Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Suvestinė

Kredencialų saugos palaikymo teikėjo protokolas (CredSSP) yra autentifikavimo teikėjas, kuris apdoroja autentifikavimo užklausas kitoms taikomosioms programoms. Nuotolinio kodo vykdymo pažeidžiamumas yra unpatched versijos "CredSSP". Pažeidėjas, sėkmingai naudoja šį pažeidžiamumą gali perduoti vartotojo kredencialus vykdyti kodą paskirties sistemoje. Bet programa, kuri priklauso nuo "CredSSP" autentifikavimo gali būti pažeidžiami šio tipo ataka.

Šis saugos naujinimas skirtas pažeidžiamumas pataisydami, kaip "CredSSP" patikrina užklausas autentifikavimo proceso metu.

Norėdami sužinoti daugiau apie pažeidžiamumą, žr. CVE-2018-0886.

Naujinimus

Kovo 13, 2018

Pradinis kovo 13, 2018, išleisti atnaujina "CredSSP" autentifikavimo protokolui ir nuotolinio darbalaukio klientams visų paveiktų platformų. Mažinimas susideda iš diegiant naujinimą visų tinkamų klientų ir serverių operacinių sistemų ir tada naudojant įtraukti grupės strategijos parametrus arba registro ekvivalentą valdyti parametrą pasirinktis kliento ir serverio kompiuteriuose. Rekomenduojame, kad administratoriai taikyti politiką ir nustatykite jį "force atnaujintas klientams" arba "sušvelnintas" kliento ir serverio kompiuteriuose kaip įmanoma greičiau.  Dėl šių pakeitimų reikės iš naujo paleisti paveiktas sistemas. Atkreipkite dėmesį į grupės strategijos arba registro parametrus poros, kurios rezultatas "užblokuotas" sąveika tarp klientų ir serverių suderinamumo lentelėje šiame straipsnyje.

2018 m. balandžio 17 d.

Nuotolinio darbalaukio kliento (RDP) naujinimo naujinimą KB 4093120 bus padidinti klaidos pranešimą, kuris pateikiamas atnaujinus kliento nepavyksta prisijungti prie serverio, kuris nebuvo atnaujintas.

Gegužės 8, 2018

Naujinimą, kad pakeistumėte numatytąjį parametrą iš pažeidžiami sumažinti.

CVE-2018-0886yra pateikti susiję Microsoft žinių bazės numeriai.

Pagal numatytuosius nustatymus Įdiegus šį naujinimą, lopas Klientai negali susisiekti su unpatched serveriai. Naudokite suderinamumo matricos ir grupės strategijos parametrus, aprašytus šiame straipsnyje, kad įgalintumėte "leistiną" konfigūraciją.

Grupės strategija

Strategijos kelias ir parametro pavadinimas

Aprašymas / kontrolė

Strategijos kelias: kompiuterio konfigūracija – > administravimo šablonai – > sistema – > kredencialų perdavimas Nustatymo pavadinimas: šifravimas Oracle Retarpininkavimas

Šifravimas "Oracle" retarpininkavimas

Šis strategijos parametras taikomas taikomosioms programoms, kurios naudoja "CredSSP" komponentą (pvz., Jungimasis prie nuotolinio darbalaukio).

Kai kurios versijos "CredSSP" protokolo yra pažeidžiami šifravimo "Oracle" ataka prieš klientą. Ši strategija kontroliuoja suderinamumą su pažeidžiamais klientais ir serveriais. Ši strategija leidžia nustatyti šifravimo "Oracle" pažeidžiamumo norimą apsaugos lygį.

Jei įgalinsite šį strategijos parametrą, "CredSSP" versijos palaikymas bus pasirinktas remiantis šiomis parinktimis:

Force atnaujintas Klientai – Kliento programos, naudojančios "CredSSP" negalės grįžti prie nesaugių versijų, ir paslaugų, kurios naudoja "CredSSP" nebus priimti unpatched Klientai.

Pastaboje Šis parametras neturėtų būti naudojamas tol, kol visi nuotoliniai šeimininkai palaiko naujausią versiją.

Sušvelnintas – Kliento programos, naudojančios "CredSSP" negalės grįžti prie nesaugių versijų, bet paslaugas, kurios naudoja "CredSSP" priims unpatched Klientai.

Pažeidžiami – Kliento programos, naudojančios "CredSSP" bus atskleisti nuotolinio serveriai atakų remiant grįžti į nesaugius versijas, ir paslaugų, kurios naudoja "CredSSP" priims unpatched Klientai.

 

"Encryption Oracle" atnaujinimo grupės strategija palaiko šias tris parinktis, kurios turėtų būti taikomos klientams ir serveriams:

Strategijos nustatymas

Registro reikšmė

Kliento elgsena

Serverio elgesys

Priverstinai atnaujintus klientus

0

Kliento programos, naudojančios " CredSSP" negalės grįžti prie nesaugių versijų.

Paslaugos, naudojančios "CredSSP" nebus priimti unpatched Klientai. Pastaboje Šis parametras neturėtų būti naudojami tol, kol Visi Windows ir trečiosios šalies "CredSSP" Klientai nepalaiko naujausios "CredSSP" versijos.

Sušvelninti

1

Kliento programos, naudojančios " CredSSP" negalės grįžti prie nesaugių versijų.

Paslaugos, naudojančios "CredSSP" priims unpatched Klientai.

Pažeidžiami

2

Kliento programos, naudojančios "CredSSP" bus atskleisti nuotoliniuose serveriuose atakų remiant grįžti į nesaugius versijas.

