Обобщена информация
Идентификационни данни защита доставчик протокол (CredSSP) е доставчик на удостоверяване, който обработва заявки за удостоверяване за други приложения. Отдалечен код изпълнение уязвимост в некръпка версии на CredSSP. Хакер, които успешно се възползва от тази уязвимост може да релеен потребителски идентификационни данни за изпълнение на код на целевата система. Всяко приложение, което зависи от CredSSP за удостоверяване може да бъде уязвим за този тип атака.
Тази актуализация се отнася за уязвимостта, като коригирате как CredSSP валидира заявки по време на процеса на удостоверяване.
За да научите повече за уязвимостта, вижте CVE-2018-0886.
Актуализации
13 март 2018.
Началната 13 март 2018, версия актуализира протокола CredSSP удостоверяване и клиенти за отдалечен работен плот за всички засегнати платформи. Смекчаване се състои от инсталиране на актуализация на всички отговарящи на изискванията клиентски и сървърни операционни системи и след това с помощта на включени настройки за групови правила или базирани в системния регистър еквиваленти за управление на опциите за настройка на клиента и сървъра компютри. Препоръчваме администраторите да прилагат правилата и да го настроите да "сила актуализирани клиенти" или "смекчени" на клиентски и сървърни компютри възможно най-скоро. Тези промени ще изискват рестартиране на засегнатите системи. Обърнете специално внимание на груповите правила или настройките на системния регистър двойки, които водят до "блокирани" взаимодействия между клиенти и сървъри в таблицата за съвместимост по-долу в тази статия.
17 април 2018.
Актуализация на актуализация на клиент за отдалечен работен плот (RDP) в KB 4093120 ще подобри съобщението за грешка, което се представя, когато актуализиран клиент не може да се свърже към сървър, който не е актуализиран.
8 май 2018.
Актуализация за промяна на настройката по подразбиране от уязвими на смекчени.
Сродни номера на базата знания на Microsoft са изброени в CVE-2018-0886.
По подразбиране след инсталирането на тази актуализация кръпка клиенти не може да комуникира с некръпка сървъри. Използвайте матрицата за оперативна съвместимост и настройките на груповите правила, описани в тази статия, за да разрешите "разрешена" конфигурация.
Групови правила
|
Път на политиката и име на настройка |
Описание |
|
Път на политиката: компютърна конфигурация-> административни шаблони-> System-> делегиране на идентификационни данни Задаване на име: възстановяване на криптиране Oracle |
Отстраняване на шифроване на Oracle Тази настройка на правила се отнася за приложения, които използват компонента CredSSP (например връзка с отдалечен работен плот). Някои версии на протокола CredSSP са уязвими за атака на Oracle за шифроване срещу клиента. Тази политика контролира съвместимостта с уязвими клиенти и сървъри. Тази политика ви позволява да зададете нивото на защита, което искате за уязвимостта на Oracle за шифроване. Ако разрешите тази настройка на правила, поддръжката на CredSSP версия ще бъде избрана въз основа на следните опции: Сила актуализирани клиенти – Клиентските приложения, които използват CredSSP, няма да могат да се върнат към несигурни версии и услугите, които използват CredSSP, няма да приемат некръпка клиенти. Забележка: Тази настройка не трябва да се разположи, докато всички отдалечени хостове поддържат най-новата версия. Смекчени – Клиентските приложения, които използват CredSSP, няма да могат да се върнат към несигурни версии, но услугите, които използват CredSSP, ще приемат некръпка клиенти. Уязвими – Клиентски приложения, които използват CredSSP ще изложи отдалечени сървъри на атаки чрез подкрепа резервен за несигурни версии и услуги, които използват CredSSP ще приеме некръпка клиенти. |
Шифроване Oracle отстраняване на груповите правила поддържа следните три опции, които трябва да се прилагат към клиенти и сървъри:
|
Настройка на правилата |
Стойност в системния регистър |
Поведение на клиента |
Поведение на сървъра |
|
Сила актуализирани клиенти |
0 |
Клиентските приложения, които използват CredSSP, няма да могат да се върнат към несигурни версии. |
Услугите, използващи CredSSP, няма да приемат незакърпени клиенти. Забележка: Тази настройка не трябва да се разположи до всички Windows и други CredSSP клиенти поддържа най-новата версия на CredSSP. |
|
Смекчени |
1 |
Клиентските приложения, които използват CredSSP, няма да могат да се върнат към несигурни версии. |
Услугите, които използват CredSSP, ще приемат незакърпени клиенти. |
|
Уязвими |
2 |
Клиентски приложения, които използват CredSSP ще изложи отдалечени сървъри на атаки чрез подкрепа резервен към несигурни версии. |
Услугите, които използват CredSSP, ще приемат незакърпени клиенти. |
Втора актуализация, за да бъде издадена на 8 май 2018, ще промени подразбиращото се поведение на опцията "смекчени".
