Suvestinė
Kredencialų saugos palaikymo teikėjo protokolas (CredSSP) yra autentifikavimo teikėjas, kuris apdoroja autentifikavimo užklausas kitoms taikomosioms programoms. Nuotolinio kodo vykdymo pažeidžiamumas yra unpatched versijos "CredSSP". Pažeidėjas, sėkmingai naudoja šį pažeidžiamumą gali perduoti vartotojo kredencialus vykdyti kodą paskirties sistemoje. Bet programa, kuri priklauso nuo "CredSSP" autentifikavimo gali būti pažeidžiami šio tipo ataka.
Šis saugos naujinimas skirtas pažeidžiamumas pataisydami, kaip "CredSSP" patikrina užklausas autentifikavimo proceso metu.
Norėdami sužinoti daugiau apie pažeidžiamumą, žr. CVE-2018-0886.
Naujinimus
Kovo 13, 2018
Pradinis kovo 13, 2018, išleisti atnaujina "CredSSP" autentifikavimo protokolui ir nuotolinio darbalaukio klientams visų paveiktų platformų. Mažinimas susideda iš diegiant naujinimą visų tinkamų klientų ir serverių operacinių sistemų ir tada naudojant įtraukti grupės strategijos parametrus arba registro ekvivalentą valdyti parametrą pasirinktis kliento ir serverio kompiuteriuose. Rekomenduojame, kad administratoriai taikyti politiką ir nustatykite jį "force atnaujintas klientams" arba "sušvelnintas" kliento ir serverio kompiuteriuose kaip įmanoma greičiau. Dėl šių pakeitimų reikės iš naujo paleisti paveiktas sistemas. Atkreipkite dėmesį į grupės strategijos arba registro parametrus poros, kurios rezultatas "užblokuotas" sąveika tarp klientų ir serverių suderinamumo lentelėje šiame straipsnyje.
2018 m. balandžio 17 d.
Nuotolinio darbalaukio kliento (RDP) naujinimo naujinimą KB 4093120 bus padidinti klaidos pranešimą, kuris pateikiamas atnaujinus kliento nepavyksta prisijungti prie serverio, kuris nebuvo atnaujintas.
Gegužės 8, 2018
Naujinimą, kad pakeistumėte numatytąjį parametrą iš pažeidžiami sumažinti.
CVE-2018-0886yra pateikti susiję Microsoft žinių bazės numeriai.
Pagal numatytuosius nustatymus Įdiegus šį naujinimą, lopas Klientai negali susisiekti su unpatched serveriai. Naudokite suderinamumo matricos ir grupės strategijos parametrus, aprašytus šiame straipsnyje, kad įgalintumėte "leistiną" konfigūraciją.
Grupės strategija
Strategijos kelias ir parametro pavadinimas |
Aprašymas / kontrolė |
Strategijos kelias: kompiuterio konfigūracija – > administravimo šablonai – > sistema – > kredencialų perdavimas Nustatymo pavadinimas: šifravimas Oracle Retarpininkavimas |
Šifravimas "Oracle" retarpininkavimas Šis strategijos parametras taikomas taikomosioms programoms, kurios naudoja "CredSSP" komponentą (pvz., Jungimasis prie nuotolinio darbalaukio). Kai kurios versijos "CredSSP" protokolo yra pažeidžiami šifravimo "Oracle" ataka prieš klientą. Ši strategija kontroliuoja suderinamumą su pažeidžiamais klientais ir serveriais. Ši strategija leidžia nustatyti šifravimo "Oracle" pažeidžiamumo norimą apsaugos lygį. Jei įgalinsite šį strategijos parametrą, "CredSSP" versijos palaikymas bus pasirinktas remiantis šiomis parinktimis: Force atnaujintas Klientai – Kliento programos, naudojančios "CredSSP" negalės grįžti prie nesaugių versijų, ir paslaugų, kurios naudoja "CredSSP" nebus priimti unpatched Klientai. Pastaboje Šis parametras neturėtų būti naudojamas tol, kol visi nuotoliniai šeimininkai palaiko naujausią versiją. Sušvelnintas – Kliento programos, naudojančios "CredSSP" negalės grįžti prie nesaugių versijų, bet paslaugas, kurios naudoja "CredSSP" priims unpatched Klientai. Pažeidžiami – Kliento programos, naudojančios "CredSSP" bus atskleisti nuotolinio serveriai atakų remiant grįžti į nesaugius versijas, ir paslaugų, kurios naudoja "CredSSP" priims unpatched Klientai. |
"Encryption Oracle" atnaujinimo grupės strategija palaiko šias tris parinktis, kurios turėtų būti taikomos klientams ir serveriams:
Strategijos nustatymas |
Registro reikšmė |
Kliento elgsena |
Serverio elgesys |
Priverstinai atnaujintus klientus |
0 |
Kliento programos, naudojančios " CredSSP" negalės grįžti prie nesaugių versijų. |
Paslaugos, naudojančios "CredSSP" nebus priimti unpatched Klientai. Pastaboje Šis parametras neturėtų būti naudojami tol, kol Visi Windows ir trečiosios šalies "CredSSP" Klientai nepalaiko naujausios "CredSSP" versijos. |
Sušvelninti |
1 |
Kliento programos, naudojančios " CredSSP" negalės grįžti prie nesaugių versijų. |
Paslaugos, naudojančios "CredSSP" priims unpatched Klientai. |
Pažeidžiami |
2 |
Kliento programos, naudojančios "CredSSP" bus atskleisti nuotoliniuose serveriuose atakų remiant grįžti į nesaugius versijas. |
Paslaugos, naudojančios "CredSSP" priims unpatched Klientai. |
Antrasis naujinimas, kuris bus išleistas gegužės 8, 2018, pakeis numatytąjį veikimą į "Mitigated" parinktį.
