Povzetek
Protokol ponudnika varnostne podpore poverilnic (CredSSP) je ponudnik za preverjanje pristnosti, ki obdeluje zahteve za preverjanje pristnosti za druge aplikacije. Zakoten zbornik usmrtitev ranljivost biti v unpatched prevod od CredSSP. Napadalec, ki uspešno izkorišča to ranljivost lahko rele uporabniške poverilnice za izvajanje kode na ciljnem sistemu. Vsaka aplikacija, ki je odvisna od CredSSP za avtentikacijo, je lahko občutljiva na to vrsto napada.
Ta varnostna posodobitev odpravlja ranljivost tako, da popravi, kako CredSSP preveri zahteve med postopkom preverjanja pristnosti.
Če želite izvedeti več o ranljivosti, glej CVE-2018-0886.
Posodobitve
13. marec 2018
Prvi marec 13, 2018, izpust modernizirati CredSSP Authentication uradni zzapisnik o čem ter zakoten pult varovanci zakaj vsi vplivati plosčad. Ublažitev obsega nameščanje posodobitve na vse upravičene operacijske sisteme odjemalca in strežnika, nato pa z uporabo vključenih nastavitev pravilnika skupine ali z registrskimi ustrezniki upravljate možnosti nastavitve v odjemalskih in strežniških računalnikih. Priporočamo, da skrbniki uporabljajo pravilnik in jo nastavite na "vsiliti posodobljene odjemalce" ali "ublažiti" na odjemalskih in strežniških računalnikih v najkrajšem možnem času. Te spremembe bodo zahtevale ponovni zagon prizadetih sistemov. Pozorno Bodite pozorni na pare pravilnika skupine ali nastavitve registra, ki imajo za posledico» blokirane «interakcije med odjemalci in strežniki v tabeli združljivosti pozneje v tem članku.
17. april 2018
Posodobitev posodobitve za odjemalca oddaljenega namizja (RDP) v KB 4093120 bo izboljšala sporočilo o napaki, ki je predstavljeno, ko posodobljen odjemalec Ne vzpostavi povezave s strežnikom, ki ni bil posodobljen.
8. maj 2018
Modernizirati v sprememba ne izpolniti obveznosti postavljanje s ranljiv v ublažiti.
Sorodne številke Microsoftove zbirke znanja so navedene v CVE-2018-0886.
Privzeto, ko je ta posodobitev nameščena, krpar odjemalci ne morejo komunicirati z unpatched strežniki. Uporabite matriko interoperabilnosti in nastavitve pravilnika skupine, opisane v tem članku, da omogočite konfiguracijo» dovoljene «.
Pravilnik skupine
Pot pravilnika in ime nastavitve |
Opis |
Politična pot: Konfiguracija računalnika-> skrbniške predloge-> System-> poverilna delegacija Nastavitev imena: šifriranje Oracle sanacije |
Šifriranje Oracle sanacije Ta nastavitev pravilnika velja za aplikacije, ki uporabljajo komponento CredSSP (na primer povezava z oddaljenim namizjem). Nekatere različice protokola CredSSP so občutljive za šifriranje Oracle napad proti odjemalcu. Ta pravilnik nadzira združljivost z ranljivimi odjemalci in strežniki. Ta pravilnik vam omogoča, da nastavite raven zaščite, ki jo želite za šifriranje preročišče ranljivost. Če omogočite to nastavitev pravilnika, bo podpora za CredSSP Version izbrana na podlagi naslednjih možnosti: Force posodobljeni odjemalci- Odjemalske aplikacije, ki uporabljajo CredSSP ne bodo mogli pasti nazaj v negotove različice, in storitve, ki uporabljajo CredSSP ne bo sprejela unpatched stranke. Opomba Ta nastavitev ne sme biti razporejena, dokler vsi oddaljeni gostitelji ne podpirajo najnovejše različice. Ublažiti – Odjemalske aplikacije, ki uporabljajo CredSSP ne bodo mogli pasti nazaj v negotove različice, ampak storitve, ki uporabljajo CredSSP bo sprejel unpatched stranke. Ranljive – Odjemalske aplikacije, ki uporabljajo CredSSP bo izpostavili oddaljenih strežnikih za napade s podpiranjem nadomestni za negotove različice, in storitve, ki uporabljajo CredSSP bo sprejela unpatched stranke. |
Šifriranje Oracle sanacije pravilnika skupine podpira naslednje tri možnosti, ki jih je treba uporabiti za odjemalce in strežnike:
Nastavitev pravilnika |
Vrednost registra |
Obnašanje odjemalca |
Obnašanje strežnika |
Vsilite posodobljene odjemalce |
0 |
Odjemalske aplikacije, ki uporabljajo CredSSP, ne bodo mogle pasti nazaj v negotove različice. |
Storitve, ki uporabljajo CredSSP, ne bodo sprejele unpatched strank. Opomba To postavljanje should ne obstati razviti se do vsi okno ter tretji-stranka CredSSP varovanci zaslomba glavni steber CredSSP prevod. |
Ublažiti |
1 |
Odjemalske aplikacije, ki uporabljajo CredSSP, ne bodo mogle pasti nazaj v negotove različice. |
Storitve, ki uporabljajo CredSSP bodo sprejele unpatched stranke. |
Ranljive |
2 |
Odjemalske aplikacije, ki uporabljajo CredSSP bodo izpostavili oddaljene strežnike za napade s podpiranjem nadomestni za negotove različice. |
Storitve, ki uporabljajo CredSSP bodo sprejele unpatched stranke. |
A seconda modernizirati, v obstati izpust naprej maj 8, 2018, hoteti sprememba ne izpolniti obveznosti vedenje v "Mitigated" predkupna pravica.
