Sammendrag
Credential Security Support Provider-protokollen (CredSSP) er en godkjenningstjeneste som behandler forespørsler om godkjenning for andre programmer.
Det finnes et sikkerhetsproblem i ikke oppdatert versjoner av CredSSP. En angriper som klarer å utnytte dette sikkerhetsproblemet, kan videresende legitimasjonsbeskrivelser for å kjøre kode på systemet. Alle programmer som avhenger av CredSSP for godkjenning, kan være sårbare overfor slike angrep.
Denne sikkerhetsoppdateringen løser sikkerhetsproblemet ved å korrigere måten CredSSP validerer forespørsler under godkjenningsprosessen.
Hvis du vil ha mer informasjon om sikkerhetsproblemet, kan du se CVE-2018-0886.
Oppdateringer
13. mars 2018
Den første mars 13, 2018, oppdaterer release CredSSP godkjenningsprotokollen og eksternt skrivebord-klienter for alle berørte plattformene.
Løsningen består av å installere oppdateringen på alle kvalifiserte klient- og server-operativsystemer, og deretter bruke inkludert innstillinger for gruppepolicy eller registerbaserte tilsvarende for å behandle alternativene innstillingen for klient- og servermaskiner. Vi anbefaler at administratorer bruke policyen og sett den til "Force oppdatert klienter" eller "Mitigated" på klient- og servermaskiner så snart som mulig. Disse endringene krever en omstart av de berørte systemene.
Legg merke til gruppepolicy eller registerinnstillinger innstillinger-par som resulterer i "Sperret" interaksjon mellom klienter og servere i tabellen kompatibilitet senere i denne artikkelen.
17. april 2018
Oppdateringen for Remote Desktop Client (RDP) oppdateringen i KB 4093120 vil forbedre feilmeldingen som vises når en oppdatert klient mislykkes å koble til en server som ikke er oppdatert.
8. mai 2018
En oppdatering til å endre standardinnstillingen fra Vulnerable til Mitigated.
Relaterte Microsoft Knowledge Base-numre er oppført i CVE-2018-0886.
Når denne oppdateringen er installert, som standard kommunisere ikke oppdatert klienter med servere ikke oppdatert. Bruk matrisen interoperabilitet og gruppepolicyinnstillinger som er beskrevet i denne artikkelen hvis du vil aktivere en "tillatt" konfigurasjon.
Gruppepolicy
Policynavn banen og innstilling |
Beskrivelse |
Policybane: Computer Configuration -> Administrative maler -> System -> legitimasjonsdelegering |
Kryptering oracle utbedring Denne policyinnstillingen gjelder for programmer som bruker CredSSP-komponenten (for eksempel tilkobling til eksternt skrivebord). Noen versjoner av CredSSP-protokollen, er sårbare for kryptering oracle angrep mot klienten. Denne policyen kontrollerer kompatibilitet med sårbare klienter og servere. Denne policyen lar deg angi beskyttelsesnivået du ønsker for kryptering oracle sikkerhetsproblemet. Hvis denne policyinnstillingen aktiveres, vil støtte for CredSSP-versjonen bli valgt basert på følgende alternativer: Force oppdatert klienter – Klientprogrammer som bruker CredSSP kan ikke gå tilbake til usikre versjoner og tjenester som bruker CredSSP godtar ikke ikke oppdatert klienter. Obs! Denne innstillingen må ikke distribueres til alle eksterne verter støtter den nyeste versjonen. Begrenses – Klientprogrammer som bruker CredSSP kan ikke gå tilbake til usikre versjoner, men tjenester som bruker CredSSP godtar ikke oppdatert klienter. Sårbare – Klientprogrammer som bruker CredSSP skal vise de eksterne serverne for angrep ved å støtte basis på usikre versjoner og tjenester som bruker CredSSP godtar ikke oppdatert klienter. |
Kryptering Oracle utbedring gruppepolicyen støtter følgende tre alternativer som skal brukes på klienter og servere:
Policyinnstillingen |
Registerverdien |
Virkemåten for klienten |
Server-virkemåte |
Tvinge oppdaterte klienter |
0 |
Klientprogrammer som bruker CredSSP vil ikke kunne gå tilbake til usikre versjoner. |
Tjenester ved hjelp av CredSSP unpatched ikke vil akseptere klienter. |
Begrenses |
1 |
Klientprogrammer som bruker CredSSP vil ikke kunne gå tilbake til usikre versjoner. |
Tjenester som bruker CredSSP godtar ikke oppdatert klienter. |
Sårbare |
2 |
Klientprogrammer som bruker CredSSP vil utsette eksterne servere for angrep ved å støtte basis på usikre versjoner. |
Tjenester som bruker CredSSP godtar ikke oppdatert klienter. |
En oppdatering nummer to, til å bli utgitt 8. mai 2018, endres standardvirkemåten til "Mitigated"-alternativet.
