Shrnutí
Protokol zprostředkovatele podpory zabezpečení pověření (CredSSP) je zprostředkovatel ověřování, který zpracovává požadavky na ověření pro jiné aplikace. Byla zjištěna chyba zabezpečení v neopravené verzi služby Důvěřssp. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl předat pověření uživatele ke spuštění kódu v cílovém systému. Všechny aplikace, které jsou závislé na zprostředkovateli Kredssp pro ověřování, mohou být ohroženy tímto typem útoku.
Tato aktualizace zabezpečení řeší chybu zabezpečení opravou způsobu ověřování požadavků Kredssp v průběhu ověřovacího procesu.
Další informace o této chybě zabezpečení naleznete v tématu CVE-2018-0886.
Aktualizace
13. března 2018
Původní verze 13. března 2018, Release, aktualizuje ověřovací protokol a klienty vzdálené plochy pro všechny ohrožené platformy. Toto omezení se skládá z instalace aktualizace pro všechny vhodné klientské a serverové operační systémy a potom použití zahrnutých nastavení zásad skupiny nebo ekvivalentů založených na registru ke správě možností nastavení v klientských počítačích a na serverech. Správcům doporučujeme použít tuto zásadu a nastavit ji tak, aby v počítačích klientů a serverů co nejdříve vynucovaly aktualizované klienty nebo zmírnily oprávnění. Tyto změny budou vyžadovat restartování ohrožených systémů. Dávejte pozor na dvojice zásad skupiny nebo nastavení registru, které vedou k "blokovaným" interakcím mezi klienty a servery v tabulce kompatibility dále v tomto článku.
17. dubna 2018
Aktualizace aktualizace RDP (Remote Desktop Client) v databázi KB 4093120 zvýší chybovou zprávu, která se zobrazí v případě, že se aktualizovaný klient nezdaří připojit k serveru, který nebyl aktualizován.
8. května 2018
Aktualizace, která změní výchozí nastavení z citlivých na Zmírněných .
Související čísla znalostní báze Microsoft Knowledge Base jsou uvedena v seznamu CVE-2018-0886.
Ve výchozím nastavení po instalaci této aktualizace nemohou klienti s opravou zabezpečení komunikovat se servery bez opravy. Chcete-li povolit konfiguraci s povolenou konfigurací, použijte zásady interoperability a nastavení zásad skupiny popsané v tomto článku.
Zásady skupiny
Cesta k zásadám a název nastavení |
Popis |
Cesta k zásadám: Konfigurace počítače-> šablon pro správu-> systém-> delegování pověření Název nastavení: šifrování sanace Oracle |
Šifrování systému Oracle pro nápravu Toto nastavení zásad platí pro aplikace, které používají komponentu CredSSP (například připojení ke vzdálené ploše). Některé verze protokolu CredSSP jsou ohroženy útokem na šifrování Oracle vůči klientovi. Tato zásada řídí kompatibilitu s ohroženci a klienty a servery. Tato zásada umožňuje nastavit úroveň ochrany, kterou chcete použít pro chybu zabezpečení pro šifrování Oracle. Pokud toto nastavení povolíte, podpora verze Kredssp bude vybrána na základě následujících možností: Vynutit aktualizaci klientů – Klientské aplikace, které používají službu Kredssp, nebudou schopny vrátit se k nezabezpečené verzi a služby používající CredSSP nebudou přijímat klienty bez opravy. Poznámka: Toto nastavení by nemělo být nasazeno, dokud všichni vzdálení hostitelé nepodporují nejnovější verzi. Zmírováno – Klientské aplikace, které používají službu Kredssp, nebudou schopny vrátit se k nezabezpečené verzi, ale služby, které používají zprostředkovatele Kredssp, budou přijímat neopravené klienty. Zranitelné – Klientské aplikace, které používají zprostředkovatele Kredssp, vystaví vzdáleným serverům útoky podporováním nouzové verze a služby, které používají zprostředkovatele Kredssp, přijmou neopravené klienty. |
Zásada šifrování sanační skupiny Oracle podporuje následující tři možnosti, které by měly být použity u klientů a serverů:
Nastavení zásad |
Hodnota registru |
Chování klienta |
Chování serveru |
Vynucení aktualizovaných klientů |
0 |
Klientské aplikace, které používají Kredssp, nebudou moci vrátit se k nezabezpečené verzi. |
Služby využívající zprostředkovatele Kredssp nebudou přijímat klienty bez opravy. Poznámka: Toto nastavení by nemělo být nasazeno, dokud všechny systémy Windows a klienti s kredit jiných výrobců nepodporují nejnovější verzi kredssp. |
Zmírnit |
1 |
Klientské aplikace, které používají Kredssp, nebudou moci vrátit se k nezabezpečené verzi. |
Služby, které používají zprostředkovatele Kredssp, budou přijímat neopravené klienty. |
Zranitelné |
2 |
Klientské aplikace, které používají službu Kredssp, vystaví vzdáleným serverům útoky podporováním nouzového používání nezabezpečených verzí. |
Služby, které používají zprostředkovatele Kredssp, budou přijímat neopravené klienty. |
Druhá aktualizace, která bude vydána v květnu 8, 2018, změní výchozí chování na možnost zmírnit.
