דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

סיכום

פרוטוקול ספק תמיכה באבטחת אישורים (CredSSP) הוא ספק אימות המעבד בקשות אימות עבור יישומים אחרים. קיימת פגיעות של ביצוע קוד מרחוק בגירסאות שאינן מתוקנו של CredSSP. תוקף שיצליח לנצל את הפגיעות המתוארת יוכל להעביר להפעלת קוד במערכת היעד. כל יישום התלוי ב-CredSSP לצורך אימות עלול להיות פגיע לסוג זה של התקפה.

עדכון אבטחה זה מטפל בפגיעות על-ידי תיקון האופן שבו CredSSP מאמת בקשות במהלך תהליך האימות.

כדי ללמוד עוד על הפגיעות, ראה CVE-2018-0886.

עדכונים

13 במרץ, 2018

ה -13 במרץ הראשון, 2018, מהדורה מעדכנת את פרוטוקול האימות CredSSP ואת לקוחות שולחן העבודה המרוחק עבור כל הפלטפורמות המושפעות. הפחתת הסיכון מורכבת מהתקנת העדכון בכל מערכות ההפעלה הראויות של הלקוח והשרת ולאחר מכן שימוש בהגדרות מדיניות קבוצתית כלולות או במקבילות מבוססות רישום לניהול אפשרויות ההגדרה במחשבי הלקוח והשרת. אנו ממליצים למנהלי מערכת להחיל את המדיניות ולהגדיר אותה כ"כפות לקוחות מעודכנים" או "הוחלט" במחשבי הלקוח והשרת בהקדם האפשרי.  שינויים אלה ידרשו אתחול מחדש של המערכות המושפעות. שים לב לזוגות של מדיניות קבוצתית או הגדרות רישום הנובעות מאינטראקציות "חסומות" בין לקוחות ושרתים בטבלת התאימות בהמשך מאמר זה.

17 באפריל, 2018

עדכון עדכון לקוח שולחן עבודה מרוחק (RDP) ב-KB 4093120 ישפר את הודעת השגיאה המוצגת כאשר לקוח מעודכן נכשל בהתחברות לשרת שלא עודכן.

08/05/2018

עדכון לשינויהגדרת ברירת המחדל מפגיעות לאירוע.

מספרי מאגר הידע הרלוונטיים של Microsoft מפורטים ב- CVE-2018-0886.

כברירת מחדל, לאחר התקנת עדכון זה, לקוחות שתוקנו אינם יכולים לקיים תקשורת עם שרתים שלא תוקנו. השתמש במטריצת האינטראופרביליות ובהגדרות המדיניות הקבוצתית המתוארות במאמר זה כדי לאפשר תצורה של "מותר".

מדיניות קבוצתית

שם נתיב והגדרת מדיניות

תיאור

נתיב מדיניות: תצורת מחשב-> תבניות מנהליות-> הקצאת אישורים > מערכת שם הגדרה: הצפנת Oracle הצפנה

שתיקון אורקל של הצפנה

הגדרת מדיניות זו חלה על יישומים המשתמשים ברכיב CredSSP (לדוגמה, ' חיבור לשולחן עבודה מרוחק ').

גירסאות מסוימות של פרוטוקול CredSSP חשופות להתקפה של oracle הצפנה נגד הלקוח. מדיניות זו שולטת בתאימות עם לקוחות פגיעים ושרתים. מדיניות זו מאפשרת לך להגדיר את רמת ההגנה הרצויה עבור הפגיעות של oracle ההצפנה.

אם תפעיל הגדרת מדיניות זו, התמיכה בגירסת CredSSP תיבחר בהתאם לאפשרויות הבאות:

אלץ לקוחות מעודכנים – יישומי לקוח המשתמשים ב-CredSSP לא יוכלו לסגת לגירסאות לא מאובטח, ושירותים המשתמשים ב-CredSSP לא יקבלו לקוחות שתוקנו.

שים לב אין לפרוס הגדרה זו עד שכל המחשבים המארחים המרוחקים תומכים בגירסה החדשה ביותר.

הוחלט – יישומי לקוח המשתמשים ב-CredSSP לא יוכלו לסגת לגירסאות לא מאובטח, אך שירותים המשתמשים ב-CredSSP יקבלו לקוחות שתוקנו.

פגיע – יישומי לקוח המשתמשים ב-CredSSP יחשפו את השרתים המרוחקים להתקפות על-ידי תמיכה בנסיגה לגירסאות לא מאובטח ושירותים המשתמשים ב-CredSSP יקבלו לקוחות שאינם תוקנו.

 

מדיניות קבוצת התיקונים של Oracle ההצפנה תומכת בשלוש האפשרויות הבאות, שאותן יש להחיל על לקוחות ושרתים:

הגדרת מדיניות

ערך רישום

התנהגות לקוח

התנהגות שרת

אלץ לקוחות מעודכנים

0

יישומי לקוח המשתמשים ב-CredSSP לא יוכלו לסגת לגירסאות לא מאובטח.

שירותים המשתמשים ב-CredSSP לא יקבלו לקוחות שלא תוקנו. שים לב אין לפרוס הגדרה זו עד שכל לקוחות credssp של צד שלישי תומכים בגירסת credssp החדשה ביותר.

מיום

1

יישומי לקוח המשתמשים ב-CredSSP לא יוכלו לסגת לגירסאות לא מאובטח.

שירותים המשתמשים ב-CredSSP יקבלו לקוחות שלא תוקנו .

