Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Shrnutí

Protokol zprostředkovatele podpory zabezpečení pověření (CredSSP) je zprostředkovatel ověřování, který zpracovává požadavky na ověření pro jiné aplikace. Byla zjištěna chyba zabezpečení v neopravené verzi služby Důvěřssp. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl předat pověření uživatele ke spuštění kódu v cílovém systému. Všechny aplikace, které jsou závislé na zprostředkovateli Kredssp pro ověřování, mohou být ohroženy tímto typem útoku.

Tato aktualizace zabezpečení řeší chybu zabezpečení opravou způsobu ověřování požadavků Kredssp v průběhu ověřovacího procesu.

Další informace o této chybě zabezpečení naleznete v tématu CVE-2018-0886.

Aktualizace

13. března 2018

Původní verze 13. března 2018, Release, aktualizuje ověřovací protokol a klienty vzdálené plochy pro všechny ohrožené platformy. Toto omezení se skládá z instalace aktualizace pro všechny vhodné klientské a serverové operační systémy a potom použití zahrnutých nastavení zásad skupiny nebo ekvivalentů založených na registru ke správě možností nastavení v klientských počítačích a na serverech. Správcům doporučujeme použít tuto zásadu a nastavit ji tak, aby v počítačích klientů a serverů co nejdříve vynucovaly aktualizované klienty nebo zmírnily oprávnění.  Tyto změny budou vyžadovat restartování ohrožených systémů. Dávejte pozor na dvojice zásad skupiny nebo nastavení registru, které vedou k "blokovaným" interakcím mezi klienty a servery v tabulce kompatibility dále v tomto článku.

17. dubna 2018

Aktualizace aktualizace RDP (Remote Desktop Client) v databázi KB 4093120 zvýší chybovou zprávu, která se zobrazí v případě, že se aktualizovaný klient nezdaří připojit k serveru, který nebyl aktualizován.

8. května 2018

Aktualizace, která změní výchozí nastavení z citlivých na Zmírněných .

Související čísla znalostní báze Microsoft Knowledge Base jsou uvedena v seznamu CVE-2018-0886.

Ve výchozím nastavení po instalaci této aktualizace nemohou klienti s opravou zabezpečení komunikovat se servery bez opravy. Chcete-li povolit konfiguraci s povolenou konfigurací, použijte zásady interoperability a nastavení zásad skupiny popsané v tomto článku.

Zásady skupiny

Cesta k zásadám a název nastavení

Popis

Cesta k zásadám: Konfigurace počítače-> šablon pro správu-> systém-> delegování pověření Název nastavení: šifrování sanace Oracle

Šifrování systému Oracle pro nápravu

Toto nastavení zásad platí pro aplikace, které používají komponentu CredSSP (například připojení ke vzdálené ploše).

Některé verze protokolu CredSSP jsou ohroženy útokem na šifrování Oracle vůči klientovi. Tato zásada řídí kompatibilitu s ohroženci a klienty a servery. Tato zásada umožňuje nastavit úroveň ochrany, kterou chcete použít pro chybu zabezpečení pro šifrování Oracle.

Pokud toto nastavení povolíte, podpora verze Kredssp bude vybrána na základě následujících možností:

Vynutit aktualizaci klientů – Klientské aplikace, které používají službu Kredssp, nebudou schopny vrátit se k nezabezpečené verzi a služby používající CredSSP nebudou přijímat klienty bez opravy.

Poznámka: Toto nastavení by nemělo být nasazeno, dokud všichni vzdálení hostitelé nepodporují nejnovější verzi.

Zmírováno – Klientské aplikace, které používají službu Kredssp, nebudou schopny vrátit se k nezabezpečené verzi, ale služby, které používají zprostředkovatele Kredssp, budou přijímat neopravené klienty.

Zranitelné – Klientské aplikace, které používají zprostředkovatele Kredssp, vystaví vzdáleným serverům útoky podporováním nouzové verze a služby, které používají zprostředkovatele Kredssp, přijmou neopravené klienty.

 

Zásada šifrování sanační skupiny Oracle podporuje následující tři možnosti, které by měly být použity u klientů a serverů:

Nastavení zásad

Hodnota registru

Chování klienta

Chování serveru

Vynucení aktualizovaných klientů

0

Klientské aplikace, které používají Kredssp, nebudou moci vrátit se k nezabezpečené verzi.

Služby využívající zprostředkovatele Kredssp nebudou přijímat klienty bez opravy. Poznámka: Toto nastavení by nemělo být nasazeno, dokud všechny systémy Windows a klienti s kredit jiných výrobců nepodporují nejnovější verzi kredssp.

Zmírnit

1

Klientské aplikace, které používají Kredssp, nebudou moci vrátit se k nezabezpečené verzi.

Služby, které používají zprostředkovatele Kredssp, budou přijímat neopravené klienty.

