Kopsavilkums
Akreditācijas datu drošības atbalsta nodrošinātāja protokols (CredSSP) ir autentifikācijas nodrošinātājs, kas apstrādā autentifikācijas pieprasījumus citām lietojumprogrammām. Attālo koda izpildi ievainojamība unpatched CredSSP versijās. Uzbrucējs, kurš veiksmīgi izmanto šo ievainojamību varētu relay lietotāja akreditācijas datus, lai izpildītu kodu mērķa sistēmā. Jebkura lietojumprogramma, kas atkarīga no CredSSP autentifikācijai, iespējams, ir neaizsargāta pret šāda veida uzbrukumu.
Šis drošības atjauninājums novērš ievainojamību labojot kā CredSSP pārbauda pieprasījumus autentifikācijas procesa laikā.
Lai iegūtu papildinformāciju par drošības problēmu, skatiet CVE 2018-0886.
Atjauninājumus
13 marts 2018
Sākotnējais 13. marts 2018, laidiena atjauninājumi CredSSP autentificēšanas protokols un attālās darbvirsmas klientiem visas ietekmētās platformas. Samazināšanas sastāv no atjauninājuma instalēšanas visu atbilstošo klientu un serveru operētājsistēmas un pēc tam izmantojot iekļauts grupas politikas iestatījumus vai reģistra ekvivalents pārvaldīt iestatījumu opcijas klienta un servera datoros. Mēs iesakām administratoriem lietot politiku un iestatiet to uz "spēkā atjauninātu klientiem" vai "Mitigated" klienta un servera datoros, cik drīz vien iespējams. Šīs izmaiņas prasīs atsāknēšana ietekmēto sistēmu. Pievērsiet uzmanību grupas politikas vai reģistra iestatījumu pāriem, kas izraisa "bloķēta" mijiedarbība starp klientiem un serveriem saderības tabulā tālāk šajā rakstā.
Aprīlis 17, 2018
Attālās darbvirsmas klientu (RDP) atjauninājumu atjauninājums KB 4093120 uzlabos kļūdas ziņojums, kas tiek parādīts, kad atjauninātā klienta neizdodas izveidot savienojumu ar serveri, kas nav atjaunināts.
Maijs 8, 2018
Atjauninājumu, lai mainītu noklusējuma iestatījumu no neaizsargāta uz mazināta.
Saistītie Microsoft zināšanu bāzes numuri ir uzskaitīti CVE-2018-0886.
Pēc noklusējuma pēc šī atjauninājuma instalēšanas Patched klienti nevar sazināties ar unpatched serveriem. Izmantojiet savietojamības matrica un grupas politikas iestatījumus, kas aprakstīti šajā rakstā, lai iespējotu "atļauto" konfigurāciju.
Grupas politikas
|
Politikas ceļš un iestatījuma nosaukums |
Apraksts |
|
Politikas ceļš: datora konfigurācija-> administratīvās veidnes-> sistēma-> akreditācijas datu deleģēšana Iestatījums nosaukums: šifrēšana Oracle labošanas |
Šifrēšana Oracle labošanas Šis politikas iestatījums attiecas uz lietojumprogrammām, kas izmanto CredSSP komponents (piemēram, attālās darbvirsmas savienojums). Dažas CredSSP protokola versijas ir neaizsargāti pret klienta šifrēšana Oracle uzbrukumu. Šī politika kontrolē saderību ar neaizsargātiem klientiem un serveriem. Šī politika ļauj iestatīt aizsardzības līmeni, kuru vēlaties šifrēšanas Oracle ievainojamību. Iespējojot šo politikas iestatījumu, CredSSP versiju atbalsts tiks atlasīts, pamatojoties uz šīm opcijām: Spēkā atjaunināti klienti- Klienta lietojumprogrammas, kas izmanto CredSSP nevarēs atgriezties nedrošs versijas un pakalpojumi, kas izmanto CredSSP nepieņem unpatched klientiem. Ņemiet vērā Šis iestatījums nav izvietots, kamēr visas attālās hosts atbalsta jaunāko versiju. Mazināti – Klienta lietojumprogrammām, kas izmanto CredSSP nevarēs atgriezties nedrošs versijas, bet pakalpojumi, kas izmanto CredSSP pieņems unpatched klientiem. Neaizsargāti- Klienta lietojumprogrammām, kas izmanto CredSSP pakļaut attālos serverus uzbrukumiem, atbalstot atkāpšanās nedrošs versijas un pakalpojumi, kas izmanto CredSSP pieņems unpatched klientiem. |
Šifrēšanas Oracle koriģēšanas grupas politikas atbalsta šādas trīs opcijas, kas jāpiemēro klientiem un serveriem:
|
Politikas iestatījums |
Reģistra vērtība |
Klienta uzvedība |
Servera darbība |
|
Spēkā atjauninātie klienti |
0 |
Klienta lietojumprogrammām, kas izmanto CredSSP nevarēs atkāpšanās nedrošs versijas. |
Pakalpojumi, izmantojot CredSSP nepieņems unpatched klientiem. Ņemiet vērā Šis iestatījums nav jāizvieto, kamēr Visi logi un trešās puses credSSP klienti atbalsta jaunāko credSSP versiju. |
|
Mazināt |
1 |
Klienta lietojumprogrammām, kas izmanto CredSSP nevarēs atkāpšanās nedrošs versijas. |
Pakalpojumi, kas izmanto CredSSP pieņems unpatched klientiem. |
|
Neaizsargāti |
2 |
Klienta lietojumprogrammām, kas izmanto CredSSP tiks pakļaut uzbrukumiem attālos serveros, atbalstot atkāpšanās nedrošs versijas. |
Pakalpojumi, kas izmanto CredSSP pieņems unpatched klientiem. |
Otrs atjauninājums, kas tiks izlaists 2018 May 8, mainīs opciju "Mitigated" noklusējuma darbību.
