Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Súhrn

Poverenia zabezpečenia podpora Provider Protocol (CredSSP) je poskytovateľ overenia, ktorý spracováva požiadavky na overenie pre iné aplikácie. Napadnuteľnosť spúšťania kódu na diaľku existuje v unpatched verziách programu CredSSP. Útočník, ktorí úspešne využíva túto chybu môže relé používateľské poverenia na spustenie kódu v cieľovom systéme. Každá aplikácia, ktorá závisí od protokolu CredSSP na overenie môže byť citlivé na tento typ útoku.

Táto aktualizácia rieši nedostatočné opravou ako CredSSP overuje požiadavky počas procesu overenia.

Ďalšie informácie o zraniteľnosti, nájdete CVE-2018-0886.

Aktualizácie

Marec 13, 2018

Počiatočné 13 marec 2018, vydanie aktualizácie protokolu CredSSP overovací protokol a klientov vzdialenej pracovnej plochy pre všetky príslušné platformy. Zmiernenie spočíva v inštalácii aktualizácie na všetky oprávnené klientske a serverové operačné systémy a potom pomocou zahrnuté nastavenia skupinovej politiky alebo na základe databázy Registry ekvivalenty spravovať možnosti nastavenia na klientskych a serverových počítačoch. Odporúčame, aby správcovia použiť politiku a nastavte ju na "Force aktualizované klientov" alebo "Mitigated" na klientskych a serverových počítačoch čo najskôr.  Tieto zmeny budú vyžadovať reštartovanie postihnutých systémov. Venujte zvýšenú pozornosť skupinovej politiky alebo nastavenia databázy Registry párov, ktoré majú za následok "blokované" interakcie medzi klientmi a servermi v tabuľke kompatibility neskôr v tomto článku.

Apríl 17, 2018

Aktualizácia aktualizácie klienta vzdialenej pracovnej plochy (RDP) v KB 4093120 zvýši chybové hlásenie, ktoré sa zobrazí, keď aktualizovaný klient nedokáže pripojiť na server, ktorý nebol aktualizovaný.

8. mája, 2018

Aktualizácia zmeniť predvolené nastavenie citlivé na mitigated.

Súvisiace čísla databázy Microsoft Knowledge Base sú uvedené v CVE-2018-0886.

V predvolenom nastavení, po nainštalovaní tejto aktualizácie, oprava klientov nemôže komunikovať s unpatched servery. Použite maticu interoperability a nastavenia skupinovej politiky opísané v tomto článku povoliť "povolené" konfigurácie.

Skupinová politika

Cesta k politike a názov nastavenia

Popis

Politika cesta: Konfigurácia počítača-> šablóny pre správu-> systém-> poverenia delegácie Nastavenie názov: šifrovanie Oracle Remediation

Šifrovanie Oracle nápravy

Toto nastavenie politiky sa vzťahuje na aplikácie, ktoré používajú súčasť CredSSP (napríklad pripojenie vzdialenej pracovnej plochy).

Niektoré verzie protokolu CredSSP sú citlivé na šifrovanie Oracle útoku proti klientovi. Táto politika kontroluje kompatibilitu s zraniteľnými klientmi a servermi. Táto politika umožňuje nastaviť úroveň ochrany, ktorú chcete pre šifrovanie Oracle zraniteľnosť.

Ak zapnete toto nastavenie politiky, podpora verzií CredSSP bude vybratá na základe nasledujúcich možností:

Force aktualizované klientov- Klientské aplikácie, ktoré používajú protokol CredSSP, nebudú môcť spadnúť na nezabezpečené verzie a služby, ktoré používajú protokol CredSSP, neprijímajú neopravované klientov.

Poznámka: Toto nastavenie by sa nemali nasadiť, kým všetky vzdialené počítače nepodporujú najnovšiu verziu.

Zmiernené – Klientske aplikácie, ktoré používajú protokol CredSSP nebude môcť spadnúť späť na nezabezpečené verzie, ale služby, ktoré používajú protokol CredSSP akceptovať unpatched klientov.

Zraniteľné – Klientské aplikácie, ktoré používajú protokol CredSSP vystavujú vzdialené servery útokom tým, že podporujú záložný nezabezpečenú verziu a služby, ktoré používajú protokol CredSSP, akceptujú neopravované klientov.

 

Šifrovanie Oracle Remediation skupinovej politiky podporuje nasledujúce tri možnosti, ktoré by mali byť použité na klientov a servery:

Nastavenie politiky

Hodnota databázy Registry

Správanie klienta

Správanie servera

Platnosť aktualizovaných klientov

0

Klientské aplikácie, ktoré používajú protokol CredSSP, nebudú môcť spadnúť späť na nezabezpečené verzie.

Služby používajúce protokol CredSSP nebudú akceptovať neopravované klientov. Poznámka: Toto nastavenie by sa nemali nasadiť, kým všetky Windows a tretej strany CredSSP klienti podporujú najnovšiu verziu CredSSP.

Zmierniť

1

Klientské aplikácie, ktoré používajú protokol CredSSP, nebudú môcť spadnúť späť na nezabezpečené verzie.

Služby, ktoré používajú protokol CredSSP akceptujú unpatched klientov.

