CredSSP обновления для CVE-2018-0886

Применимо к: Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard Больше

Аннотация


Протокол поставщик поддержки безопасности учетных данных (CredSSP) — поставщик проверки подлинности, который обрабатывает запросы на проверку подлинности для других приложений.Существует уязвимость удаленного выполнения кода в Неисправленные версии CredSSP. Злоумышленник, успешно воспользовавшийся данной уязвимостью, передает учетные данные пользователя для выполнения кода в целевой системе. Любое приложение, которое зависит от CredSSP для проверки подлинности может быть уязвимо для атаки этого типа.

Это обновление для системы безопасности устраняет уязвимость, исправляя способ CredSSP выполняет проверку запросов в процессе проверки подлинности.

Дополнительные сведения о данной уязвимости CVE-2018-0886см.

Обновления


13 марта 2018 г.

Начальное 13 марта 2018, выпуска обновления протокола проверки подлинности CredSSP и клиенты удаленного рабочего стола для всех уязвимых платформ.По уменьшению состоит из установки обновления на всех подходящих клиентских и серверных операционных систем и затем с помощью включенных параметров групповой политики или эквиваленты на основе реестра для управления параметрами настройки на компьютерах клиента и сервера. Рекомендуется применять политики администраторы и задать «Принудительное обновление клиентов» или «Устраненный» на компьютерах клиента и сервера как можно быстрее.  Эти изменения требуют перезагрузки из уязвимых систем.Обратите особое внимание на групповой политики и реестра параметры пары, которые приводят к взаимодействиям «Заблокировано» между клиентами и серверами в таблице совместимости.

17 апреля 2018 г.

Обновления клиента удаленного рабочего стола (RDP) в КБ 4093120 усиливает сообщение об ошибке, представленные в обновленный клиент не смог подключиться к серверу, который не был обновлен.

8 мая 2018 г.

Чтобы изменить значение по умолчанию из дефект устраненныйобновление.

В CVE 2018 0886указаны соответствующие номера базы знаний Майкрософт.

По умолчанию после установки данного обновления программного обеспечения клиентов не может взаимодействовать с исходными серверами. С помощью матрицы взаимодействия и параметры групповой политики описаны в этой статье, чтобы включить конфигурацию «разрешено».

Групповая политика


Имя пути и параметр политики

Описание

Путь политики: Конфигурация компьютера -> Административные шаблоны -> Система -> делегирование учетных данных Имя параметра: шифрование Oracle обновлений

Шифрование oracle обновлений

Эта политика применима к приложениям, которые используют компонент CredSSP (например, подключение удаленному рабочему столу).

В некоторых версиях протокол CredSSP уязвимой для атаки oracle шифрования на стороне клиента. Эта политика определяет совместимость с уязвимыми клиентами и серверами. Эта политика позволяет задать уровень защиты, необходимый для oracle уязвимость шифрования.

Если этот параметр политики включен, поддержка версий CredSSP будет выбран на основании следующих параметров:

Принудительное обновление клиентов — Клиентские приложения, использующие CredSSP не будет возвращаться к небезопасному версий и службы, использующие CredSSP не будет принимать unpatched клиентов.

Примечание. Этот параметр не будет развернут, пока не поддерживает самые последние версии всех удаленных узлах.

Смягчить – Клиентские приложения, использующие CredSSP не будет возвращаться к небезопасному версий, но службы, использующие CredSSP будет принимать unpatched клиентов.

Уязвимости — Клиентские приложения, использующие CredSSP будет предоставлять удаленным серверам для атаки, поддерживая переход к небезопасной версий и службы, использующие CredSSP будет принимать unpatched клиентов.

 

Обновлений групповой политики шифрования Oracle поддерживает следующие три варианта, которые должны применяться к клиентам и серверам.

Параметр политики

Значение реестра

Поведение клиента

Поведение сервера

Принудительное обновление клиентов

0

Клиентские приложения, использующие CredSSP не будет иметь возможность возвращаться к небезопасному версий.

Службы, использующие CredSSP не будет принимать без исправлений клиентов. Примечание. Этот параметр не будет развернут, пока все окна и клиенты сторонних CredSSP поддерживает самые последние версии CredSSP.

Устранен

1

Клиентские приложения, использующие CredSSP не будет иметь возможность возвращаться к небезопасному версий.

Службы, использующие CredSSP будет принимать unpatched клиентов.