פגיע

2

יישומי לקוח המשתמשים ב-CredSSP חושפים שרתים מרוחקים להתקפות על-ידי תמיכה בנסיגה לגירסאות לא בטוחות.

שירותים המשתמשים ב-CredSSP יקבלו לקוחות שלא תוקנו .

 

עדכון שני, שישוחרר ב -8 במאי, 2018, ישנה את התנהגות ברירת המחדל לאפשרות "מוחלט".

שים לב כל שינוי לתיקון Oracle הצפנה דורש אתחול מחדש.

ערך רישום

אזהרה בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי באמצעות עורך הרישום או באמצעות שיטה אחרת. ייתכן שבעיות אלה ידרשו שתתקין מחדש את מערכת ההפעלה. Microsoft אינה יכולה לערוב לכך שבעיות אלה ייפתרו. שנה את הרישום באחריותך.

העדכון מציג את הגדרת הרישום הבאה:

נתיב רישום

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

ערך

AllowEncryptionOracle

סוג תאריך

DWORD

נדרש אתחול מחדש?

כן

מטריצה אינטראופרביליות

יש צורך לעדכן הן את הלקוח והן את השרת, או שייתכן שללקוחות CredSSP של ספק חיצוני לא תהיה אפשרות להתחבר אל Windows או למחשבים מארחים של צד שלישי. לקבלת תרחישים שעלולים להיות פגיעים לניצול או לגרום לכשלים תפעוליים, עיין במטריצת האינטראופרביליות הבאה.

שים לב בעת התחברות לשרת שולחן עבודה מרוחק של Windows, ניתן לקבוע את תצורת השרת כך שישתמש במנגנון ההחזרה המשתמש בפרוטוקול TLS לצורך אימות, ומשתמשים עלולים לקבל תוצאות שונות מאשר תוארו במטריצה זו. מטריצה זו מתארת רק את אופן הפעולה של פרוטוקול CredSSP.

 

 

שרת

חשמל

אלץ לקוחות מעודכנים

מיום

פגיע

לקוח

חשמל

ותר

חסומים

ותר

ותר

אלץ לקוחות מעודכנים

חסומים

ותר

ותר

ותר

מיום

חסומים

ותר

ותר

ותר

פגיע

ותר

ותר

ותר

ותר

 

הגדרת לקוח

מעמד התיקון CVE-2018-0886

חשמל

פגיע

אלץ לקוחות מעודכנים

מאובטח

מיום

מאובטח

פגיע

פגיע

שגיאות ביומן האירועים של Windows

מזהה אירוע 6041 יירשם במחשבי Windows שתוקנו, אם הלקוח והמחשב המארח המרוחק מוגדרים בתצורה חסומה.

יומן אירועים

System

מקור אירוע

-LSA (LsaSrv)

מזהה אירוע

6041

טקסט הודעת אירוע

אימות CredSSP ל< מארח מארח > נכשל בביצוע משא ומתן על גירסת פרוטוקול משותפת. המחשב המארח המרוחק הציע גירסה < פרוטוקול גירסה > שאינה מותרת על-ידי הצפנת Oracle.

שגיאות שנוצרו על-ידי CredSSP-שנחסמו זוגות תצורה על ידי לקוחות Windows RDP שתוקנה

שגיאות שהוצגו על-ידי לקוח שולחן עבודה מרוחק ללא אפריל 17, 2018 טלאי (KB 4093120)

לקוחות שטרם תוקנו ב-Windows 8.1 ו-Windows Server 2012 R2 המשויכים לשרתים המוגדרים באמצעות "כפה לקוחות מעודכנים"

שגיאות שנוצרו על-ידי CredSSP-זוגות תצורה חסומים על-ידי שתוקנה Windows 8.1/Windows Server 2012 R2 ולקוחות RDP מאוחר יותר

אירעה שגיאת אימות.

האסימון שסופק לפונקציה אינו חוקי

אירעה שגיאת אימות.

הפונקציה המבוקשת אינה נתמכת.

שגיאות שהוצגו על-ידי לקוח שולחן העבודה המרוחק עם 17 באפריל, 2018 טלאי (KB 4093120)

לקוחות שטרם תוקנו ב-windows 8.1 ו-Windows Server 2012 R2 המשויכים לשרתים המוגדרים עם " אלץ לקוחות מעודכנים "

שגיאות אלה נוצרות על-ידי הגדרת צמדי CredSSP-חסומים על-ידי שתוקנה Windows 8.1/Windows Server 2012 R2 ולקוחות RDP מאוחרים יותר.

אירעה שגיאת אימות.

האסימון שסופק לפונקציה אינו חוקי.

אירעה שגיאת אימות.

הפונקציה המבוקשת אינה נתמכת.

מחשב מרוחק: <מארח מארח>

הדבר עשוי לנבוע מתיקון oracle הצפנה של CredSSP.

לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?linkid=866660

לקוחות ושרתים שולחניים מרוחקים של צד שלישי

כל הלקוחות או השרתים של ספקים חיצוניים חייבים להשתמש בגירסה העדכנית ביותר של פרוטוקול CredSSP. נא פנה אל הספקים כדי לקבוע אם התוכנה שלהם תואמת לפרוטוקול CredSSP העדכני ביותר.

עדכוני הפרוטוקול יכולים להימצא באתר של תיעוד פרוטוקול של Windows.

שינויי קבצים

קבצי המערכת הבאים שונו בעדכון זה.

  • tspkg.dll

הקובץ credssp. dll נותר ללא שינוי. לקבלת מידע נוסף, עיין במאמרים הרלוונטיים למידע אודות גירסת הקובץ.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×