CredSSP posodobitve za CVE-2018-0886

Velja za: Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard

Povzetek


Protokol ponudnika varnostne podpore poverilnic (CredSSP) je ponudnik za preverjanje pristnosti, ki obdeluje zahteve za preverjanje pristnosti za druge aplikacije.Zakoten zbornik usmrtitev ranljivost biti v unpatched prevod od CredSSP. Napadalec, ki uspešno izkorišča to ranljivost lahko rele uporabniške poverilnice za izvajanje kode na ciljnem sistemu. Vsaka aplikacija, ki je odvisna od CredSSP za avtentikacijo, je lahko občutljiva na to vrsto napada.

Ta varnostna posodobitev odpravlja ranljivost tako, da popravi, kako CredSSP preveri zahteve med postopkom preverjanja pristnosti.

Če želite izvedeti več o ranljivosti, glej CVE-2018-0886.

Posodobitve


13. marec 2018

Prvi marec 13, 2018, izpust modernizirati CredSSP Authentication uradni zzapisnik o čem ter zakoten pult varovanci zakaj vsi vplivati plosčad.Ublažitev obsega nameščanje posodobitve na vse upravičene operacijske sisteme odjemalca in strežnika, nato pa z uporabo vključenih nastavitev pravilnika skupine ali z registrskimi ustrezniki upravljate možnosti nastavitve v odjemalskih in strežniških računalnikih. Priporočamo, da skrbniki uporabljajo pravilnik in jo nastavite na "vsiliti posodobljene odjemalce" ali "ublažiti" na odjemalskih in strežniških računalnikih v najkrajšem možnem času.  Te spremembe bodo zahtevale ponovni zagon prizadetih sistemov.Pozorno Bodite pozorni na pare pravilnika skupine ali nastavitve registra, ki imajo za posledico» blokirane «interakcije med odjemalci in strežniki v tabeli združljivosti pozneje v tem članku.

17. april 2018

Posodobitev posodobitve za odjemalca oddaljenega namizja (RDP) v KB 4093120 bo izboljšala sporočilo o napaki, ki je predstavljeno, ko posodobljen odjemalec Ne vzpostavi povezave s strežnikom, ki ni bil posodobljen.

8. maj 2018

Modernizirati v sprememba ne izpolniti obveznosti postavljanje s ranljiv v ublažiti.

Sorodne številke Microsoftove zbirke znanja so navedene v CVE-2018-0886.

Privzeto, ko je ta posodobitev nameščena, krpar odjemalci ne morejo komunicirati z unpatched strežniki. Uporabite matriko interoperabilnosti in nastavitve pravilnika skupine, opisane v tem članku, da omogočite konfiguracijo» dovoljene «.

Pravilnik skupine


Pot pravilnika in ime nastavitve

Opis

Politična pot: Konfiguracija računalnika-> skrbniške predloge-> System-> poverilna delegacija Nastavitev imena: šifriranje Oracle sanacije

Šifriranje Oracle sanacije

Ta nastavitev pravilnika velja za aplikacije, ki uporabljajo komponento CredSSP (na primer povezava z oddaljenim namizjem).

Nekatere različice protokola CredSSP so občutljive za šifriranje Oracle napad proti odjemalcu. Ta pravilnik nadzira združljivost z ranljivimi odjemalci in strežniki. Ta pravilnik vam omogoča, da nastavite raven zaščite, ki jo želite za šifriranje preročišče ranljivost.

Če omogočite to nastavitev pravilnika, bo podpora za CredSSP Version izbrana na podlagi naslednjih možnosti:

Force posodobljeni odjemalci- Odjemalske aplikacije, ki uporabljajo CredSSP ne bodo mogli pasti nazaj v negotove različice, in storitve, ki uporabljajo CredSSP ne bo sprejela unpatched stranke.

Opomba Ta nastavitev ne sme biti razporejena, dokler vsi oddaljeni gostitelji ne podpirajo najnovejše različice.

Ublažiti – Odjemalske aplikacije, ki uporabljajo CredSSP ne bodo mogli pasti nazaj v negotove različice, ampak storitve, ki uporabljajo CredSSP bo sprejel unpatched stranke.

Ranljive – Odjemalske aplikacije, ki uporabljajo CredSSP bo izpostavili oddaljenih strežnikih za napade s podpiranjem nadomestni za negotove različice, in storitve, ki uporabljajo CredSSP bo sprejela unpatched stranke.

 

Šifriranje Oracle sanacije pravilnika skupine podpira naslednje tri možnosti, ki jih je treba uporabiti za odjemalce in strežnike:

Nastavitev pravilnika

Vrednost registra

Obnašanje odjemalca

Obnašanje strežnika

Vsilite posodobljene odjemalce

0

Odjemalske aplikacije, ki uporabljajo CredSSP, ne bodo mogle pasti nazaj v negotove različice.

Storitve, ki uporabljajo CredSSP, ne bodo sprejele unpatched strank. Opomba To postavljanje should ne obstati razviti se do vsi okno ter tretji-stranka CredSSP varovanci zaslomba glavni steber CredSSP prevod.

Ublažiti

1

Odjemalske aplikacije, ki uporabljajo CredSSP, ne bodo mogle pasti nazaj v negotove različice.

Storitve, ki uporabljajo CredSSP bodo sprejele unpatched stranke.

