Applies ToWindows Server 2016, all editions Windows Server 2012 R2 Standard Windows Server 2012 Standard Windows 8.1 Windows 10 Windows 7 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows 10, version 1703, all editions Windows 10, version 1709, all editions Windows Server 2016 Windows Server 2008 R2 Standard Windows Server 2008 Foundation Windows Server 2008 Enterprise without Hyper-V Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Datacenter without Hyper-V Windows Server 2008 Enterprise Windows Server 2016 Standard Windows Server 2016 Essentials Windows Server 2016 Windows Server version 1709 Windows Server version 1803 Windows Vista Service Pack 2 Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Web Edition Windows 7 Enterprise Windows 7 Ultimate Windows 7 Starter Windows 7 Home Premium Windows 7 Professional Windows 7 Home Basic Windows Server 2008 R2 Foundation Windows Server 2008 R2 Service Pack 1 Windows 7 Service Pack 1 Windows Server 2012 Essentials Windows Server 2012 Datacenter Windows Server 2012 Foundation Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Essentials Windows RT 8.1 Windows Server 2012 R2 Foundation Windows 8.1 Pro Windows 8.1 Enterprise Windows Server 2008 Web Edition Windows Server 2008 Standard

Zusammenfassung

Beim Credential Security Support Provider (CredSSP)-Protokoll handelt es sich um einen Authentifizierungsanbieter, der Authentifizierungsanforderungen für andere Anwendungen verarbeitet. In ungepatchten Versionen von CredSSP besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Anmeldeinformationen von Benutzern weiterleiten, um Code auf dem Zielsystem auszuführen. Eine Anwendung, die auf CredSSP für die Authentifizierung angewiesen ist, ist möglicherweise anfällig für diese Art von Angriffen.

Dieses Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie CredSSP Anfragen während des Authentifizierungsprozesses prüft.

Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter CVE-2018-0886.

Updates

13. März 2018

Das ursprüngliche Update vom 13. März 2018 aktualisiert das CredSSP-Authentifizierungsprotokoll und die Remotedesktopclients für alle betroffenen Plattformen. Die Risikominderung besteht darin, das Update für alle berechtigten Client- und Serverbetriebssysteme zu installieren und anschließend mithilfe vorhandener Gruppenrichtlinieneinstellungen oder registrierungsbasierter Entsprechungen die Optionen auf den Client- und Servercomputern festzulegen. Es wird empfohlen, dass Administratoren die Richtlinie anwenden und auf Client- und Servercomputern so bald wie möglich auf „Force Updated Clients“ oder „Mitigated“ festlegen. Diese Änderungen erfordern einen Neustart der betroffenen Systeme. Achten Sie sorgfältig auf Gruppenrichtlinien oder Registrierungseinstellungspaare, die in der Kompatibilitätstabelle weiter unten in diesem Artikel zu „Blocked“-Interaktionen zwischen Clients und Servern führen.

17. April 2018

Das Update für den Remotedesktopclient (RDP) in KB 4093120 optimiert die Fehlermeldung, die angezeigt wird, wenn ein aktualisierter Client keine Verbindung mit einem nicht aktualisierten Server herstellen kann.

8. Mai 2018

Ein Update, um die Standardeinstellung von Vulnerable in Mitigated zu ändern.

Die zugehörigen Microsoft Knowledge Base-Artikelnummern sind in CVE-2018-0886 aufgelistet.

Nach der Installation dieses Updates können gepatchte Clients standardmäßig nicht mit ungepatchten Servern kommunizieren. Aktivieren Sie mithilfe der in diesem Artikel beschriebenen Interoperabilitätsmatrix und Gruppenrichtlinieneinstellungen eine „zulässige“ Konfiguration.

Gruppenrichtlinie

Richtlinienpfad und Einstellungsname

Beschreibung

Richtlinienpfad: Computerkonfiguration -> Administrative Vorlagen -> System -> Delegierung von Anmeldeinformationen Einstellungsname: Encryption Oracle Remediation

Encryption Oracle Remediation

Diese Richtlinieneinstellung betrifft Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktopverbindung).

Manche Versionen des CredSSP-Protokolls sind anfällig für einen Oracle-Verschlüsselungsangriff auf den Client. Diese Richtlinie kontrolliert die Kompatibilität mit anfälligen Clients und Servern. Mithilfe dieser Richtlinie können Sie den gewünschten Umfang des Schutzes vor der Sicherheitsanfälligkeit bezüglich der Oracle-Verschlüsselung festlegen.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Unterstützung der CredSSP-Version basierend auf den folgenden Optionen ausgewählt:

Force Updated Clients – Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden, und Dienste, die CredSSP verwenden, akzeptieren keine ungepatchten Clients.

Hinweis Diese Einstellung sollte erst verwendet werden, wenn alle Remotehosts die neueste Version unterstützen.

Mitigated – Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden, aber Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients.

Vulnerable – Clientanwendungen, die CredSSP verwenden, setzen die Remoteserver dem Risiko von Angriffen aus, da sie auf unsichere Versionen zurückgesetzt werden können, und Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients.

 

Die Richtlinie „Encryption Oracle Remediation“ unterstützt die folgenden drei Optionen, die auf Clients und Server angewendet sollten:

Richtlinieneinstellung

Registrierungswert

Clientverhalten

Serververhalten

Force Updated Clients

0

Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden.

Dienste, die CredSSP verwenden, akzeptieren keine ungepatchten Clients.Hinweis Diese Einstellung sollte erst verwendet werden, wenn alle Windows- und Drittanbieter-CredSSP-Clients die neueste CredSSP-Version unterstützen.

