Rezumat
Acreditări de securitate furnizor de suport Protocol (CredSSP) este un furnizor de autentificare care procesează solicitările de autentificare pentru alte aplicații. O vulnerabilitate de cod la distanță există în versiunile unpatched de CredSSP. Un atacator care exploatează cu succes această vulnerabilitate ar putea releu acreditările de utilizator pentru a executa cod pe sistemul țintă. Orice aplicație care depinde de CredSSP pentru autentificarea poate fi vulnerabil la acest tip de atac.
Această actualizare de securitate rezolvă vulnerabilitatea corectând CredSSP validează solicitările în timpul procesului de autentificare.
Pentru a afla mai multe despre vulnerabilitatea, consultați CVE-2018-0886.
Actualizări
13 martie, 2018
Inițial 13 martie, 2018, lansare actualizează protocolul de autentificare CredSSP și clienții Desktop la distanță pentru toate platformele afectate. Atenuarea constă în instalarea actualizării pe toate sistemele de operare client și Server eligibile și apoi utilizând setările de politică de grup incluse sau echivalente bazate pe registry pentru a gestiona opțiunile de setare pe computerele client și server. Vă recomandăm ca administratorii să aplice politica și setați-o la "forța clienții actualizate" sau "atenuate" pe computerele client și Server cât mai curând posibil. Aceste modificări vor necesita o repornire a sistemelor afectate. Acordați o atenție deosebită la perechi de politică de grup sau de setări de registry care au ca rezultat interacțiuni "blocate" între clienți și servere în tabelul de compatibilitate mai târziu în acest articol.
17 aprilie, 2018
Actualizare de actualizare client desktop la distanță (RDP) în KB 4093120 va spori mesajul de eroare care este prezentat atunci când un client actualizat nu reușește să se conecteze la un server care nu a fost actualizat.
8 mai 2018
O actualizare pentru a modifica setarea implicită de la vulnerabile la atenuate.
Numerele de bază de cunoștințe Microsoft corelate sunt listate în CVE-2018-0886.
În mod implicit, după ce se instalează această actualizare, patch-clienti nu poate comunica cu serverele unpatched. Utilizați matricea de interoperabilitate și setările de politică de grup descrise în acest articol pentru a activa o configurație "permisă".
Politică de grup
Calea politică și numele de setare |
Descrierea / |
Calea de politică: Computer Configuration-> Administrative Templates-> sistem-> acreditări delegare Nume setare: criptare Oracle remediere |
Criptarea Oracle remedierea Această setare de politică se aplică aplicațiilor care utilizează componenta CredSSP (de exemplu, conexiune Desktop la distanță). Unele versiuni ale protocolului CredSSP sunt vulnerabile la un atac Oracle de criptare împotriva clientului. Această politică controlează compatibilitatea cu clienții și serverele vulnerabile. Această politică vă permite să setați nivelul de protecție pe care doriți pentru vulnerabilitatea Oracle criptare. Dacă activați această setare de politică, suport de versiune CredSSP va fi selectată pe baza următoarelor opțiuni: Force clienti actualizate- Aplicațiile client care utilizează CredSSP nu va putea să scadă înapoi la versiuni nesigure și consolidare servicii care utilizează CredSSP nu va accepta unpatched clienții. Notă Această setare nu trebuie implementată până când toate gazdele la distanță acceptă cea mai nouă versiune. Atenuate – Aplicațiile client care utilizează CredSSP nu vor putea să revină la versiuni nesigure, dar serviciile care utilizează CredSSP vor accepta clienții unpatched. Vulnerabile – Aplicațiile client care utilizează CredSSP va expune serverele la distanță atacuri prin sprijinirea rezervă la versiunile nesigure și consolidare servicii care utilizează CredSSP va accepta unpatched clienții. |
Politica de grup criptare Oracle remediere acceptă următoarele trei opțiuni, care ar trebui să se aplice clienților și serverelor:
Setare politică |
Valoare registry |
Comportamentul clientului |
Comportamentul serverului |
Forța clienții actualizate |
0 |
Aplicațiile client care utilizează CredSSP nu vor putea să revină la versiuni nesigure. |
Serviciile care utilizează CredSSP nu vor accepta clienți nepatch. Notă Această setare nu ar trebui să fie implementată până când toate Windows și terțe CredSSP clienții acceptă cea mai nouă versiune CredSSP. |
Atenuate |
1 |
Aplicațiile client care utilizează CredSSP nu vor putea să revină la versiuni nesigure. |
Serviciile care utilizează CredSSP vor accepta clienții nepatch . |
Vulnerabile |
2 |
Aplicațiile client care utilizează CredSSP va expune serverele la distanță atacuri prin sprijinirea de rezervă la versiunile nesigure. |
Serviciile care utilizează CredSSP vor accepta clienții nepatch . |
O a doua actualizare, pentru a fi lansat pe 8 mai 2018, va schimba comportamentul implicit la "atenuate" opțiune.
