الملخص
بروتوكول موفر دعم أمان بيانات الاعتماد (كريكssp) هو موفر مصادقه بمعالجه طلبات المصادقة للتطبيقات الأخرى. توجد مشكله عدم حصانه تنفيذ تعليمات برمجيه عن بعد في الإصدارات غير المصححة من كريموفر. يمكن للمهاجم الذي يستغل مشكله عدم الحصانة هذه بنجاح ترحيل بيانات اعتماد المستخدم لتنفيذ التعليمات البرمجية علي النظام الهدف. قد يكون اي تطبيق يعتمد علي كريssp للمصادقة عرضه لهذا النوع من الهجوم.
يعالج هذا التحديث الأمني مشكله عدم الحصانة عن طريق تصحيح كيفيه التحقق من صحة الطلبات اثناء عمليه المصادقة.
لمزيد من المعلومات حول مشكله عدم الحصانة ، راجع CVE 2018-0886.
التحديثات
آذار/مارس 13, 2018
الاولي 13 آذار/مارس 2018 الإصدار تحديثات بروتوكول المصادقة كريموفر وعملاء "سطح المكتب البعيد" لكافة الانظمه الاساسيه المتاثره. يتكون التخفيف من تثبيت التحديث علي كافة أنظمه تشغيل العميل والملقم المؤهلة ومن ثم استخدام إعدادات "نهج المجموعة" المضمنة أو المكافئات المستندة إلى التسجيل لأداره خيارات الاعداد علي أجهزه الكمبيوتر العميلة والملقم. نوصي بان يقوم المسؤولون بتطبيق النهج وتعيينه إلى "فرض العملاء المحدثين" أو "التخفيف" علي أجهزه كمبيوتر العميل والملقم في أقرب وقت ممكن. ستتطلب هذه التغييرات أعاده تشغيل الانظمه المتاثره. إيلاء اهتمام وثيق إلى "نهج المجموعة" أو أزواج إعدادات التسجيل التي تؤدي إلى التفاعلات "المحظورة" بين العملاء والملقمات في جدول التوافق لاحقا في هذه المقالة.
ابريل 17, 2018
تحديث عميل سطح المكتب البعيد (RDP) في 4093120 كيلو بايت سيتم تحسين رسالة الخطا التي يتم تقديمها عند فشل عميل محدث للاتصال بملقم لم يتم تحديثه.
8 أيار/مايو 2018
تحديث لتغيير الاعداد الافتراضي من العرضة إلى التخفيف.
يتم سرد أرقام "قاعده المعارف ل Microsoft" ذات الصلة في CVE-2018-0886.
بشكل افتراضي ، بعد تثبيت هذا التحديث ، لا يمكن الاتصال عملاء مصححه مع ملقمات غير مصححه. استخدام مصفوفة امكانيه التشغيل المتداخل وإعدادات نهج المجموعة الموضحة في هذه المقالة لتمكين تكوين "مسموح به".