Ranljive

2

Odjemalske aplikacije, ki uporabljajo CredSSP bodo izpostavili oddaljene strežnike za napade s podpiranjem nadomestni za negotove različice.

Storitve, ki uporabljajo CredSSP bodo sprejele unpatched stranke.

 

A seconda modernizirati, v obstati izpust naprej maj 8, 2018, hoteti sprememba ne izpolniti obveznosti vedenje v "Mitigated" predkupna pravica.

Opomba Poljuben sprememba v encryption preročišče sanacija zahtevati a odmevajoč.

Vrednost registra


Posodobitev uvaja naslednje nastavitve registra:

Pot do registra

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Vrednost

AllowEncryptionOracle

Vrsta datuma

Dword

Potreben vnovični zagon?

Da

Matrika interoperabilnosti


Oboje varovanec ter pomočnik potreba v obstati modernizirati, ali okno ter tretji-stranka CredSSP varovanci maj ne obstati zmožen v biti v priklop v okno ali tretji-stranka stanodajalec. Oglejte si naslednjo matriko interoperabilnosti za scenarije, ki so bodisi ranljivi za izkoriščanje ali povzročajo okvare obratovanja.

Opomba Pri povezovanju s strežnikom Windows Remote Desktop lahko strežnik konfigurirate tako, da uporablja nadomestni mehanizem, ki uporablja protokol TLS za preverjanje pristnosti, uporabniki pa lahko dobijo drugačne rezultate, kot je opisano v tej matriki . Ta matrika opisuje le obnašanje protokola CredSSP.

 

 

Strežnik

 

Unpatched

Vsilite posodobljene odjemalce

Ublažiti

Ranljive

Odjemalec

Unpatched

Dovoljeno

Blokiran

Dovoljeno

Dovoljeno

Vsilite posodobljene odjemalce

Blokiran

Dovoljeno

Dovoljeno

Dovoljeno

Ublažiti

Blokiran

Dovoljeno

Dovoljeno

Dovoljeno

Ranljive

Dovoljeno

Dovoljeno

Dovoljeno

Dovoljeno

 

Nastavitev odjemalca

CVE-2018-0886 patch status

Unpatched

Ranljive

Vsilite posodobljene odjemalce

Varno

Ublažiti

Varno

Ranljive

Ranljive

Napake dnevnika dogodkov sistema Windows


Dogodek nagonski podnet posameznika 6041 hoteti obstati prepojen z nogo naprej krpar okno varovanci če varovanec ter zakoten stanodajalec ste oblikovati v a tnalo zunanja podoba.

Dnevnik dogodkov

Sistem

Vir dogodkov

LSA (LsaSrv)

ID dogodka

6041

Besedilo sporočila dogodka

Pristnosti CredSSP za < hostname > ni bilo mogoče pogajati za skupno različico Protokola. Oddaljeni gostitelj je ponudil različico < protokol version > , ki ga šifriranje Oracle remediacija ne dovoljuje.

Zmota sploditi z CredSSP-tnalo zunanja podoba par z krpar okno RDP varovanci


Zmota obdarovanec zakoten pult varovanec če ne april 17, 2018 zaplata (KB 4093120)

Unkrpar pre-okno 8,1 ter okno pomočnik 2012 R2 varovanci združen s pomočnik oblikovati s "sila modernizirati varovanci"

Napake, ki jih CredSSP-blokirana konfiguracija parov, ki jih krpar Windows 8.1/Windows Server 2012 R2 in kasneje RDP odjemalci

Prišlo je do napake pri preverjanju pristnosti.

Žeton, ki je priložen funkciji, ni veljaven

Prišlo je do napake pri preverjanju pristnosti.

Zahtevana funkcija ni podprta.

Zmota obdarovanec z zakoten pult varovanec s April 17, 2018 zaplata (KB 4093120)

Unkrpar pre-okno 8,1 ter okno pomočnik 2012 R2 varovanci združen s pomočnik oblikovati s " Force posodobljeni odjemalci "

Od this zmota ste sploditi z CredSSP-tnalo zunanja podoba par z krpar okno 8.1/okno pomočnik 2012 R2 ter slej RDP varovanci.

Prišlo je do napake pri preverjanju pristnosti.

Žeton, ki je priložen funkciji, ni veljaven.

Prišlo je do napake pri preverjanju pristnosti.

Zahtevana funkcija ni podprta.

Oddaljeni računalnik: <hostname>

To strjena lava obstati zaradi CredSSP encryption preročišče sanacija.

Če želite več informacij, glejte https://go.Microsoft.com/fwlink/?linkid=866660

Odjemalci in strežniki oddaljenega namizja tretjih oseb


Vsi odjemalci ali strežniki tretjih oseb morajo uporabiti najnovejšo različico Protokola CredSSP. Obrnite se na dobavitelje, da ugotovite, ali je njihova programska oprema združljiva z najnovejšo protokolom CredSSP.

Posodobitve protokola so na voljo na spletnem mestu dokumentacija za Windows Protocol.

Spremembe datotek


V tej posodobitvi so bile spremenjene naslednje sistemske datoteke.

  • tspkg.dll

Datoteka CredSSP. dll ostane nespremenjena. Za več informacij preglejte ustrezne članke za informacije o različici datoteke.