Mitigated

1

Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden.

Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients.

Vulnerable

2

Clientanwendungen, die CredSSP verwenden, setzen die Remoteserver dem Risiko von Angriffen aus, da sie auf unsichere Versionen zurückgesetzt werden können.

Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients.

 

Mit einem zweiten Update, das am 8. Mai 2018 veröffentlicht wird, wird das Standardverhalten in „Mitigated“ geändert.

Hinweis Alle Änderungen an „Encryption Oracle Remediation“ erfordern einen Neustart.

Registrierungswert

Warnung Durch die unsachgemäße Änderung der Registrierung mit dem Registrierungs-Editor oder einer anderen Methode können schwerwiegende Probleme verursacht werden. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.

Durch das Update wird die folgende Registrierungseinstellung hinzugefügt:

Registrierungspfad

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Wert

AllowEncryptionOracle

Datentyp

DWORD

Neustart erforderlich?

Ja

Interoperabilitätsmatrix

Der Client und der Server müssen aktualisiert werden, da andernfalls Windows- und Drittanbieter-CredSSP-Clients möglicherweise keine Verbindung mit Windows- oder Drittanbieterhosts herstellen können. In der folgenden Interoperabilitätsmatrix werden Szenarien beschrieben, die entweder anfällig für das Sicherheitsrisiko sind oder zu Betriebsfehlern führen.

Hinweis Wenn Sie eine Verbindung mit einem Windows-Remotedesktopserver herstellen, kann für den Server die Verwendung eines Fallbackmechanismus konfiguriert werden, der das TLS-Protokoll für die Authentifizierung verwendet. Die Benutzer erhalten dann möglicherweise andere Ergebnisse als in dieser Interoperabilitätsmatrix beschrieben. Diese Interoperabilitätsmatrix beschreibt nur das Verhalten des CredSSP-Protokolls.

 

 

Server

Unpatched

Force Updated Clients

Mitigated

Vulnerable

Client

Unpatched

Allowed

Blocked

Allowed

Allowed

Force Updated Clients

Blocked

Allowed

Allowed

Allowed

Mitigated

Blocked

Allowed

Allowed

Allowed

Vulnerable

Allowed

Allowed

Allowed

Allowed

 

Clienteinstellung

CVE-2018-0886-Patchstatus

Unpatched

Vulnerable

Force Updated Clients

Secure

Mitigated

Secure

Vulnerable

Vulnerable

Windows-Ereignisprotokoll-Fehler

Die Ereignis-ID 6041 wird auf gepatchten Windows-Clients protokolliert, wenn für den Clienthost und den Remotehost eine „Blocked“-Konfiguration vorliegt.

Ereignisprotokoll

System

Ereignisquelle

LSA (LsaSrv)

Ereignis-ID

6041

Ereignismeldungstext

A CredSSP authentication to <hostname> failed to negotiate a common protocol version. The remote host offered version <Protocol Version> which is not permitted by Encryption Oracle Remediation. (Die CredSSP-Authentifizierung für <Hostname> konnte keine gemeinsame Protokollversion aushandeln. Der Remotehost hat die Version <Protokollversion> angeboten, die für „Encryption Oracle Remediation“ nicht zulässig ist).

Von CredSSP-Blocked-Konfigurationspaaren durch gepatchte Windows-RDP-Clients generierte Fehlermeldungen

Vom Remotedesktopclient ohne den Patch vom 17. April 2018 (KB 4093120) angezeigte Fehlermeldungen

Ungepatchte Prä-Windows 8.1- und Windows Server 2012 R2-Clients gepaart mit Servern, für die „Force Updated Clients“ konfiguriert ist

Von CredSSP-Blocked-Konfigurationspaaren durch gepatchte Windows 8.1-, Windows Server 2012 R2- und neuere RDP-Clients generierte Fehlermeldungen

Authentifizierungsfehler.

Das Token, das der Funktion übergeben wurde, ist ungültig.

Authentifizierungsfehler.

Die angeforderte Funktion wird nicht unterstützt.

Vom Remotedesktopclient mit dem Patch vom 17. April 2018 (KB 4093120)) angezeigte Fehlermeldungen

Ungepatchte Prä-Windows 8.1- und Windows Server 2012 R2-Clients gepaart mit Servern, für die „Force Updated Clients“ konfiguriert ist

Diese Fehlermeldungen werden von CredSSP-Blocked-Konfigurationspaaren durch gepatchte Windows 8.1-, Windows Server 2012 R2- und neuere RDP-Clients generiert.

Authentifizierungsfehler.

Das Token, das der Funktion übergeben wurde, ist ungültig.

Authentifizierungsfehler.

Die angeforderte Funktion wird nicht unterstützt.

Remotecomputer: <Hostname>

Dies könnte auf CredSSP Encryption Oracle Remediation zurückzuführen sein.

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660

Remotedesktopclients und -server von Drittanbietern

Alle Drittanbieterclients oder -server müssen die neueste Version des CredSSP-Protokolls verwenden. Wenden Sie sich an die Anbieter, um festzustellen, ob die Software mit dem neuesten CredSSP-Protokoll kompatibel ist.

Die Protokollupdates finden Sie auf der Website mit der Dokumentation zum Windows-Protokoll.

Änderungen bei Dateien

Die folgenden Systemdateien wurden in diesem Update geändert.

  • „tspkg.dll“

Die Datei „credssp.dll“ ist unverändert. Weitere Informationen zur Dateiversion finden Sie in den entsprechenden Artikeln.

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.