Obs! Endringer i kryptering Oracle utbedring krever en omstart.
Registerverdien
Advarsel Det kan oppstå alvorlige problemer hvis du endrer registeret feilaktig ved å bruke Registerredigering eller en annen metode. Disse problemene kan kreve at du installerer operativsystemet på nytt. Microsoft garanterer ikke at disse problemene kan løses. Endre registret på eget ansvar.
Oppdateringen introduserer følgende registerinnstilling:
Registerbane |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Verdi |
AllowEncryptionOracle |
Dato-type |
DWORD |
Krever omstart? |
ja |
Matrise for interoperabilitet
Både klienten og serveren må oppdateres, eller Windows og tredjeparts CredSSP klienter kan ikke koble til Windows eller tredjeparts-verter. Se følgende interoperabilitet matrisen for scenarier som sårbare overfor de operasjonelle feil utnytte eller årsak.
|
|
Server |
|||
Ikke oppdatert |
Tvinge oppdaterte klienter |
Begrenses |
Sårbare |
||
Klienten |
Ikke oppdatert |
Tillatt |
Blokkert |
Tillatt |
Tillatt |
Tvinge oppdaterte klienter |
Blokkert |
Tillatt |
Tillatt |
Tillatt |
|
Begrenses |
Blokkert |
Tillatt |
Tillatt |
Tillatt |
|
Sårbare |
Tillatt |
Tillatt |
Tillatt |
Tillatt |
Klienten angir |
Oppdateringsstatus for CVE-2018-0886 |
Ikke oppdatert |
Sårbare |
Tvinge oppdaterte klienter |
Sikker |
Begrenses |
Sikker |
Sårbare |
Sårbare |
Feil i programhendelsesloggen for Windows
Hendelses-ID 6041 logges på oppdatert Windows-klienter hvis klienten og ekstern vert er konfigurert i en konfigurasjon som er blokkert.
Hendelseslogg |
Systemet |
Hendelseskilden |
LSA (LsaSrv) |
Hendelses-ID |
6041 |
Arrangement-meldingstekst |
En CredSSP for godkjenning til < hostname > kan ikke forhandle frem en felles protokollversjon. Den eksterne verten tilbudt versjonen < Protocol versjon > som ikke er tillatt av kryptering Oracle utbedring. |
Feil som genereres av par CredSSP blokkert konfigurasjonen av oppdatert Windows RDP-klienter
Feil presentert av Remote Desktop Client uten 17 April 2018 oppdateringen (KB 4093120)
Ikke oppdatert pre-Windows 8.1 og Windows Server 2012 R2-klienter som er forbundet med servere som er konfigurert med "Force oppdatert klienter" |
Feil som genereres av par CredSSP blokkert konfigurasjonen av oppdatert Windows 8.1 Windows Server 2012 R2 og senere RDP-klienter |
Det oppstod en godkjenningsfeil. Tokenet som ble levert til funksjonen, er ugyldig |
Det oppstod en godkjenningsfeil. Den forespurte funksjonen støttes ikke. |
Feil presentert av klienten for eksternt skrivebord med 17 April 2018 oppdateringen (KB 4093120)
Ikke oppdatert pre-Windows 8.1 og Windows Server 2012 R2-klienter som er forbundet med servere som er konfigurert med " Fremtving oppdaterte klienter" |
Disse feilene er generert av CredSSP blokkert konfigurasjon par av oppdatert Windows 8.1 / Windows Server 2012 R2 og senere RDP-klienter. |
Det oppstod en godkjenningsfeil. Tokenet som ble levert til funksjonen, er ugyldig. |
Det oppstod en godkjenningsfeil. Den forespurte funksjonen støttes ikke. Ekstern datamaskin: <hostname> Dette kan skyldes CredSSP kryptering oracle utbedring. Hvis du vil ha mer informasjon, se https://go.microsoft.com/fwlink/?linkid=866660 |
Tredjeparts remote desktop klienter og servere
Alle tredjeparts klienter og servere må bruke den nyeste versjonen av CredSSP-protokollen. Kontakt leverandørene for å fastslå om programvaren er kompatibel med nyeste CredSSP protokollen.
Protokoll-oppdateringer finner du på området for protokoll-dokumentasjonen for Windows.
Filendringer
Systemfilene nedenfor er endret i denne oppdateringen.
-
tspkg.dll
Credssp.dll-filen forblir uendret. Hvis du vil ha mer informasjon, kan du se relevante artikler for informasjon om filversjon.