Zraniteľné

2

Klientské aplikácie, ktoré používajú protokol CredSSP, vystavujú vzdialené servery útokom tým, že podporujú záložný nezabezpečenú verziu.

Služby, ktoré používajú protokol CredSSP akceptujú unpatched klientov.

 

Druhá aktualizácia, ktorá má byť vydaná v máji 8, 2018, zmení predvolené správanie "Mitigated" možnosť.

Poznámka: Akákoľvek zmena šifrovania Oracle Remediation vyžaduje reštart.

Hodnota databázy Registry

Varovanie Vážne problémy sa môžu vyskytnúť, ak databázu Registry upravíte nesprávne pomocou editora databázy Registry alebo pomocou inej metódy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nemôže zaručiť, že tieto problémy môžu byť vyriešené. Upravte databázu Registry na vlastné riziko.

Aktualizácia zavádza nasledujúce nastavenie databázy Registry:

Cesta databázy Registry

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Hodnota

AllowEncryptionOracle

Typ dátumu

Hodnota dword

Reštart vyžaduje?

Áno

Matica interoperability

Klient aj server je potrebné aktualizovať, alebo Windows a tretej strany CredSSP klienti nemusia byť schopní pripojiť k Windows alebo tretej-party hostiteľov. Pozrite si nasledujúcu maticu interoperability pre scenáre, ktoré sú buď citlivé na zneužiť alebo spôsobiť prevádzkové zlyhania.

Poznámka: Pri pripájaní k serveru Windows Remote Desktop server môže byť nakonfigurovaný na používanie záložný mechanizmus , ktorý používa protokol TLS pre overovanie a používatelia môžu získať odlišné výsledky, ako je popísané v tejto matice. Táto matica popisuje iba správanie protokolu CredSSP.

 

 

Server

Unpatched

Platnosť aktualizovaných klientov

Zmierniť

Zraniteľné

Klienta

Unpatched

Povolené

Blokované

Povolené

Povolené

Platnosť aktualizovaných klientov

Blokované

Povolené

Povolené

Povolené

Zmierniť

Blokované

Povolené

Povolené

Povolené

Zraniteľné

Povolené

Povolené

Povolené

Povolené

 

Nastavenie klienta

CVE-2018-0886 stav opravy

Unpatched

Zraniteľné

Platnosť aktualizovaných klientov

Bezpečné

Zmierniť

Bezpečné

Zraniteľné

Zraniteľné

Chyby denníka udalostí systému Windows

Identifikácia 6041 sa zaznamená na oprava klientov systému Windows, ak klient a vzdialeného hostiteľa sú nakonfigurované v blokovanej konfigurácii.

Denníka udalostí

Systém

Zdroj udalosti

LSA (LsaSrv)

Identifikácia

6041

Text správy o udalosti

Overovanie CredSSP na < hostname > nepodarilo vyjednávať spoločnú verziu protokolu. Vzdialený hostiteľ ponúkol verziu < verziu protokolu > , ktorá nie je povolená šifrovaním Oracle remediation.

Chyby generované CredSSP-blokované konfigurácie párov oprava klientov systému Windows RDP

Chyby predložené klienta vzdialenej skúsenosti s prácou s počítačom bez apríla 17, 2018 patch (KB 4093120)

Unpatched pre-Windows 8,1 a Windows Server 2012 R2 klienti spárované s servermi nakonfigurovaný s "Force aktualizované klientov"

Chyby generované CredSSP-blokované konfigurácie párov Oprava Windows 8.1/Windows Server 2012 R2 a novšie RDP klientov

Vyskytla sa chyba overenia.

Token dodaný do funkcie je neplatný.

Vyskytla sa chyba overenia.

Požadovaná funkcia nie je podporovaná.

Chyby, ktoré predstavuje klient vzdialenej pracovnej plochy s 17 apríla 2018 patch (KB 4093120)

Unpatched pre-windows 8,1 a Windows Server 2012 R2 klienti spárované s servermi nakonfigurovaný s " Force aktualizované klientov "

Tieto chyby sú generované CredSSP-blokované konfigurácie párov Oprava Windows 8.1/Windows Server 2012 R2 a neskôr RDP klientov.

Vyskytla sa chyba overenia.

Token dodaný do funkcie je neplatný.

Vyskytla sa chyba overenia.

Požadovaná funkcia nie je podporovaná.

Vzdialený počítač: <hostname>

To by mohlo byť spôsobené CredSSP šifrovanie Oracle remediation.

Ďalšie informácie nájdete na https://go.Microsoft.com/fwlink/?linkid=866660

Klienti vzdialenej pracovnej plochy tretích strán a servery

Všetky tretej strany klientov alebo servery musia používať najnovšiu verziu protokolu CredSSP. Obráťte sa na dodávateľa a zistite, či je ich softvér kompatibilný s najnovším protokolom CredSSP.

Aktualizácie protokolu možno nájsť na lokalite Windows Protocol Documentation.

Zmeny súborov

Nasledujúce systémové súbory boli zmenené v tejto aktualizácii.

  • tspkg.dll

Súbor CredSSP. dll zostáva nezmenený. Pre viac informácií si prečítajte príslušné články pre informácie o verzii súboru.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×