Podsumowanie
Credential Security Support Provider Protocol (CredSSP) jest dostawcą uwierzytelniania, który przetwarza żądania uwierzytelnienia dla innych aplikacji. W niezałatane wersje CredSSP występuje luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu. Osoba atakująca, która pomyślnie wykorzysta tę lukę, może przekazywać poświadczenia użytkownika w celu wykonania kodu w systemie docelowym. Każda aplikacja, która zależy od CredSSP do uwierzytelniania może być narażony na atak tego typu.
Ta aktualizacja zabezpieczeń usuwa lukę, modyfikując sposób sprawdzania poprawności żądań przez dostawcę CredSSP podczas procesu uwierzytelniania.
Aby dowiedzieć się więcej na temat luki w zabezpieczeniach, zobacz CVE-2018-0886.
Aktualizacje
13 marca 2018
Początkowy 13 marca 2018, wydanie aktualizuje protokół uwierzytelniania CredSSP i klientów pulpitu zdalnego dla wszystkich platform dotkniętych. Łagodzenie polega na zainstalowaniu aktualizacji na wszystkich kwalifikujących się klienckich i serwerowych systemach operacyjnych, a następnie za pomocą dołączonych ustawień zasad grupy lub odpowiedników opartych na rejestrze do zarządzania opcjami ustawień na komputerach klienckich i serwerowych. Zaleca się, że administratorzy stosują zasady i ustawić ją na "życie zaktualizowanych klientów" lub "złagodzone" na komputerach klienckich i serwerowych tak szybko, jak to możliwe. Zmiany te będą wymagały ponownego uruchomienia systemów, których dotyczy luka. Zwróć szczególną uwagę na pary ustawień zasad grupy lub rejestru, które powodują interakcje "zablokowane" między klientami i serwerami w tabeli zgodności w dalszej części tego artykułu.
17 kwietnia, 2018
Aktualizacja aktualizacji klienta pulpitu zdalnego (RDP) w KB 4093120 zwiększy komunikat o błędzie, który jest przedstawiony, gdy zaktualizowanego klienta nie powiedzie się połączyć się z serwerem, który nie został zaktualizowany.
8 maja 2018
Aktualizacja, aby zmienić ustawienie domyślne z podatne na złagodzone.
Pokrewne numery bazy wiedzy Microsoft Knowledge Base są wymienione w CVE-2018-0886.
Domyślnie po zainstalowaniu tej aktualizacji klienci połatany nie może komunikować się z serwerami bez poprawki. Użyj macierzy współdziałania i ustawień zasad grupy opisanych w tym artykule, aby włączyć "dozwolone" konfiguracji.
Zasady grupy
Ścieżka zasad i Nazwa ustawienia |
Opis |
Ścieżka zasad: Konfiguracja komputera — > Szablony administracyjne — > System — delegowanie poświadczeń > Nazwa ustawienia: szyfrowanie Oracle remediacji |
Szyfrowanie Oracle remediacji To ustawienie zasad ma zastosowanie do aplikacji korzystających ze składnika CredSSP (na przykład Podłączanie pulpitu zdalnego). Niektóre wersje protokołu CredSSP są narażone na atak Oracle szyfrowanie przeciwko klientowi. Ta zasada kontroluje zgodność z klientami i serwerami podatnych na zagrożenia. Ta zasada umożliwia ustawienie poziomu ochrony, który ma być w przypadku usterki Oracle szyfrowania. Jeśli to ustawienie zasad zostanie włączone, obsługa wersji CredSSP zostaną wybrane na podstawie następujących opcji: Wymuś zaktualizowanych klientów — Aplikacje klienckie, które używają CredSSP nie będzie mógł wrócić do niezabezpieczonych wersji i usług, które używają CredSSP nie akceptuje klientów bez poprawki. Uwaga To ustawienie nie powinno być wdrażane, dopóki wszystkie hosty zdalne obsługują najnowszą wersję. Złagodzone – Aplikacje klienckie, które używają CredSSP nie będzie mógł wrócić do niezabezpieczonych wersji, ale usługi, które używają CredSSP zaakceptuje klientów bez poprawki. Podatna na zagrożenia – Aplikacje klienckie, które używają CredSSP ujawniają serwerów zdalnych ataków poprzez wspieranie powrotu do niezabezpieczonych wersji i usług, które używają CredSSP akceptuje klientów bez poprawki. |
Zasady grupy remediacji Oracle szyfrowania obsługuje następujące trzy opcje, które powinny być stosowane do klientów i serwerów:
Ustawienie zasad |
Wartość rejestru |
Zachowanie klientaclient Behavior |
Zachowanie serwerowe |
Wymuszenie aktualizacji klientów |
0 |
Aplikacje klienckie, które używają CredSSP nie będzie mógł wrócić do niezabezpieczonych wersji. |
Usługi przy użyciu CredSSP nie akceptuje klientów bez poprawki. Uwaga To ustawienie nie należy wdrożyć, dopóki wszystkie Windows i innych firm klientów CredSSP obsługuje najnowszą wersję CredSSP. |
Osłabienie |
1 |
Aplikacje klienckie, które używają CredSSP nie będzie mógł wrócić do niezabezpieczonych wersji. |
Usługi, które używają CredSSP zaakceptuje klientów bez poprawki . |
Zagrożenie |
2 |
Aplikacje klienckie, które używają CredSSP ujawniają zdalnych serwerów do ataków poprzez wspieranie powrotu do niezabezpieczonych wersji. |
Usługi, które używają CredSSP zaakceptuje klientów bez poprawki . |
Druga aktualizacja, która ma zostać wydana 8 maja 2018, zmieni domyślne zachowanie opcji "złagodzone".