Poznámka: Jakákoliv změna v šifrování Oracle nápravné řešení vyžaduje restartování.
Hodnota registru
Varovná Pokud nesprávně upravíte registr pomocí Editoru registru nebo pomocí jiné metody, může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Registr upravíte na vlastní nebezpečí.
Aktualizace zavádí následující nastavení registru:
Cesta k registru |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Hodnotu |
AllowEncryptionOracle |
Typ data |
Dword |
Je nutné restartovat počítač? |
Ano |
Matice interoperability
Je třeba aktualizovat klienta i server, případně se mohou klienti systému Windows a klientů s kredit jiných výrobců připojit k systému Windows nebo hostitelům jiných výrobců. Prohlédněte si následující matici interoperability pro scénáře, které jsou buď zranitelné vůči zneužití, nebo způsobují selhání provozu.
Poznámka: Při připojování k serveru vzdálené plochy systému Windows lze server nakonfigurovat tak, aby používal nouzový mechanismus, který používá protokol TLS pro ověřování, a uživatelé mohou získat různé výsledky, než je popsáno v této matici. Tato matice pouze popisuje chování protokolu CredSSP.
|
|
Server |
|||
Unpatched |
Vynucení aktualizovaných klientů |
Zmírnit |
Zranitelné |
||
Klienta |
Unpatched |
Povoleno |
Blokován |
Povoleno |
Povoleno |
Vynucení aktualizovaných klientů |
Blokován |
Povoleno |
Povoleno |
Povoleno |
|
Zmírnit |
Blokován |
Povoleno |
Povoleno |
Povoleno |
|
Zranitelné |
Povoleno |
Povoleno |
Povoleno |
Povoleno |
Nastavení klienta |
CVE-2018-0886 stav opravy |
Unpatched |
Zranitelné |
Vynucení aktualizovaných klientů |
Zabezpečené |
Zmírnit |
Zabezpečené |
Zranitelné |
Zranitelné |
Chyby protokolu událostí systému Windows
V případě, že je klient a vzdálený hostitel konfigurován v blokované konfiguraci, bude do klientských počítačů se systémem Windows přihlášena událost s ID 6041.
Protokol událostí |
Systém |
Zdroj události |
Místní úřad zabezpečení (LsaSrv) |
ID události |
6041 |
Text zprávy o události |
Ověření pomocí Kredssp do < názvu hostitele > se nepodařilo vyjednat společnou verzi protokolu. Vzdálený hostitel nabízel verzi < Protocol version > , což není povoleno pomocí šifrování Oracle pro nápravu. |
Chyby generované párosem konfigurace s blokovanými Kredssp pomocí opravených klientů Windows RDP
Chyby prezentované klientem vzdálené plochy bez opravy 2018 v dubnu (KB 4093120)
Bez opravy klienti systémů Pre-Windows 8,1 a Windows Server 2012 R2, kteří jsou spárováni se servery nakonfigurovanými "vynutit aktualizované klienty" |
Chyby generované párosem konfigurace s blokovanými Kredssp pomocí opravované verze systému Windows 8.1/Windows Server 2012 R2 a novějších klientů RDP |
Došlo k chybě ověřování. Token dodaný funkci je neplatný. |
Došlo k chybě ověřování. Požadovaná funkce není podporována. |
Chyby prezentované klientem vzdálené plochy v opravě 17. dubna 2018 (KB 4093120)
Neopravené klienty pre-Windows 8,1 a Windows Server 2012 R2 spárované se servery konfigurovanými s " Vynutit aktualizaci klientů " |
Tyto chyby jsou generovány dvojicemi konfigurace s blokováno Kredssp pomocí opravované verze systému Windows 8.1/Windows Server 2012 R2 a novějších klientů RDP. |
Došlo k chybě ověřování. Token dodaný funkci je neplatný. |
Došlo k chybě ověřování. Požadovaná funkce není podporována. Vzdálený počítač: <název_hostitele> Důvodem může být náprava potíží s šifrováním v systému Oracle zprostředkovatele Kredssp. Další informace naleznete na https://go.Microsoft.com/fwlink/?linkid=866660 |
Klienti a servery vzdálené plochy od jiných výrobců
Všichni klienti nebo servery třetích stran musí používat nejnovější verzi protokolu CredSSP. Obraťte se na dodavatele a zjistěte, zda je jejich software kompatibilní s nejnovějším protokolem CredSSP.
Aktualizace protokolu naleznete na webu dokumentace k systému Windows Protocol.
Změny souborů
V této aktualizaci byly změněny následující systémové soubory.
-
tspkg.dll
Soubor důvěřssp. dll zůstane nezměněn. Další informace naleznete v příslušných článcích týkajících se informací o verzi souboru.