Уязвимость

2

Клиентские приложения, использующие CredSSP будет предоставлять удаленным серверам для атаки, поддерживая переход к небезопасной версий.

Службы, использующие CredSSP будет принимать unpatched клиентов.

 

Второго обновления, которые выпущены на 8 мая 2018, будет изменить поведение по умолчанию для параметра «Устраненный».

Примечание. Любое изменение шифрования Oracle обновлений требуется перезагрузка.

Значение реестра


Это обновление вводит следующий параметр реестра:

Путь реестра

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Значение

AllowEncryptionOracle

Тип даты

ПАРАМЕТР DWORD

Требуется перезагрузка?

Да

Матрица совместимости


Как клиент и сервер должны быть обновлены, так и Windows и клиенты сторонних CredSSP нельзя будет подключиться к Windows или сторонних узлов. Просмотреть следующие матрицы взаимодействия для сценариев, которые могут быть либо подвержена уязвимости или причины эксплуатационных сбоев.

Примечание. При подключении к удаленному рабочему столу Windows server, сервер может быть настроен для использования резервный механизм , использует протокол TLS для проверки подлинности и пользователи могут получить результаты, отличные от описанных в данной матрице. Эта матрица только описывает поведение протокол CredSSP.

 

 

Сервер

 

Неисправленные

Принудительное обновление клиентов

Устранен

Уязвимость

Клиент

Неисправленные

Разрешено

Заблокирован

Разрешено

Разрешено

Принудительное обновление клиентов

Заблокирован

Разрешено

Разрешено

Разрешено

Устранен

Заблокирован

Разрешено

Разрешено

Разрешено

Уязвимость

Разрешено

Разрешено

Разрешено

Разрешено

 

Параметры клиента

Состояние исправления CVE 2018 0886

Неисправленные

Уязвимость

Принудительное обновление клиентов

Безопасность

Устранен

Безопасность

Уязвимость

Уязвимость

Ошибки журнала событий Windows


Событие с кодом 6041 будет регистрироваться для обеспечения клиентов Windows клиентом и удаленным узлом, настроенные в заблокированных конфигурации.

Журнал событий

Система

Источник событий

Локальный администратор безопасности (источник Lsasrv регистрирует)

ИД события

6041

Текст сообщения события

Не удалось согласовать общие версии протокола проверки подлинности CredSSP < имя > . Удаленный узел предлагается версия < версии > запрещено шифрование Oracle обновлений.

Ошибки конфигурации заблокирован CredSSP пары patched клиентами протокола удаленного рабочего СТОЛА Windows


Ошибки, предоставленный клиент удаленного рабочего стола без исправления 17 апреля 2018 г. (KB 4093120)

Клиенты Windows Server 2012 R2 и незащищенной пред 8.1 пару с серверы «Принудительное обновление клиентов»

Исправление ошибок конфигурации заблокирован CredSSP пар, Windows 8.1, Windows Server 2012 R2 и более поздних версий клиента RDP

Ошибка проверки подлинности.

Недопустимый маркер, предоставленный функции

Ошибка проверки подлинности.

Указанная функция не поддерживается.

Ошибки, предоставленный клиент удаленного рабочего стола с 17 апреля 2018 исправления (KB 4093120)

Клиенты Windows Server 2012 R2 и незащищенной пред 8.1 пару с серверы»Принудительное обновление клиентов»

Эти ошибки создаются конфигурации заблокирован CredSSP пары с установленным Windows 8.1, Windows Server 2012 R2 и более поздних версий клиента RDP.

Ошибка проверки подлинности.

Недопустимый маркер, предоставленный функции.

Ошибка проверки подлинности.

Указанная функция не поддерживается.

Удаленный компьютер: <имя>

Это может быть вызвано CredSSP шифрования oracle обновлений.

Дополнительные сведения содержатся в разделе https://go.microsoft.com/fwlink/?linkid=866660

Серверы и клиенты удаленного рабочего стола независимых производителей


Всех независимых клиентов или серверов необходимо использовать последнюю версию протокол CredSSP. Обратитесь к поставщикам, чтобы определить, совместим ли программного обеспечения с последний протокол CredSSP.

Протокол обновлений можно найти на узел протокола см.

Изменения в файле


Следующие системные файлы были изменены в этом обновлении.

  • tspkg.dll

Файл credssp.dll не изменяется. Для получения дополнительных сведений ознакомьтесь с соответствующей статьи для сведения о версии файла.