Pastaboje Bet pakeisti šifravimo Oracle atnaujinimo reikia perkrauti.
Registro reikšmė
Įspėjamieji Jei registro duomenis pakeisite neteisingai naudojant registro rengyklę arba kitu būdu, gali kilti rimtų problemų. Šios problemos gali reikalauti, kad jūs iš naujo įdiegti operacinę sistemą. "Microsoft" negarantuoja, kad šias problemas galima išspręsti. Modifikuokite registrą savo pačių rizika.
Naujinimas pristato šį registro parametrą:
Registro maršrutas |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Vertė |
"Oracle" |
Datos tipas |
Dword |
Reikia perkrauti? |
Taip |
Sąveikos matrica
Klientas ir serveris turi būti atnaujintas, arba Windows ir trečiosios šalies "CredSSP" Klientai gali nepavykti prisijungti prie "Windows" arba trečiosios šalies šeimininkai. Ieškokite šioje sąveikos matrica scenarijams, kurie yra arba pažeidžiami išnaudoti arba sukelti veikimo trikčių.
Pastaboje Jungiantis prie "Windows" nuotolinio darbalaukio serverio, serveris gali būti sukonfigūruotas naudoti atsarginis mechanizmas, naudojamas TLS protokolo autentifikavimo, ir vartotojai gali gauti skirtingus rezultatus nei aprašyta šioje matricoje. Ši matrica tik apibūdina "CredSSP" protokolo veikimą.
|
|
Server |
|||
Unpatched |
Priverstinai atnaujintus klientus |
Sušvelninti |
Pažeidžiami |
||
Kliento |
Unpatched |
Leidžiama |
Užblokuotas |
Leidžiama |
Leidžiama |
Priverstinai atnaujintus klientus |
Užblokuotas |
Leidžiama |
Leidžiama |
Leidžiama |
|
Sušvelninti |
Užblokuotas |
Leidžiama |
Leidžiama |
Leidžiama |
|
Pažeidžiami |
Leidžiama |
Leidžiama |
Leidžiama |
Leidžiama |
Kliento nustatymas |
CVE-2018-0886 Patch status |
Unpatched |
Pažeidžiami |
Priverstinai atnaujintus klientus |
Saugi |
Sušvelninti |
Saugi |
Pažeidžiami |
Pažeidžiami |
"Windows" įvykių žurnalo klaidos
Įvykio ID 6041 bus užregistruotas lopas Windows klientams, jei klientas ir nuotolinis kompiuteris yra sukonfigūruotas užblokuota konfigūracija.
Įvykių žurnale |
Sistemos |
Įvykio šaltinis |
LSA (LsaSrv) |
Įvykio ID |
6041 |
Įvykio pranešimo tekstas |
"CredSSP" autentifikavimo < pagrindinio kompiuterio pavadinimas > nepavyko derėtis dėl bendrojo protokolo versijos. Nuotolinio priimančiosios siūlomų versija < protokolo versija > kuri neleidžiama šifravimo Oracle atnaujinimo. |
Klaidos generuoja "CredSSP" užblokuotas konfigūracijos poros pataisytas Windows RDP Klientai
Klaidos, pateiktos nuotolinio darbalaukio kliento be balandžio 17, 2018 pleistras (KB 4093120)
Unpatched Pre-Windows 8,1 ir Windows Server 2012 R2 klientams suporuotas su serveriais sukonfigūruotas naudojant "force atnaujintas klientams" |
Klaidos generuoja "CredSSP" užblokuotas konfigūracijos poros pataisytas Windows 8.1/Windows Server 2012 R2 ir vėliau RDP Klientai |
Įvyko autentifikavimo klaida. Funkcijai pateiktas atpažinimo ženklas neleistinas |
Įvyko autentifikavimo klaida. Pareikalauta funkcija nepalaikoma. |
Klaidos, pateiktos nuotolinio darbalaukio kliento su balandžio 17, 2018 pleistras (KB 4093120)
Unpatched Pre-Windows 8,1 ir Windows Server 2012 R2 klientams suporuotas su serverių sukonfigūruotas su " Force atnaujintas Klientai " |
Šios klaidos generuoja "CredSSP" užblokuotas konfigūracijos poros pataisytas Windows 8.1/Windows Server 2012 R2 ir vėliau RDP Klientai. |
Įvyko autentifikavimo klaida. Funkcijai pateiktas atpažinimo ženklas neleistinas. |
Įvyko autentifikavimo klaida. Pareikalauta funkcija nepalaikoma. Nuotolinis kompiuteris: <hostname> Tai gali būti dėl "CredSSP" šifravimo "Oracle" atnaujinimo. Daugiau informacijos ieškokite https://go.Microsoft.com/fwlink/?linkid=866660 |
Trečiosios šalies nuotolinio darbalaukio klientams ir serveriams
Visi trečiosios šalies Klientai arba serveriai turi naudoti naujausią "CredSSP" protokolo versiją. Susisiekite su tiekėjais, Norėdami nustatyti, ar jų programinė įranga yra suderinama su naujausiu "CredSSP" protokolu.
Protokolo naujinimus galima rasti "Windows" protokolo dokumentacijos svetainėje.
Failo pakeitimai
Šie sistemos failai buvo pakeisti į šį naujinimą.
-
tspkg.dll
CredSSP. dll failas lieka nepakitęs. Norėdami gauti daugiau informacijos, peržiūrėkite atitinkamus straipsnius apie failo versijos informaciją.