Uwaga Wszelkie zmiany do remediacji Oracle szyfrowanie wymaga ponownego uruchomienia komputera.
Wartość rejestru
Ostrzeżeniem Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub przy użyciu innej metody może spowodować poważne problemy. Te problemy mogą wymagać ponownej instalacji systemu operacyjnego. Firma Microsoft nie może zagwarantować, że te problemy zostaną rozwiązane. Modyfikowanie rejestru na własne ryzyko.
Aktualizacja wprowadza następujące ustawienie rejestru:
Ścieżka rejestru |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Wartość |
Właściwość AllowEncryptionOracle |
Typ daty |
Dword |
Restart wymagane? |
Tak |
Macierz interoperacyjności
Zarówno klient, jak i serwer muszą zostać zaktualizowane albo system Windows i klienci CredSSP innych firm mogą nie być w stanie nawiązać połączenia z systemem Windows lub hostami innych firm. Zobacz następującą macierz współdziałania dla scenariuszy, które są narażone na Exploit lub spowodować awarie operacyjne.
Uwaga Podczas nawiązywania połączenia z serwerem pulpitu zdalnego systemu Windows, serwer może być skonfigurowany do używania mechanizmu rezerwowego, który wykorzystuje protokół TLS do uwierzytelniania, a użytkownicy mogą uzyskać różne wyniki niż opisane w tej macierzy. Ta macierz opisuje tylko zachowanie protokołu CredSSP.
|
|
Serwer |
|||
Niezałatane |
Wymuszenie aktualizacji klientów |
Osłabienie |
Zagrożenie |
||
Klient |
Niezałatane |
Dozwolone |
Zablokowane |
Dozwolone |
Dozwolone |
Wymuszenie aktualizacji klientów |
Zablokowane |
Dozwolone |
Dozwolone |
Dozwolone |
|
Osłabienie |
Zablokowane |
Dozwolone |
Dozwolone |
Dozwolone |
|
Zagrożenie |
Dozwolone |
Dozwolone |
Dozwolone |
Dozwolone |
Ustawienie klientaclient Setting |
CVE-2018-0886 stan poprawki |
Niezałatane |
Zagrożenie |
Wymuszenie aktualizacji klientów |
Bezpieczne |
Osłabienie |
Bezpieczne |
Zagrożenie |
Zagrożenie |
Błędy dziennika zdarzeń systemu Windows
Jeśli klient i host zdalny są skonfigurowane w zablokowanej konfiguracji, zdarzenie o identyfikatorze 6041 zostanie zarejestrowane na łatched klientach systemu Windows.
Dziennik zdarzeń |
System |
Źródło zdarzenia |
LSA (LsaSrv) |
Identyfikator zdarzenia |
6041 |
Tekst komunikatu o zdarzeniu |
Uwierzytelnianie CredSSP do < hostname > nie można negocjować wspólnej wersji protokołu. Zdalny host zaoferował wersję < Protocol version > , która nie jest dozwolona przez szyfrowanie Oracle remediacji. |
Błędy generowane przez pary konfiguracja CredSSP zablokowane przez poprawione klientów RDP systemu Windows
Błędy przedstawione przez klienta usług pulpitu zdalnego bez aktualizacji 17 kwietnia 2018 (KB 4093120)
Unpatched przed-Windows 8,1 i Windows Server 2012 R2 klientów skojarzonych z serwerami skonfigurowane z "życie zaktualizowane klientów" |
Błędy generowane przez pary konfiguracja CredSSP zablokowane przez poprawione Windows 8.1/Windows Server 2012 R2 i nowszych klientów RDP |
Wystąpił błąd uwierzytelniania. Token dostarczony do funkcji jest nieprawidłowy |
Wystąpił błąd uwierzytelniania. Żądana funkcja nie jest obsługiwana. |
Błędy przedstawione przez klienta usług pulpitu zdalnego z 17 kwietnia 2018 łata (KB 4093120)
Niezałatane przed-windows 8,1 i Windows Server 2012 R2 klientów skojarzonych z serwerami skonfigurowanymi " Wymuś zaktualizowanych klientów " |
Te błędy są generowane przez pary konfiguracja CredSSP zablokowane przez poprawione Windows 8.1/Windows Server 2012 R2 i nowszych klientów RDP. |
Wystąpił błąd uwierzytelniania. Token dostarczony do funkcji jest nieprawidłowy. |
Wystąpił błąd uwierzytelniania. Żądana funkcja nie jest obsługiwana. Komputer zdalny: <hostname> Może to być spowodowane CredSSP szyfrowanie Oracle remediacji. Aby uzyskać więcej informacji, zobacz https://go.Microsoft.com/fwlink/?linkid=866660 |
Klienci i serwery usług pulpitu zdalnego innych firm
Wszyscy klienci lub serwery innych firm muszą używać najnowszej wersji protokołu CredSSP. Skontaktuj się z dostawcami, aby ustalić, czy ich oprogramowanie jest zgodne z najnowszym protokołem CredSSP.
Aktualizacje protokołu można znaleźć w witrynie dokumentacji protokołu Windows.
Zmiany w pliku
W tej aktualizacji zostały zmienione następujące pliki systemowe.
-
tspkg.dll
Plik CredSSP. dll pozostaje niezmieniony. Aby uzyskać więcej informacji, zapoznaj się z odpowiednimi artykułami dla informacji o wersji pliku.