Μετάβαση στο κύριο περιεχόμενο
Υποστήριξη
Είσοδος
Είσοδος με Microsoft
Είσοδος ή δημιουργία λογαριασμού.
Γεια σας,
Επιλέξτε διαφορετικό λογαριασμό.
Έχετε πολλούς λογαριασμούς
Επιλέξτε τον λογαριασμό με τον οποίο θέλετε να εισέλθετε.

Σύνοψη

Το πρωτόκολλο παροχής υποστήριξης ασφαλείας διαπιστευτηρίων (CredSSP) είναι μια υπηρεσία παροχής ελέγχου ταυτότητας που επεξεργάζεται αιτήσεις ελέγχου ταυτότητας για άλλες εφαρμογές. Υπάρχει μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα σε μη διορθωμένη έκδοση του CredSSP. Ένας εισβολέας που εκμεταλλεύεται με επιτυχία αυτό το θέμα ευπάθειας θα μπορούσε να μεταδώσει πιστοποιήσεις χρήστη για την εκτέλεση κώδικα στο σύστημα προορισμού. Οποιαδήποτε εφαρμογή που εξαρτάται από το CredSSP για έλεγχο ταυτότητας μπορεί να είναι ευάλωτη σε αυτόν τον τύπο επίθεσης.

Αυτή η ενημερωμένη έκδοση ασφαλείας αντιμετωπίζει την ευπάθεια διορθώνοντας πώς CredSSP επικυρώνει αιτήσεις κατά τη διαδικασία ελέγχου ταυτότητας.

Για να μάθετε περισσότερα σχετικά με το θέμα ευπάθειας, δείτε CVE-2018-0886.

Ενημερώσεις

13 Μαρτίου 2018

Η αρχική 13 Μαρτίου 2018, έκδοση ενημερώνει το πρωτόκολλο ελέγχου ταυτότητας CredSSP και τα προγράμματα-πελάτες απομακρυσμένης επιφάνειας εργασίας για όλες τις πλατφόρμες που επηρεάζονται. Το μετριασμό αποτελείται από την εγκατάσταση της ενημερωμένης έκδοσης σε όλα τα επιλέξιμα λειτουργικά συστήματα υπολογιστή-πελάτη και διακομιστή και, στη συνέχεια, χρησιμοποιώντας περιλαμβάνονται ρυθμίσεις πολιτικής ομάδας ή ισοδύναμα μητρώου για τη διαχείριση των επιλογών ρύθμισης στους υπολογιστές-πελάτες και διακομιστές. Συνιστούμε στους διαχειριστές να εφαρμόσουν την πολιτική και να την ορίσετε να "επιβάλλουν ενημερωμένα προγράμματα-πελάτες" ή "μετριάζονται" σε υπολογιστές-πελάτες και διακομιστές το συντομότερο δυνατό.  Αυτές οι αλλαγές θα απαιτήσουν επανεκκίνηση των επηρεαζόμενων συστημάτων. Δώστε ιδιαίτερη προσοχή στην πολιτική ομάδας ή τα ζεύγη ρυθμίσεων μητρώου που έχουν ως αποτέλεσμα τις αλληλεπιδράσεις "αποκλεισμένη" μεταξύ υπολογιστών-πελατών και διακομιστών στον πίνακα συμβατότητας αργότερα σε αυτό το άρθρο.

17 Απριλίου 2018

Η ενημερωμένη έκδοση της ενημερωμένης έκδοσης του προγράμματος-πελάτη απομακρυσμένης επιφάνειας εργασίας (RDP) στο KB 4093120 θα ενισχύσει το μήνυμα λάθους που παρουσιάζεται όταν ένα ενημερωμένο πρόγραμμα-πελάτης αποτυγχάνει να συνδεθεί με ένα διακομιστή που δεν έχει ενημερωθεί.

8 Μαΐου, 2018

Μια ενημερωμένη έκδοση για να αλλάξετε την προεπιλεγμένη ρύθμιση από ευάλωτη σε μετριάζεται.

Οι σχετικοί αριθμοί της Γνωσιακής Βάσης της Microsoft παρατίθενται στο CVE-2018-0886.

Από προεπιλογή, μετά την εγκατάσταση αυτής της ενημερωμένης έκδοσης, οι υπολογιστές-πελάτες με ενημέρωση κώδικα δεν μπορούν να επικοινωνήσουν με διακομιστές χωρίς ενημέρωση κώδικα. Χρησιμοποιήστε τον πίνακα διαλειτουργικότητας και τις ρυθμίσεις πολιτικής ομάδας που περιγράφονται σε αυτό το άρθρο για να ενεργοποιήσετε μια "επιτρεπόμενη" ρύθμιση παραμέτρων.