Paslaugos, naudojančios "CredSSP" priims unpatched Klientai.

 

Antrasis naujinimas, kuris bus išleistas gegužės 8, 2018, pakeis numatytąjį veikimą į "Mitigated" parinktį.

Pastaboje Bet pakeisti šifravimo Oracle atnaujinimo reikia perkrauti.

Registro reikšmė

Įspėjamieji Jei registro duomenis pakeisite neteisingai naudojant registro rengyklę arba kitu būdu, gali kilti rimtų problemų. Šios problemos gali reikalauti, kad jūs iš naujo įdiegti operacinę sistemą. "Microsoft" negarantuoja, kad šias problemas galima išspręsti. Modifikuokite registrą savo pačių rizika.

Naujinimas pristato šį registro parametrą:

Registro maršrutas

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Vertė

"Oracle"

Datos tipas

Dword

Reikia perkrauti?

Taip

Sąveikos matrica

Klientas ir serveris turi būti atnaujintas, arba Windows ir trečiosios šalies "CredSSP" Klientai gali nepavykti prisijungti prie "Windows" arba trečiosios šalies šeimininkai. Ieškokite šioje sąveikos matrica scenarijams, kurie yra arba pažeidžiami išnaudoti arba sukelti veikimo trikčių.

Pastaboje Jungiantis prie "Windows" nuotolinio darbalaukio serverio, serveris gali būti sukonfigūruotas naudoti atsarginis mechanizmas, naudojamas TLS protokolo autentifikavimo, ir vartotojai gali gauti skirtingus rezultatus nei aprašyta šioje matricoje. Ši matrica tik apibūdina "CredSSP" protokolo veikimą.

 

 

Server

Unpatched

Priverstinai atnaujintus klientus

Sušvelninti

Pažeidžiami

Kliento

Unpatched

Leidžiama

Užblokuotas

Leidžiama

Leidžiama

Priverstinai atnaujintus klientus

Užblokuotas

Leidžiama

Leidžiama

Leidžiama

Sušvelninti

Užblokuotas

Leidžiama

Leidžiama

Leidžiama

Pažeidžiami

Leidžiama

Leidžiama

Leidžiama

Leidžiama

 

Kliento nustatymas

CVE-2018-0886 Patch status

Unpatched

Pažeidžiami

Priverstinai atnaujintus klientus

Saugi

Sušvelninti

Saugi

Pažeidžiami

Pažeidžiami

"Windows" įvykių žurnalo klaidos

Įvykio ID 6041 bus užregistruotas lopas Windows klientams, jei klientas ir nuotolinis kompiuteris yra sukonfigūruotas užblokuota konfigūracija.

Įvykių žurnale

Sistemos

Įvykio šaltinis

LSA (LsaSrv)

Įvykio ID

6041

Įvykio pranešimo tekstas

"CredSSP" autentifikavimo < pagrindinio kompiuterio pavadinimas > nepavyko derėtis dėl bendrojo protokolo versijos. Nuotolinio priimančiosios siūlomų versija < protokolo versija > kuri neleidžiama šifravimo Oracle atnaujinimo.

Klaidos generuoja "CredSSP" užblokuotas konfigūracijos poros pataisytas Windows RDP Klientai

Klaidos, pateiktos nuotolinio darbalaukio kliento be balandžio 17, 2018 pleistras (KB 4093120)

Unpatched Pre-Windows 8,1 ir Windows Server 2012 R2 klientams suporuotas su serveriais sukonfigūruotas naudojant "force atnaujintas klientams"

Klaidos generuoja "CredSSP" užblokuotas konfigūracijos poros pataisytas Windows 8.1/Windows Server 2012 R2 ir vėliau RDP Klientai

Įvyko autentifikavimo klaida.

Funkcijai pateiktas atpažinimo ženklas neleistinas

Įvyko autentifikavimo klaida.

Pareikalauta funkcija nepalaikoma.

Klaidos, pateiktos nuotolinio darbalaukio kliento su balandžio 17, 2018 pleistras (KB 4093120)

Unpatched Pre-Windows 8,1 ir Windows Server 2012 R2 klientams suporuotas su serverių sukonfigūruotas su " Force atnaujintas Klientai "

Šios klaidos generuoja "CredSSP" užblokuotas konfigūracijos poros pataisytas Windows 8.1/Windows Server 2012 R2 ir vėliau RDP Klientai.

Įvyko autentifikavimo klaida.

Funkcijai pateiktas atpažinimo ženklas neleistinas.

Įvyko autentifikavimo klaida.

Pareikalauta funkcija nepalaikoma.

Nuotolinis kompiuteris: <hostname>

Tai gali būti dėl "CredSSP" šifravimo "Oracle" atnaujinimo.

Daugiau informacijos ieškokite https://go.Microsoft.com/fwlink/?linkid=866660

Trečiosios šalies nuotolinio darbalaukio klientams ir serveriams

Visi trečiosios šalies Klientai arba serveriai turi naudoti naujausią "CredSSP" protokolo versiją. Susisiekite su tiekėjais, Norėdami nustatyti, ar jų programinė įranga yra suderinama su naujausiu "CredSSP" protokolu.

Protokolo naujinimus galima rasti "Windows" protokolo dokumentacijos svetainėje.

Failo pakeitimai

Šie sistemos failai buvo pakeisti į šį naujinimą.

  • tspkg.dll

CredSSP. dll failas lieka nepakitęs. Norėdami gauti daugiau informacijos, peržiūrėkite atitinkamus straipsnius apie failo versijos informaciją.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×