Ņemiet vērā Jebkuras izmaiņas šifrēšana Oracle labošanas nepieciešama atsāknēšana.
Reģistra vērtība
Brīdinājumam Ja reģistru modificēsit nepareizi, izmantojot reģistra redaktoru vai citu metodi, var rasties nopietnas problēmas. Šo problēmu dēļ var nākties pārinstalēt operētājsistēmu. Korporācija Microsoft nevar garantēt, ka šīs problēmas var novērst. Mainīt reģistru uz savu risku.
Atjauninājums ievieš šādu reģistra iestatījumu:
|
Reģistra ceļš |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
Vērtību |
Allowšifrtionoracle |
|
Datuma tips |
Dword |
|
Nepieciešama atsāknēšana? |
Jā |
Sadarbspējas matrica
Klienta un servera ir jāatjaunina vai Windows un trešās puses CredSSP klientiem, iespējams, nevarēs izveidot savienojumu ar Windows vai trešās puses resursdatoru. Skatiet šādu sadarbspējas matrica scenārijiem, kas ir vai nu neaizsargāti izmantot vai izraisīt darbības kļūmes.
Ņemiet vērā Veidojot savienojumu ar Windows attālās darbvirsmas serveri, serveri var konfigurēt , lai izmantotu atkāpšanās mehānismu , kas izmanto TLS protokolu autentifikācijai, un lietotāji var iegūt atšķirīgus rezultātus, nekā aprakstīts šajā matricā. Šī matrica apraksta tikai CredSSP protokola darbību.
|
|
|
Servera |
|||
|
Unpatched |
Spēkā atjauninātie klienti |
Mazināt |
Neaizsargāti |
||
|
Klienta |
Unpatched |
Atļauts |
Bloķēts |
Atļauts |
Atļauts |
|
Spēkā atjauninātie klienti |
Bloķēts |
Atļauts |
Atļauts |
Atļauts |
|
|
Mazināt |
Bloķēts |
Atļauts |
Atļauts |
Atļauts |
|
|
Neaizsargāti |
Atļauts |
Atļauts |
Atļauts |
Atļauts |
|
|
Klienta iestatījumu |
CVE-2018-0886 ielāpa statuss |
|
Unpatched |
Neaizsargāti |
|
Spēkā atjauninātie klienti |
Droša |
|
Mazināt |
Droša |
|
Neaizsargāti |
Neaizsargāti |
Windows notikumu žurnāla kļūdas
Notikuma ID 6041 būs pieteicies Patched Windows klientiem, ja klients un attālais resursdators ir konfigurēti bloķēto konfigurācijā.
|
Notikumu žurnālu |
Sistēmas |
|
Notikuma avots |
LSA (LsaSrv) |
|
Notikuma ID |
6041 |
|
Notikuma ziņojuma teksts |
CredSSP autentifikāciju, < resursdatora nosaukumu > neizdevās vienoties par kopēju protokola versiju. Attālais resursdatora piedāvāto versiju < protokola versija > kas nav atļauta šifrēšana Oracle labošanas. |
CredSSP bloķēts konfigurācijas pāriem, Patched Windows RDP klientiem kļūdas
Attālās darbvirsmas klienta uzrādās kļūdas bez 17 aprīlis 2018 ielāps (KB 4093120)
|
Unpatched pirms Windows 8,1 un Windows Server 2012 R2 klientu pārī ar serveriem konfigurēta ar "spēkā atjauninātu klientiem" |
CredSSP bloķēts konfigurācijas pāru ar Patched Windows 8.1/Windows Server 2012 R2 un jaunākās RDP klientiem kļūdas |
|
Radusies autentifikācijas kļūda. Funkcijai sniegtā pilnvara nav derīga |
Radusies autentifikācijas kļūda. Pieprasītā funkcija netiek atbalstīta. |
Attālās darbvirsmas klientu uzrādās kļūdas ar 17 aprīlis 2018 ielāps (KB 4093120)
|
Unpatched pre-Windows 8,1 un Windows Server 2012 R2 klientu pārī ar serveriem konfigurēta ar " Spēkā atjaunināti klienti " |
Šīs kļūdas ģenerē CredSSP bloķēts konfigurācijas pāriem, Patched Windows 8.1/Windows Server 2012 R2 un jaunākās RDP klientiem. |
|
Radusies autentifikācijas kļūda. Funkcijai sniegtā pilnvara nav derīga. |
Radusies autentifikācijas kļūda. Pieprasītā funkcija netiek atbalstīta. Attālais dators: <resursdatora nosaukumu> Tas var būt saistīts ar CredSSP šifrēšanas Oracle koriģēšanas. Lai iegūtu papildu informāciju, skatiet https://go.Microsoft.com/fwlink/?linkid=866660 |
Trešo pušu attālās darbvirsmas klientus un serverus
Visiem trešo pušu klientiem vai serveriem ir jāizmanto jaunākā CredSSP protokola versija. Lūdzu, sazinieties ar piegādātājiem, lai noteiktu, vai viņu programmatūra ir saderīga ar jaunāko CredSSP protokolu.
Protokola atjauninājumus var atrast vietnē Windows protokola dokumentāciju.
Faila izmaiņas
Šajā atjauninājumā ir mainīti šādi sistēmas faili.
-
tspkg.dll
CredSSP. dll fails paliek nemainīgs. Lai iegūtu papildinformāciju, lūdzu, pārskatiet atbilstošos rakstus failu versijas informāciju.