نهج المجموعة
|
مسار النهج واسم الاعداد |
الوصف |
|
مسار نهج: تكوين الكمبيوتر-> قوالب الاداره-> نظام-> تفويض بيانات الاعتماد اسم الاعداد: تشفير اوراكل الإصلاح |
التشفير اوراكل الإصلاح يتم تطبيق هذا النهج علي التطبيقات التي تستخدم مكون كريssp (علي سبيل المثال ، الاتصال بسطح المكتب البعيد). بعض الإصدارات من بروتوكول كريssp عرضه لهجوم oracle تشفير ضد العميل. يتحكم هذا النهج في التوافق مع العملاء الضعفاء والملقمات. يسمح لك هذا النهج بتعيين مستوي الحماية الذي تريده لمشكله عدم حصانه oracle التشفير. إذا قمت بتمكين اعداد النهج هذا ، سيتم تحديد اعتماد الإصدار الخاص ب "كريموفر" استنادا إلى الخيارات التالية: فرض تحديث العملاء- لن تتمكن تطبيقات العميل التي تستخدم كريssp من التراجع إلى إصدارات غير أمنه ، ولن تقبل الخدمات التي تستخدم كريssp العملاء غير المصححين. ملاحظه لا يجب نشر هذا الاعداد حتى يعتمد كافة الاجهزه المضيفة البعيدة الإصدار الأحدث. خففت – تطبيقات العميل التي تستخدم كريssp لن تكون قادرا علي التراجع إلى الإصدارات غير الامنه ، ولكن الخدمات التي تستخدم كريssp ستقبل العملاء غير المصححة. ضعيفه – ستعرض تطبيقات العميل التي تستخدم كريكssp الملقمات البعيدة للهجمات عن طريق دعم الرجوع إلى الإصدارات غير الامنه ، ستقبل الخدمات التي تستخدم كريكssp العملاء غير المصححين. |
يعتمد نهج مجموعه الإصلاح Oracle التشفير الخيارات الثلاثة التالية التي يجب تطبيقها علي العملاء والملقمات:
|
اعداد السياسات |
قيمه التسجيل |
سلوك العميل |
سلوك الخادم |
|
فرض تحديث العملاء |
0 |
لن تتمكن تطبيقات العميل التي تستخدم كريssp من التراجع إلى إصدارات غير أمنه. |
لن تقبل الخدمات التي تستخدم كريssp العملاء غير المصححين. ملاحظه يجب ان لا يتم نشر هذا الاعداد حتى يدعم كافة Windows وعملاء الجهات الخارجية الموثوق بها الإصدار الأحدث كريموفر. |
|
التخفيف |
1 |
لن تتمكن تطبيقات العميل التي تستخدم كريssp من التراجع إلى إصدارات غير أمنه. |
ستقبل الخدمات التي تستخدم كريssp عملاء غير مصححه . |
|
الضعيفه |
2 |
ستعرض تطبيقات العميل التي تستخدم كريكssp الملقمات البعيدة للهجمات عن طريق دعم الرجوع إلى الإصدارات غير الامنه. |
ستقبل الخدمات التي تستخدم كريssp عملاء غير مصححه . |
تحديث ثان ، ليتم إصدارها في 8 مايو 2018 ، سيتم تغيير السلوك الافتراضي إلى الخيار "التخفيف".
ملاحظه اي تغيير في "التشفير Oracle الإصلاح" يتطلب أعاده تشغيل.
قيمه التسجيل
تحذير قد تحدث مشكلات خطيره إذا قمت بتعديل التسجيل بشكل غير صحيح باستخدام "محرر التسجيل" أو باستخدام أسلوب آخر. قد تتطلب هذه المشكلات أعاده تثبيت نظام التشغيل. لا تضمن Microsoft امكانيه حل هذه المشكلات. تعديل السجل علي مسؤوليتك الخاصة.
يقدم التحديث اعداد التسجيل التالي:
|
مسار التسجيل |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
قيمه |
اللووينكريبتيونوراكلي |
|
نوع التاريخ |
Dword |
|
هل تحتاج إلى أعاده التشغيل ؟ |
نعم |
مصفوفة قابليه التشغيل البيني
يجب تحديث كل من العميل والملقم ، أو قد لا يتمكن Windows وعملاء الجهات الخارجية الموثوق بها من الاتصال ب Windows أو الاجهزه المضيفة لجهة خارجيه. راجع مصفوفة امكانيه التشغيل المتداخل التالية لسيناريوهات التي تكون اما عرضه للاستغلال أو التسبب في فشل العمليات.