Забележка: Всяка промяна на възстановяване на шифроване Oracle изисква рестартиране.
Стойност в системния регистър
Предупреждение Сериозни проблеми могат да възникнат, ако модифицирате системния регистър неправилно с помощта на редактора на системния регистър или чрез друг метод. Тези проблеми може да изискват преинсталиране на операционната система. Microsoft не може да гарантира, че тези проблеми могат да бъдат решени. Променете системния регистър на свой собствен риск.
Актуализацията въвежда следната настройка на системния регистър:
|
Път на системния регистър |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
Стойност |
алловенкриптионоракле |
|
Тип дата |
Dword |
|
Изисква се рестартиране? |
Да |
Матрица за оперативна съвместимост
Клиентът и сървърът трябва да бъдат актуализирани или Windows и CredSSP клиенти на трети страни може да не успеят да се свържат с Windows или други хостове. Вижте следната матрица за оперативна съвместимост за сценарии, които са или уязвими към експлоатирането или причиняват операционни повреди.
Забележка: При свързване към сървър за отдалечен работен плот на Windows сървърът може да бъде конфигуриран да използва резервен механизъм , който използва TLS протокол за удостоверяване и потребителите могат да получат различни резултати, отколкото е описано в тази матрица. Тази матрица описва само поведението на протокола CredSSP.
|
|
|
Сървър |
|||
|
Unpatched |
Сила актуализирани клиенти |
Смекчени |
Уязвими |
||
|
Клиент |
Unpatched |
Позволено |
Блокирани |
Позволено |
Позволено |
|
Сила актуализирани клиенти |
Блокирани |
Позволено |
Позволено |
Позволено |
|
|
Смекчени |
Блокирани |
Позволено |
Позволено |
Позволено |
|
|
Уязвими |
Позволено |
Позволено |
Позволено |
Позволено |
|
|
Настройка на клиента |
Състояние на пластира CVE-2018-0886 |
|
Unpatched |
Уязвими |
|
Сила актуализирани клиенти |
Сигурен |
|
Смекчени |
Сигурен |
|
Уязвими |
Уязвими |
Грешки в регистрационния файл на Windows
ИД на събитие 6041 ще бъде регистриран на кръпка Windows клиенти, ако клиентът и отдалечения хост са конфигурирани в блокирана конфигурация.
|
Регистрационен файл на събитията |
Система |
|
Източник на събитие |
LSA (LsaSrv) |
|
ИД на събитие |
6041 |
|
Текст на съобщението за събитие |
CredSSP удостоверяване на хоста < > не успя да договори обща версия на протокола. Отдалеченият хост предложи версия < протокол версия > която не е разрешена от шифроване Oracle отстраняване. |
Грешки, генерирани от CredSSP блокирани конфигурация двойки от кръпка Windows RDP клиенти
Грешки, представени от клиента на отдалечен работен плот без 17 април 2018 кръпка (KB 4093120)
|
Некръпка pre-Windows 8,1 и Windows Server 2012 R2 клиенти, сдвоени със сървъри, конфигурирани с "сила актуализирани клиенти" |
Грешки, генерирани от CredSSP блокирани конфигурация двойки от кръпка Windows 8.1/Windows Server 2012 R2 и по-нови клиенти RDP |
|
Възникна грешка при удостоверяване. Маркерът, предоставен на функцията, е невалиден |
Възникна грешка при удостоверяване. Исканата функция не се поддържа. |
Грешки, представени от клиента за отдалечен работен плот с 17 април 2018 кръпка (KB 4093120)
|
Некръпка pre-Windows 8,1 и Windows Server 2012 R2 клиенти, сдвоени със сървъри, конфигурирани с " Сила актуализирани клиенти " |
Тези грешки се генерират от CredSSP блокирани конфигурация двойки от кръпка Windows 8.1/Windows Server 2012 R2 и по-нови клиенти RDP. |
|
Възникна грешка при удостоверяване. Маркерът, предоставен на функцията, е невалиден. |
Възникна грешка при удостоверяване. Исканата функция не се поддържа. Отдалечен компютър: <хост> Това може да се дължи на CredSSP криптиране Oracle отстраняване. За повече информация вижте HTTPS://Go.Microsoft.com/fwlink/?linkid=866660 |
Клиенти и сървъри за отдалечен работен плот на трети страни
Всички клиенти или сървъри на трети лица трябва да използват най-новата версия на протокола CredSSP. Моля, свържете се с доставчиците, за да определите дали техният софтуер е съвместим с последния CredSSP протокол.
Актуализациите на протокола могат да бъдат намерени на сайта на документацията на протокола на Windows.
Промени в файла
Следните системни файлове са променени в тази актуализация.
-
tspkg.dll
Credssp. dll файлът остава непроменен. За повече информация, моля, прегледайте съответните статии за информация за версията на файла.