Πολιτική ομάδας

Διαδρομή πολιτικής και όνομα ρύθμισης

Περιγραφή

Διαδρομή πολιτικής: Ρύθμιση παραμέτρων υπολογιστή-> πρότυπα διαχείρισης-Αποστολή > συστήματος-> πιστοποιήσεις Όνομα ρύθμισης: κρυπτογράφηση Oracle εύρυθμης λειτουργίας

Κρυπτογράφηση Oracle αποκατάστασης

Αυτή η ρύθμιση πολιτικής ισχύει για εφαρμογές που χρησιμοποιούν το στοιχείο CredSSP (για παράδειγμα, σύνδεση απομακρυσμένης επιφάνειας εργασίας).

Ορισμένες εκδόσεις του πρωτοκόλλου CredSSP είναι ευάλωτες σε μια επίθεση κρυπτογράφησης Oracle εναντίον του υπολογιστή-πελάτη. Αυτή η πολιτική ελέγχει τη συμβατότητα με ευάλωτους υπολογιστές-πελάτες και διακομιστές. Αυτή η πολιτική σάς επιτρέπει να ορίσετε το επίπεδο προστασίας που θέλετε για την ευπάθεια της Oracle κρυπτογράφησης.

Εάν ενεργοποιήσετε αυτήν τη ρύθμιση πολιτικής, η υποστήριξη έκδοσης CredSSP θα επιλεγεί με βάση τις ακόλουθες επιλογές:

Αναγκαστική ενημέρωση πελατών – Οι εφαρμογές-πελάτες που χρησιμοποιούν CredSSP δεν θα μπορούν να επιστρέψουν σε μη ασφαλείς εκδόσεις και οι υπηρεσίες που χρησιμοποιούν CredSSP δεν θα αποδέχονται μη ενημερωμένα προγράμματα-πελάτες.

Σημείωση Αυτή η ρύθμιση δεν πρέπει να αναπτυχθεί μέχρι όλοι οι απομακρυσμένοι κεντρικοί υπολογιστές να υποστηρίξουν την νεότερη έκδοση.

Μετριάζεται – Οι εφαρμογές-πελάτες που χρησιμοποιούν CredSSP δεν θα μπορούν να επιστρέψουν σε μη ασφαλείς εκδόσεις, αλλά οι υπηρεσίες που χρησιμοποιούν CredSSP θα αποδέχονται μη ενημερωμένα προγράμματα-πελάτες.

Ευάλωτα – Οι εφαρμογές προγράμματος-πελάτη που χρησιμοποιούν CredSSP θα εκθέσουν τους απομακρυσμένους διακομιστές σε επιθέσεις, υποστηρίζοντας την επιστροφή σε μη ασφαλείς εκδόσεις και οι υπηρεσίες που χρησιμοποιούν CredSSP θα αποδέχονται μη ενημερωμένα προγράμματα-πελάτες.

 

Η πολιτική ομάδας εύρυθμης λειτουργίας κρυπτογράφησης Oracle υποστηρίζει τις ακόλουθες τρεις επιλογές, οι οποίες πρέπει να εφαρμόζονται σε υπολογιστές-πελάτες και διακομιστές:

Ρύθμιση πολιτικής

Τιμή μητρώου

Συμπεριφορά υπολογιστή-πελάτη

Συμπεριφορά διακομιστή

Επιβολή ενημερωμένων προγραμμάτων-πελατών

0

Οι εφαρμογές-πελάτες που χρησιμοποιούν CredSSP δεν θα μπορούν να επιστρέψουν σε μη ασφαλείς εκδόσεις.

Οι υπηρεσίες που χρησιμοποιούν το CredSSP δεν αποδέχονται υπολογιστές-πελάτες χωρίς ενημερωμένη έκδοση κώδικα. Σημείωση Αυτή η ρύθμιση δεν πρέπει να αναπτυχθεί μέχρι όλα τα Windows και οι υπολογιστές-πελάτες CredSSP τρίτων κατασκευαστών υποστηρίζουν την νεότερη έκδοση CredSSP.

Μετριάζεται

1

Οι εφαρμογές-πελάτες που χρησιμοποιούν CredSSP δεν θα μπορούν να επιστρέψουν σε μη ασφαλείς εκδόσεις.

Οι υπηρεσίες που χρησιμοποιούν CredSSP θα αποδέχονται μη ενημερωμένα προγράμματα-πελάτες.

Ευάλωτες

2

Εφαρμογές προγράμματος-πελάτη που χρησιμοποιούν CredSSP θα εκθέσει απομακρυσμένους διακομιστές σε επιθέσεις, υποστηρίζοντας επιστροφή σε μη ασφαλείς εκδόσεις.

Οι υπηρεσίες που χρησιμοποιούν CredSSP θα αποδέχονται μη ενημερωμένα προγράμματα-πελάτες.