Zranitelné

2

Klientské aplikace, které používají službu Kredssp, vystaví vzdáleným serverům útoky podporováním nouzového používání nezabezpečených verzí.

Služby, které používají zprostředkovatele Kredssp, budou přijímat neopravené klienty.

 

Druhá aktualizace, která bude vydána v květnu 8, 2018, změní výchozí chování na možnost zmírnit.

Poznámka: Jakákoliv změna v šifrování Oracle nápravné řešení vyžaduje restartování.

Hodnota registru

Varovná Pokud nesprávně upravíte registr pomocí Editoru registru nebo pomocí jiné metody, může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Registr upravíte na vlastní nebezpečí.

Aktualizace zavádí následující nastavení registru:

Cesta k registru

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Hodnotu

AllowEncryptionOracle

Typ data

Dword

Je nutné restartovat počítač?

Ano

Matice interoperability

Je třeba aktualizovat klienta i server, případně se mohou klienti systému Windows a klientů s kredit jiných výrobců připojit k systému Windows nebo hostitelům jiných výrobců. Prohlédněte si následující matici interoperability pro scénáře, které jsou buď zranitelné vůči zneužití, nebo způsobují selhání provozu.

Poznámka: Při připojování k serveru vzdálené plochy systému Windows lze server nakonfigurovat tak, aby používal nouzový mechanismus, který používá protokol TLS pro ověřování, a uživatelé mohou získat různé výsledky, než je popsáno v této matici. Tato matice pouze popisuje chování protokolu CredSSP.

 

 

Server

Unpatched

Vynucení aktualizovaných klientů

Zmírnit

Zranitelné

Klienta

Unpatched

Povoleno

Blokován

Povoleno

Povoleno

Vynucení aktualizovaných klientů

Blokován

Povoleno

Povoleno

Povoleno

Zmírnit

Blokován

Povoleno

Povoleno

Povoleno

Zranitelné

Povoleno

Povoleno

Povoleno

Povoleno

 

Nastavení klienta

CVE-2018-0886 stav opravy

Unpatched

Zranitelné

Vynucení aktualizovaných klientů

Zabezpečené

Zmírnit

Zabezpečené

Zranitelné

Zranitelné

Chyby protokolu událostí systému Windows

V případě, že je klient a vzdálený hostitel konfigurován v blokované konfiguraci, bude do klientských počítačů se systémem Windows přihlášena událost s ID 6041.

Protokol událostí

Systém

Zdroj události

Místní úřad zabezpečení (LsaSrv)

ID události

6041

Text zprávy o události

Ověření pomocí Kredssp do < názvu hostitele > se nepodařilo vyjednat společnou verzi protokolu. Vzdálený hostitel nabízel verzi < Protocol version > , což není povoleno pomocí šifrování Oracle pro nápravu.

Chyby generované párosem konfigurace s blokovanými Kredssp pomocí opravených klientů Windows RDP

Chyby prezentované klientem vzdálené plochy bez opravy 2018 v dubnu (KB 4093120)

Bez opravy klienti systémů Pre-Windows 8,1 a Windows Server 2012 R2, kteří jsou spárováni se servery nakonfigurovanými "vynutit aktualizované klienty"

Chyby generované párosem konfigurace s blokovanými Kredssp pomocí opravované verze systému Windows 8.1/Windows Server 2012 R2 a novějších klientů RDP

Došlo k chybě ověřování.

Token dodaný funkci je neplatný.

Došlo k chybě ověřování.

Požadovaná funkce není podporována.

Chyby prezentované klientem vzdálené plochy v opravě 17. dubna 2018 (KB 4093120)

Neopravené klienty pre-Windows 8,1 a Windows Server 2012 R2 spárované se servery konfigurovanými s " Vynutit aktualizaci klientů "

Tyto chyby jsou generovány dvojicemi konfigurace s blokováno Kredssp pomocí opravované verze systému Windows 8.1/Windows Server 2012 R2 a novějších klientů RDP.

Došlo k chybě ověřování.

Token dodaný funkci je neplatný.

Došlo k chybě ověřování.

Požadovaná funkce není podporována.

Vzdálený počítač: <název_hostitele>

Důvodem může být náprava potíží s šifrováním v systému Oracle zprostředkovatele Kredssp.

Další informace naleznete na https://go.Microsoft.com/fwlink/?linkid=866660

Klienti a servery vzdálené plochy od jiných výrobců

Všichni klienti nebo servery třetích stran musí používat nejnovější verzi protokolu CredSSP. Obraťte se na dodavatele a zjistěte, zda je jejich software kompatibilní s nejnovějším protokolem CredSSP.

Aktualizace protokolu naleznete na webu dokumentace k systému Windows Protocol.

Změny souborů

V této aktualizaci byly změněny následující systémové soubory.

  • tspkg.dll

Soubor důvěřssp. dll zůstane nezměněn. Další informace naleznete v příslušných článcích týkajících se informací o verzi souboru.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×