Notă Orice modificare a criptare Oracle remediation necesită o repornire.
Valoare registry
Avertizare Probleme grave ar putea apărea dacă modificați registry incorect utilizând Registry Editor sau utilizând o altă metodă. Aceste probleme pot necesita reinstalarea sistemului de operare. Microsoft nu poate garanta că aceste probleme pot fi rezolvate. Modificați registry pe propriul risc.
Actualizarea introduce următoarea setare de registry:
Cale de registry |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Valoarea |
AllowEncryptionOracle |
Tip dată |
Dword |
Reboot necesar? |
Da |
Matrice de interoperabilitate
Atât clientul, cât și serverul trebuie să fie actualizate sau Windows și clienții CredSSP terți nu se pot conecta la Windows sau la gazdele terțe. Consultați următoarea matrice de interoperabilitate pentru scenarii care sunt fie vulnerabile la Exploit sau provoca erori operaționale.
Notă Atunci când se conectează la un server Windows Remote Desktop, serverul poate fi configurat pentru a utiliza un mecanism de rezervă care utilizează protocolul TLS pentru autentificare și utilizatorii pot obține rezultate diferite decât descrise în această matrice. Această matrice descrie numai comportamentul protocolului CredSSP.
|
|
Server |
|||
Unpatched |
Forța clienții actualizate |
Atenuate |
Vulnerabile |
||
Client |
Unpatched |
Permis |
Blocat |
Permis |
Permis |
Forța clienții actualizate |
Blocat |
Permis |
Permis |
Permis |
|
Atenuate |
Blocat |
Permis |
Permis |
Permis |
|
Vulnerabile |
Permis |
Permis |
Permis |
Permis |
Setare client |
Starea corecțiilor CVE-2018-0886 |
Unpatched |
Vulnerabile |
Forța clienții actualizate |
Sigure |
Atenuate |
Sigure |
Vulnerabile |
Vulnerabile |
Erori de jurnal de evenimente Windows
Event ID 6041 va fi înregistrat pe patch-ul Windows clienții dacă clientul și gazdă la distanță sunt configurate într-o configurație blocată.
Jurnal de evenimente |
Sistem |
Sursă eveniment |
LSA (LsaSrv) |
ID eveniment |
6041 |
Textul mesajului de eveniment |
O autentificare CredSSP la < hostname > nu a reușit să negocieze o versiune de protocol comun. Gazdă la distanță a oferit versiunea < Protocol versiunea > care nu este permisă de criptare Oracle remediation. |
Erori generate de perechi de configurare CredSSP blocate de patch-clienti Windows RDP
Erori prezentate de client desktop la distanță fără 17 aprilie, 2018 patch-uri (KB 4093120)
Unpatched pre-Ferestre 8,1 și ferestre a servi 2012 R2 clienti asociat cu serverele configurate cu "Force actualizat clienti" |
Erori generate de perechile de configurare CredSSP blocate de patch-Windows 8.1/Windows Server 2012 R2 și mai târziu RDP clienti |
S-a produs o eroare de autentificare. Simbolul furnizat funcției nu este valid |
S-a produs o eroare de autentificare. Funcția solicitată nu este acceptată. |
Erori prezentate de client desktop la distanță cu 17 aprilie 2018 patch (KB 4093120)
Unpatched pre-ferestre 8,1 și ferestre a servi 2012 R2 clients asociat cu fermă de servere configurat cu " Force actualizat clienti " |
Aceste erori sunt generate de perechi de configurare CredSSP-blocate de patch-Windows 8.1/Windows Server 2012 R2 și mai târziu RDP clienti. |
S-a produs o eroare de autentificare. Simbolul furnizat funcției nu este valid. |
S-a produs o eroare de autentificare. Funcția solicitată nu este acceptată. Computer la distanță: <hostname> Acest lucru ar putea fi din cauza de criptare CredSSP Oracle remediere. Pentru mai multe informații, consultați https://Go.Microsoft.com/fwlink/?linkid=866660 |
Clienți și servere desktop la distanță terță parte
Toți clienții terță parte sau serverele trebuie să utilizeze cea mai recentă versiune a protocolului CredSSP. Vă rugăm să contactați furnizorii pentru a determina dacă software-ul lor este compatibil cu cel mai recent protocol CredSSP.
Actualizările protocolului pot fi găsite pe site-ul de documentație Windows protocol.
Modificări fișier
Următoarele fișiere de sistem au fost modificate în această actualizare.
-
tspkg.dll
Fișierul CredSSP. dll rămâne neschimbat. Pentru mai multe informații, consultați articolele relevante pentru informații despre versiunea fișierului.