ملاحظه عند الاتصال بملقم "سطح المكتب البعيد ل Windows" ، يمكن تكوين الملقم لاستخدام اليه احتياطيه تستخدم بروتوكول TLS للمصادقة ، وقد يحصل المستخدمون علي نتائج مختلفه عما هو موضح في هذه المصفوفة. توضح هذه المصفوفة سلوك بروتوكول كريميموفر فقط.
|
|
|
ملقم |
|||
|
اونباتشيد |
فرض تحديث العملاء |
التخفيف |
الضعيفه |
||
|
العميل |
اونباتشيد |
يسمح |
حظر |
يسمح |
يسمح |
|
فرض تحديث العملاء |
حظر |
يسمح |
يسمح |
يسمح |
|
|
التخفيف |
حظر |
يسمح |
يسمح |
يسمح |
|
|
الضعيفه |
يسمح |
يسمح |
يسمح |
يسمح |
|
|
اعداد العميل |
CVE-2018-0886 حاله التصحيح |
|
اونباتشيد |
الضعيفه |
|
فرض تحديث العملاء |
تامين |
|
التخفيف |
تامين |
|
الضعيفه |
الضعيفه |
أخطاء سجل احداث Windows
سيتم تسجيل معرف الحدث 6041 علي عملاء Windows مصححه إذا تم تكوين العميل والمضيف البعيد في تكوين المحظورة.
|
سجل الاحداث |
نظام |
|
مصدر الحدث |
LSA (LsaSrv) |
|
معرف الحدث |
6041 |
|
نص رسالة الحدث |
فشلت مصادقه كريموفر إلى < اسم المضيف > في التفاوض علي إصدار بروتوكول مشترك. عرض المضيف البعيد إصدار < بروتوكول الإصدار > غير مسموح به بواسطة "التشفير Oracle الإصلاح". |
أخطاء التي تم إنشاؤها بواسطة أزواج التكوين المحظورة كريssp بواسطة مصححات Windows RDP العملاء
أخطاء المقدمة من قبل "عميل سطح المكتب البعيد" دون 17 ابريل 2018 التصحيح (KB 4093120)
|
غير مصححه قبل Windows 8.1 و Windows Server 2012 R2 العملاء المقترنة مع الملقمات التي تم تكوينها مع "فرض تحديث العملاء" |
أخطاء التي تم إنشاؤها بواسطة أزواج التكوين كريssp المحظورة بواسطة مصححه Windows 8.1/Windows Server 2012 R2 وعملاء RDP اللاحقة |
|
حدث خطا في المصادقة. الرمز المميز الذي تم توفيره للدالة غير صالح |
حدث خطا في المصادقة. الدالة المطلوبة غير معتمده. |
أخطاء المقدمة من قبل عميل سطح المكتب البعيد مع 17 ابريل 2018 التصحيح (KB 4093120)
|
غير مصححه قبل windows 8.1 و Windows Server 2012 R2 العملاء المقترنة مع الملقمات التي تم تكوينها مع " فرض تحديث العملاء " |
يتم إنشاء هذه الأخطاء بواسطة أزواج التكوين المحظورة كريssp بواسطة مصححه Windows 8.1/Windows Server 2012 R2 وعملاء RDP اللاحقة. |
|
حدث خطا في المصادقة. الرمز المميز الذي تم توفيره للدالة غير صالح. |
حدث خطا في المصادقة. الدالة المطلوبة غير معتمده. الكمبيوتر البعيد: < اسمالمضيف> يمكن ان يكون هذا بسبب التشفير كريموفر oracle الإصلاح. لمزيد من المعلومات ، راجع https://go.microsoft.com/fwlink/?linkid=866660 |
عملاء وخوادم سطح المكتب البعيد لجهة خارجيه
يجب ان تستخدم كافة عملاء الجهات الخارجية أو ملقمات الإصدار الأحدث من البروتوكول كريموفر. الرجاء الاتصال بالموردين لتحديد ما إذا كان البرنامج الخاص بهم متوافق مع أحدث بروتوكول كريموفر.
يمكن العثور علي تحديثات البروتوكول علي موقع "وثائق بروتوكول Windows".
تغييرات الملف
تم تغيير ملفات النظام التالية في هذا التحديث.
-
tspkg.dll
يبقي الملف الخاص ب .dll بدون تغيير. لمزيد من المعلومات ، الرجاء مراجعه المقالات ذات الصلة للحصول علي معلومات إصدار الملف.