Opomba Poljuben sprememba v encryption preročišče sanacija zahtevati a odmevajoč.
Vrednost registra
Opozorilnih Če nepravilno spremenite register z urejevalnikom registra ali z uporabo druge metode, lahko pride do resnih težav. Te težave lahko zahtevajo, da znova namestite operacijski sistem. Microsoft ne more zagotoviti, da se te težave lahko rešijo. Spremenite register na lastno odgovornost.
Posodobitev uvaja naslednje nastavitve registra:
Pot do registra |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Vrednost |
AllowEncryptionOracle |
Vrsta datuma |
Dword |
Potreben vnovični zagon? |
Da |
Matrika interoperabilnosti
Oboje varovanec ter pomočnik potreba v obstati modernizirati, ali okno ter tretji-stranka CredSSP varovanci maj ne obstati zmožen v biti v priklop v okno ali tretji-stranka stanodajalec. Oglejte si naslednjo matriko interoperabilnosti za scenarije, ki so bodisi ranljivi za izkoriščanje ali povzročajo okvare obratovanja.
Opomba Pri povezovanju s strežnikom Windows Remote Desktop lahko strežnik konfigurirate tako, da uporablja nadomestni mehanizem, ki uporablja protokol TLS za preverjanje pristnosti, uporabniki pa lahko dobijo drugačne rezultate, kot je opisano v tej matriki . Ta matrika opisuje le obnašanje protokola CredSSP.
|
|
Strežnik |
|||
Unpatched |
Vsilite posodobljene odjemalce |
Ublažiti |
Ranljive |
||
Odjemalec |
Unpatched |
Dovoljeno |
Blokiran |
Dovoljeno |
Dovoljeno |
Vsilite posodobljene odjemalce |
Blokiran |
Dovoljeno |
Dovoljeno |
Dovoljeno |
|
Ublažiti |
Blokiran |
Dovoljeno |
Dovoljeno |
Dovoljeno |
|
Ranljive |
Dovoljeno |
Dovoljeno |
Dovoljeno |
Dovoljeno |
Nastavitev odjemalca |
CVE-2018-0886 patch status |
Unpatched |
Ranljive |
Vsilite posodobljene odjemalce |
Varno |
Ublažiti |
Varno |
Ranljive |
Ranljive |
Napake dnevnika dogodkov sistema Windows
Dogodek nagonski podnet posameznika 6041 hoteti obstati prepojen z nogo naprej krpar okno varovanci če varovanec ter zakoten stanodajalec ste oblikovati v a tnalo zunanja podoba.
Dnevnik dogodkov |
Sistem |
Vir dogodkov |
LSA (LsaSrv) |
ID dogodka |
6041 |
Besedilo sporočila dogodka |
Pristnosti CredSSP za < hostname > ni bilo mogoče pogajati za skupno različico Protokola. Oddaljeni gostitelj je ponudil različico < protokol version > , ki ga šifriranje Oracle remediacija ne dovoljuje. |
Zmota sploditi z CredSSP-tnalo zunanja podoba par z krpar okno RDP varovanci
Zmota obdarovanec zakoten pult varovanec če ne april 17, 2018 zaplata (KB 4093120)
Unkrpar pre-okno 8,1 ter okno pomočnik 2012 R2 varovanci združen s pomočnik oblikovati s "sila modernizirati varovanci" |
Napake, ki jih CredSSP-blokirana konfiguracija parov, ki jih krpar Windows 8.1/Windows Server 2012 R2 in kasneje RDP odjemalci |
Prišlo je do napake pri preverjanju pristnosti. Žeton, ki je priložen funkciji, ni veljaven |
Prišlo je do napake pri preverjanju pristnosti. Zahtevana funkcija ni podprta. |
Zmota obdarovanec z zakoten pult varovanec s April 17, 2018 zaplata (KB 4093120)
Unkrpar pre-okno 8,1 ter okno pomočnik 2012 R2 varovanci združen s pomočnik oblikovati s " Force posodobljeni odjemalci " |
Od this zmota ste sploditi z CredSSP-tnalo zunanja podoba par z krpar okno 8.1/okno pomočnik 2012 R2 ter slej RDP varovanci. |
Prišlo je do napake pri preverjanju pristnosti. Žeton, ki je priložen funkciji, ni veljaven. |
Prišlo je do napake pri preverjanju pristnosti. Zahtevana funkcija ni podprta. Oddaljeni računalnik: <hostname> To strjena lava obstati zaradi CredSSP encryption preročišče sanacija. Če želite več informacij, glejte https://go.Microsoft.com/fwlink/?linkid=866660 |
Odjemalci in strežniki oddaljenega namizja tretjih oseb
Vsi odjemalci ali strežniki tretjih oseb morajo uporabiti najnovejšo različico Protokola CredSSP. Obrnite se na dobavitelje, da ugotovite, ali je njihova programska oprema združljiva z najnovejšo protokolom CredSSP.
Posodobitve protokola so na voljo na spletnem mestu dokumentacija za Windows Protocol.
Spremembe datotek
V tej posodobitvi so bile spremenjene naslednje sistemske datoteke.
-
tspkg.dll
Datoteka CredSSP. dll ostane nespremenjena. Za več informacij preglejte ustrezne članke za informacije o različici datoteke.