 

Μια δεύτερη ενημέρωση, η οποία θα κυκλοφορήσει στις 8 Μαΐου 2018, θα αλλάξει την προεπιλεγμένη συμπεριφορά στην επιλογή "μετριάζεται".

Σημείωση Οποιαδήποτε αλλαγή στην κρυπτογράφηση Oracle αποκατάστασης απαιτεί επανεκκίνηση.

Τιμή μητρώου

Προειδοποιώντας Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο εσφαλμένα, χρησιμοποιώντας τον επεξεργαστή μητρώου ή χρησιμοποιώντας μια άλλη μέθοδο. Αυτά τα προβλήματα ενδέχεται να απαιτούν την επανεγκατάσταση του λειτουργικού συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι αυτά τα προβλήματα μπορούν να επιλυθούν. Τροποποιήστε το μητρώο με δική σας ευθύνη.

Η ενημερωμένη έκδοση παρουσιάζει την ακόλουθη ρύθμιση μητρώου:

Διαδρομή μητρώου

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Τιμή

Επιτρέπεται η κρυπτογράφηση

Τύπος ημερομηνίας

Τιμή dword

Απαιτείται επανεκκίνηση;

Ναι

Πίνακας διαλειτουργικότητας

Τόσο ο υπολογιστής-πελάτης όσο και ο διακομιστής πρέπει να ενημερωθούν ή τα Windows και οι υπολογιστές-πελάτες CredSSP άλλων κατασκευαστών ενδέχεται να μην μπορούν να συνδεθούν με Windows ή υπολογιστές τρίτων κατασκευαστών. Ανατρέξτε στον ακόλουθο πίνακα διαλειτουργικότητας για σενάρια που είναι είτε ευάλωτα σε λειτουργικές αποτυχίες εκμετάλλευσης ή αιτίας.

Σημείωση Όταν συνδέεστε σε ένα διακομιστή απομακρυσμένης επιφάνειας εργασίας των Windows, ο διακομιστής μπορεί να ρυθμιστεί ώστε να χρησιμοποιεί έναν εναλλακτικό μηχανισμό που χρησιμοποιεί το πρωτόκολλο TLS για έλεγχο ταυτότητας και οι χρήστες ενδέχεται να έχουν διαφορετικά αποτελέσματα από όσα περιγράφονται σε αυτόν τον πίνακα. Αυτός ο πίνακας περιγράφει μόνο τη συμπεριφορά του πρωτοκόλλου CredSSP.

 

 

Διακομιστή

Unpatched

Επιβολή ενημερωμένων προγραμμάτων-πελατών

Μετριάζεται

Ευάλωτες

Πελάτη

Unpatched

Επιτρέπεται

Αποκλειστεί

Επιτρέπεται

Επιτρέπεται

Επιβολή ενημερωμένων προγραμμάτων-πελατών

Αποκλειστεί

Επιτρέπεται

Επιτρέπεται

Επιτρέπεται

Μετριάζεται

Αποκλειστεί

Επιτρέπεται

Επιτρέπεται

Επιτρέπεται

Ευάλωτες

Επιτρέπεται

Επιτρέπεται

Επιτρέπεται

Επιτρέπεται

 

Ρύθμιση προγράμματος-πελάτη

Κατάσταση ενημερωμένης έκδοσης κώδικα CVE-2018-0886

Unpatched

Ευάλωτες

Επιβολή ενημερωμένων προγραμμάτων-πελατών

Ασφαλή

Μετριάζεται

Ασφαλή

Ευάλωτες

Ευάλωτες

Σφάλματα καταγραφής συμβάντων των Windows

6041 Αναγνωριστικό συμβάντος θα καταγραφεί σε ενημερωμένα προγράμματα-πελάτες των Windows, εάν ο υπολογιστής-πελάτης και ο απομακρυσμένος κεντρικός υπολογιστής έχουν ρυθμιστεί σε μια αποκλεισμένη ρύθμιση παραμέτρων.

Αρχείο καταγραφής συμβάντων

Σύστημα

Προέλευση συμβάντος

Τι;

Αναγνωριστικό συμβάντος

6041

Κείμενο μηνύματος συμβάντος

Ένας έλεγχος ταυτότητας CredSSP σε < όνομα κεντρικού υπολογιστή > απέτυχε να διαπραγματευτεί μια κοινή έκδοση πρωτοκόλλου. Ο απομακρυσμένος κεντρικός υπολογιστής πρόσφερε την έκδοση < πρωτοκόλλου έκδοσης > η οποία δεν επιτρέπεται από την κρυπτογράφηση Oracle εύρυθμης λειτουργίας.

