة إلى ذلك لتحديث 2871997، هناك العديد من التحديثات الأخرى التي تسهم في تحسين حماية بيانات الاعتماد. الرجاء قراءة هذه المقالة بعناية لفهم مجموعة التحديثات المتوفرة بالكامل.


تحديث الأسئلة المتداولة

يحتوي هذا التحديث على أية تغييرات متعلقة بالأمان الإضافية للوظيفة؟
بالإضافة إلى التغييرات المسرودة في الثغرات الأمنية الموضحة في هذه النشرة، يتضمن هذا التحديث التحديثات العمق الدفاعي للمساعدة في تحسين حماية بيانات الاعتماد وعناصر تحكم مصادقة المجال للحد من سرقة بيانات الاعتماد. لمزيد من المعلومات، راجع 2871997 النصائح الإرشادية للأمان ل Microsoft.

مزيد من المعلومات


يقدم هذا التحديث إعداد تسجيل توكينليكديتيكتديلايسيكس

هام: يحتوي هذا المقطع أو الأسلوب أو المهمة على الخطوات التي توضح كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. لذلك، تأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية للسجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في Windows

بعد تثبيت هذا التحديث الأمني، الإعداد الافتراضي للمستخدمين غير المحمية على Windows 7 و Windows 8 دون فرض مسح تسريب بيانات اعتماد جلسة عمل تسجيل الدخول. لتجاوز هذا الافتراض يمكن إضافة السجل dword التالية وتعيينه إلى قيمة المستحسنة 30 ثانية.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TokenLeakDetectDelaySecs

سيشغل هذا إزالة أية بيانات الاعتماد الخاصة بتسجيل خروج المستخدمين بعد 30 ثانية، بغض النظر إذا كان هناك ما زال مرجع إليه. هذا هو نفس السلوك الافتراضي ل Windows 8.1 و Windows 10.

السلوك الافتراضي بعد تطبيق التحديث الأمني 3126593 (MS16-014)

بعد تثبيت التحديث الأمني 3126593، الافتراضي فرض مسح بيانات الاعتماد لكافة المستخدمين. إذا كنت تريد العودة إلى السلوك القديم السابق، تعيين إدخال توكينليكديتيكتديلايسيكس إلى 0. يؤدي هذا إلى تعطيل إزالة بيانات الاعتماد الخاصة بتسجيل خروج المستخدمين غير محمية طالما بقي مرجع.

 

مراجعات

في 14 تشرين الأول/أكتوبر 2014، أصدرت Microsoft التحديثات التالية لإضافة صيغة "الإدارة المقيدة" لاتصال سطح المكتب البعيد "و" بروتوكول سطح المكتب البعيد:
2984972 للإصدارات المعتمدة من نظام التشغيل Windows 7 ونظام التشغيل Windows Server 2008 R2

تحديث 2984976 للإصدارات المعتمدة من Windows 7 و Windows Server 2008 R2 التي تحتوي على تثبيت 2592687 (تحديث 8.0 بروتوكول سطح المكتب البعيد). يجب أيضا تثبيت العملاء الذين قاموا بتثبيت التحديث 2984976 التحديث 2984972 .

تحديث 2984981 للإصدارات المعتمدة من Windows 7 و Windows Server 2008 R2 التي تحتوي على تثبيت 2830477 (8.1 اتصال سطح المكتب البعيد تحديث العميل). يجب أيضا تثبيت العملاء الذين قاموا بتثبيت التحديث 2984981 التحديث 2984972 .

2973501 بالنسبة للإصدارات المعتمدة الرايت Windows و Windows Server 2012 ويندوز 8

ملاحظة: الإصدارات المعتمدة من Windows 8.1 و Windows Server 2012 R2 Windows RT 8.1 تتضمن هذه الميزة بالفعل ولا تحتاج إلى هذا التحديث.

في 9 أيلول/سبتمبر 2014، أصدرت Microsoft التالية:
2982378 Microsoft نصائح إرشادية للأمان: بيانات اعتماد تحديث لتحسين حماية وإدارة Windows 7 و Windows Server 2008 R2: 9 أيلول/سبتمبر 2014
في 8 تموز/يوليه 2014، أصدرت Microsoft التالية:
2973351 Microsoft نصائح إرشادية للأمان: بيانات اعتماد تحديث التسجيل لتحسين حماية وإدارة للأنظمة المستندة إلى Windows تثبيت تحديث 2919355: 8 تموز/يوليه عام 2014
2975625 Microsoft نصائح إرشادية للأمان: بيانات اعتماد تحديث التسجيل لتحسين حماية وإدارة أنظمة Windows لم يتم تثبيت التحديث 2919355: 8 تموز/يوليه عام 2014
يوفر هذا التحديث إعدادات التسجيل للتكوين لإدارة وضع "المسؤول مقيد" "موفر دعم الأمان بيانات الاعتماد" (CredSSP).


ملاحظة: التغييرات التحديث الافتراضي وظيفة وضع "الإدارة المقيدة" في Windows 8.1 و Windows Server 2012 R2 Windows RT 8.1. لمزيد من المعلومات، راجع قسم "الأسئلة المتداولة" النصائح الإرشادية للأمان. الملفات التالية متوفرة للتنزيل من "مركز تحميل microsoft".

ملاحظة: استخدم الجدول التالي لتحديد ما هي التحديثات المناسبة للنظام الخاص بك.
 
التحديث الأمني رقم مقالة قاعدة المعارف نظام التشغيل
2973351 تحديث أنظمة Windows 8.1 و Windows Server 2012 R2 يكون تثبيت 2919355
2975625 تحديث أنظمة Windows 8.1 و Windows Server 2012 R2 لم يتم تثبيت 2919355
2973501 Windows RT و Windows Server 2012 ويندوز 8
2871997 7Windows Windows سيرفر 2008 R2، Windows 8 وWindows سيرفر 2012
2973351 7Windows Windows سيرفر 2008 R2، Windows 8 وWindows سيرفر 2012
2982378 Windows 7 وWindows Server 2008 R2
2984972 Windows 7 وWindows Server 2008 R2
2984976 تحديث Windows 7 و Windows Server 2008 R2 التي تحتوي على تثبيت 2592687. يجب أيضا تثبيت 2984972.
2984981 تحديث Windows 7 و Windows Server 2008 R2 التي تحتوي على تثبيت 2830477. يجب أيضا تثبيت 2984972

إعدادات WDigest

بعد تثبيت هذا التحديث الأمني، يمكنك التحكم في كيفية تثبيت WDigest يمكن حفظ بيانات الاعتماد باستخدام إعداد تسجيل. لمنع تخزين في الذاكرة WDigest بيانات الاعتماد، يمكنك تطبيق إعداد "نهج المجموعة" أوسيلوجونكريدينتيال إدخال التسجيل تحت المفتاح الفرعي التالي:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest
  • إذا تم تعيين قيمة أوسيلوجونكريدينتيال إلى 0، لن يقوم WDigest بتخزين بيانات الاعتماد في الذاكرة.
  • إذا تم تعيين قيمة أوسيلوجونكريدينتيال إلى 1، WDigest تخزين بيانات الاعتماد في الذاكرة.
بعد تثبيت هذا التحديث الأمني، هو الإعداد الافتراضي لهذه القيمة 1 في Windows 7 و Windows Server 2008 R2، ويندوز 8 و Windows Server 2012. يمكنك استخدام الحل "حل سهل" في هذه المقالة لتغيير هذا الإعداد إلى 0. سيؤدي ذلك إلى تعطيل WDigest كلمات المرور تخزين في الذاكرة.

ملاحظة: بشكل افتراضي في Windows 8.1 و Windows Server 2012 R2 و الإصدارات الأحدث، تعطيل التخزين المؤقت لبيانات الاعتماد في الذاكرة هي WDigest ( أوسيلوجونكريدينتيال قيمة الافتراضات إلى 0 في حالة عدم وجود إدخال التسجيل)-

التغيير الملحوظ في السلوك عند تعيين قيمة أوسيلوجونكريدينتيال إلى 0 أنه قد لاحظت بيانات الاعتماد المطلوبة أكثر عند استخدام WDigest.

هنا حل سهل

يتغير هذا الحل السهل تحديد مفتاح التسجيل أوسيلوجونكريدينتيال لتعطيل WDigest كلمات المرور تخزين في الذاكرة. بعد تثبيت التحديث الأمني 2871997، ومن ثم تطبيق هذا الحل حل سهل للأنظمة التي تعمل بنظام التشغيل Windows 7 أو Windows Server 2008 R2، ويندوز 8 أو Windows Server 2012، لم يعد لديك Basic (نص واضح) بيانات الاعتماد المخزنة في الذاكرة.

ملاحظة: يجب أن يكون 2871997 قبل استخدام هذا الحل السهل تحديد تثبيت التحديث الأمني.

لتمكين هذا الحل السهل تحديد، انقر فوق الزر تنزيل . في مربع الحوار تنزيل الملف ، انقر فوق تشغيل أو فتح، ومن ثم اتبع الخطوات الموجودة في المعالج حل سهل.
  • قد يكون هذا المعالج باللغة الإنكليزية فقط. ومع ذلك، يعمل الإصلاح التلقائي أيضًا لإصدارات اللغات الأخرى من Windows.
  • إذا لم تكن على الكمبيوتر الذي يحتوي على المشكلة، حفظ الحل السهل تحديد محرك أقراص أو قرص مضغوط، وقم بتشغيله على جهاز الكمبيوتر الذي يحتوي على المشكلة.
تعطيل WDigest كلمات المرور تخزين في الذاكرة

معلومات الملف


يقوم الإصدار الإنجليزي (الولايات المتحدة) من تحديث البرامج هذا بتثبيت ملفات لها سمات مسردة في الجداول التالية. يتم سرد التواريخ والأوقات الخاصة بهذه الملفات بالتوقيت العالمي المتفق عليه (UTC). يتم عرض التواريخ والأوقات الخاصة بهذه الملفات على جهاز الكمبيوتر المحلي بالتوقيت المحلي ومع التوقيت الصيفي (DST) الحالي. بالإضافة إلى ذلك، قد يتم تغيير التواريخ والأوقات عند إجراء عمليات معينة على الملفات.