Σφάλματα που δημιουργούνται από ζεύγη ρύθμισης παραμέτρων που αποκλείονται από το CredSSP από ενημερωμένα προγράμματα-πελάτες RDP των Windows

Σφάλματα που παρουσιάστηκαν από τον υπολογιστή-πελάτη απομακρυσμένης επιφάνειας εργασίας χωρίς την ενημερωμένη έκδοση κώδικα 2018 του Απριλίου (KB 4093120)

Μη ενημερωμένα προ-Windows 8,1 και Windows Server 2012 R2 υπολογιστές-πελάτες σε συνδυασμό με διακομιστές που έχουν ρυθμιστεί με "αναγκαστική ενημέρωση υπολογιστών-πελατών"

Σφάλματα που δημιουργούνται από ζεύγη ρύθμισης παραμέτρων που αποκλείονται CredSSP από την ενημερωμένη έκδοση κώδικα των Windows 8.1/Windows Server 2012 R2 και νεότερων προγραμμάτων-πελατών RDP

Παρουσιάστηκε σφάλμα ελέγχου ταυτότητας.

Το διακριτικό που δόθηκε στη συνάρτηση δεν είναι έγκυρο

Παρουσιάστηκε σφάλμα ελέγχου ταυτότητας.

Η ζητούμενη συνάρτηση δεν υποστηρίζεται.

Σφάλματα που παρουσιάστηκαν από τον υπολογιστή-πελάτη απομακρυσμένης επιφάνειας εργασίας με την ενημερωμένη έκδοση κώδικα 2018 του απριλίου (KB 4093120)

Μη ενημερωμένα προ-windows 8,1 και Windows Server 2012 R2 υπολογιστές-πελάτες σε συνδυασμό με διακομιστές που έχουν ρυθμιστεί με " Αναγκαστική ενημέρωση πελατών "

Αυτά τα σφάλματα δημιουργούνται από ζεύγη ρύθμισης παραμέτρων που αποκλείονται CredSSP από την ενημερωμένη έκδοση κώδικα των Windows 8.1/Windows Server 2012 R2 και νεότερων προγραμμάτων-πελατών RDP.

Παρουσιάστηκε σφάλμα ελέγχου ταυτότητας.

Το διακριτικό που δόθηκε στη συνάρτηση δεν είναι έγκυρο.

Παρουσιάστηκε σφάλμα ελέγχου ταυτότητας.

Η ζητούμενη συνάρτηση δεν υποστηρίζεται.

Απομακρυσμένος υπολογιστής: <όνομα κεντρικούυπολογιστή >

Αυτό μπορεί να οφείλεται στην κρυπτογράφηση Oracle της κρυπτογράφησης του CredSSP.

Για περισσότερες πληροφορίες, ανατρέξτε στο https://go.Microsoft.com/fwlink/?linkid=866660

Υπολογιστές-πελάτες και διακομιστές απομακρυσμένης επιφάνειας εργασίας τρίτων κατασκευαστών

Όλοι οι υπολογιστές-πελάτες τρίτων κατασκευαστών ή οι διακομιστές πρέπει να χρησιμοποιούν την πιο πρόσφατη έκδοση του πρωτοκόλλου CredSSP. Επικοινωνήστε με τους προμηθευτές για να διαπιστώσετε αν το λογισμικό τους είναι συμβατό με το πιο πρόσφατο πρωτόκολλο CredSSP.

Οι ενημερώσεις πρωτοκόλλου μπορούν να βρεθούν στην τοποθεσία τεκμηρίωσης πρωτοκόλλου των Windows.

Αλλαγές αρχείων

Σε αυτήν την ενημερωμένη έκδοση έχουν αλλάξει τα ακόλουθα αρχεία συστήματος.

  • tspkg.dll

Το αρχείο CredSSP. dll παραμένει αμετάβλητο. Για περισσότερες πληροφορίες, διαβάστε τα σχετικά άρθρα για πληροφορίες έκδοσης αρχείου.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Ανακαλύψτε Κοινότητα

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.

Ρωτήστε την κοινότητα της Microsoft

Τεχνική Κοινότητα Microsoft

Windows Insiders

Microsoft 365 Insiders

Σας βοήθησαν αυτές οι πληροφορίες;

Πόσο ικανοποιημένοι είστε με τη γλωσσική ποιότητα;
Τι επηρέασε την εμπειρία σας;
Πατώντας "Υποβολή" τα σχόλια σας θα χρησιμοποιηθούν για τη βελτίωση των προϊόντων και των υπηρεσιών της Microsoft. Ο διαχειριστής IT θα έχει τη δυνατότητα να συλλέξει αυτά τα δεδομένα. Δήλωση προστασίας προσωπικών δεδομένων.

Σας ευχαριστούμε για τα σχόλιά σας!

×