สรุป
โพรโทคอลการสนับสนุนความปลอดภัยของข้อมูลประจำตัว (CredSSP) เป็นตัวให้บริการการรับรองความถูกต้องที่ประมวลผลการร้องขอการรับรองความถูกต้องสำหรับโปรแกรมประยุกต์อื่น ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่มีอยู่ใน CredSSP รุ่นที่ไม่มีการปะ โจมตีที่สำเร็จอาศัยข้อบกพร่องของช่องโหว่นี้ไม่สามารถส่งทอดข้อมูลประจำตัวของผู้ใช้ในการดำเนินการรหัสบนระบบเป้าหมาย โปรแกรมประยุกต์ใดๆที่ขึ้นอยู่กับ CredSSP สำหรับการรับรองความถูกต้องอาจเสี่ยงต่อการโจมตีชนิดนี้
การปรับปรุงการรักษาความปลอดภัยนี้เน้นช่องโหว่ที่แก้ไขวิธีการร้องขอ CredSSP ตรวจสอบในระหว่างกระบวนการรับรองความถูกต้อง
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ที่โปรดดูCVE-2018-0886
ปรับ ปรุง
13มีนาคม๒๐๑๘
เริ่มต้นวันที่13มีนาคม๒๐๑๘นำออกใช้ปรับปรุงโพรโทคอลการรับรองความถูกต้องของ CredSSP และไคลเอ็นต์เดสก์ท็อประยะไกลสำหรับแพลตฟอร์มที่ได้รับผลกระทบทั้งหมด การลดประกอบด้วยการติดตั้งการปรับปรุงบนระบบปฏิบัติการไคลเอ็นต์และเซิร์ฟเวอร์ที่มีสิทธิ์ทั้งหมดและจากนั้นใช้รวมการตั้งค่านโยบายกลุ่มหรือเทียบเท่าของรีจิสทรีเพื่อจัดการตัวเลือกการตั้งค่าบนคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์ เราขอแนะนำให้ผู้ดูแลระบบใช้นโยบายและตั้งค่าเป็น "บังคับให้ไคลเอ็นต์ปรับปรุง" หรือ "ลด" บนคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์โดยเร็วที่สุดเท่าที่เป็นไปได้ การเปลี่ยนแปลงเหล่านี้จะต้องมีการรีบูตระบบที่ได้รับผลกระทบ ใส่ใจกับคู่การตั้งค่านโยบายกลุ่มหรือรีจิสทรีที่ส่งผลให้เกิดการโต้ตอบ "ถูกบล็อค" ระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ในตารางความเข้ากันได้ในภายหลัง
17 เมษายน 2018
การปรับปรุงการปรับปรุงไคลเอ็นต์เดสก์ท็อประยะไกล (RDP) ใน KB๔๐๙๓๑๒๐จะเพิ่มข้อผิดพลาดที่ถูกนำเสนอเมื่อไคลเอ็นต์ที่ปรับปรุงแล้วล้มเหลวในการเชื่อมต่อไปยังเซิร์ฟเวอร์ที่ไม่ได้รับการปรับปรุง
8พฤษภาคม๒๐๑๘
การปรับปรุงเพื่อเปลี่ยนแปลงการตั้งค่าเริ่มต้นจากความเสี่ยงที่จะบรรเทา
หมายเลขฐานความรู้ของ Microsoft ที่เกี่ยวข้องจะแสดงอยู่ในCVE-2018-0886
โดยค่าเริ่มต้นหลังจากที่มีการติดตั้งโปรแกรมปรับปรุงนี้ไคลเอนต์ไม่สามารถสื่อสารกับเซิร์ฟเวอร์ที่ไม่มีการปะ ใช้เมทริกซ์การทำงานร่วมกันและการตั้งค่านโยบายกลุ่มที่อธิบายไว้ในบทความนี้เพื่อเปิดใช้งานการตั้งค่าคอนฟิก "อนุญาต"
นโยบายกลุ่ม
เส้นทางนโยบายและชื่อการตั้งค่า |
คำอธิบาย |
เส้นทางของนโยบาย:การตั้งค่าคอนฟิกคอมพิวเตอร์-> แม่แบบการดูแล-> ระบบ-> การมอบหมายข้อมูลประจำตัว ชื่อการตั้งค่า: การเข้ารหัสลับของ Oracle |
การแก้ไขของ oracle เข้ารหัส การตั้งค่านโยบายนี้นำไปใช้กับโปรแกรมประยุกต์ที่ใช้คอมโพเนนต์ CredSSP (ตัวอย่างเช่นการเชื่อมต่อเดสก์ท็อประยะไกล) โพรโทคอล CredSSP บางรุ่นมีความเสี่ยงต่อการโจมตีของ oracle ที่เข้ารหัสลับกับไคลเอนต์ นโยบายนี้จะควบคุมความเข้ากันได้กับไคลเอ็นต์และเซิร์ฟเวอร์ที่เปราะบาง นโยบายนี้ช่วยให้คุณสามารถตั้งค่าระดับของการป้องกันที่คุณต้องการสำหรับช่องโหว่ของ oracle เข้ารหัสลับ ถ้าคุณเปิดใช้งานการตั้งค่านโยบายนี้การสนับสนุนรุ่น CredSSP จะถูกเลือกตามตัวเลือกต่อไปนี้: บังคับให้ไคลเอ็นต์ปรับปรุง- โปรแกรมประยุกต์ไคลเอ็นต์ที่ใช้ CredSSP จะไม่สามารถล้มกลับไปเป็นรุ่นที่ไม่ปลอดภัยและบริการที่ใช้ CredSSP จะไม่ยอมรับไคลเอนต์ที่ไม่มีการปะ ทราบ การตั้งค่านี้ไม่ควรปรับใช้จนกว่าโฮสต์ระยะไกลทั้งหมดจะสนับสนุนรุ่นใหม่ล่าสุด บรรเทา– โปรแกรมประยุกต์ไคลเอ็นต์ที่ใช้ CredSSP จะไม่สามารถกลับไปเป็นรุ่นที่ไม่ปลอดภัยได้แต่บริการที่ใช้ CredSSP จะยอมรับไคลเอนต์ที่ไม่มีการปะ เสี่ยง– โปรแกรมประยุกต์ไคลเอ็นต์ที่ใช้ CredSSP จะแสดงเซิร์ฟเวอร์ระยะไกลที่จะโจมตีโดยการสนับสนุนการย้อนกลับไปยังรุ่นที่ไม่ปลอดภัยและบริการที่ใช้ CredSSP จะยอมรับไคลเอนต์ที่ไม่มีการปะ |
นโยบายกลุ่ม Oracle การเข้ารหัสสนับสนุนตัวเลือกสามต่อไปนี้ซึ่งควรนำไปใช้กับไคลเอนต์และเซิร์ฟเวอร์:
การตั้งค่านโยบาย |
ค่ารีจิสทรี |
ลักษณะการทำงานของไคลเอนต์ |
ลักษณะการทำงานของเซิร์ฟเวอร์ |
บังคับไคลเอ็นต์การปรับปรุง |
0 |
โปรแกรมประยุกต์ไคลเอ็นต์ที่ใช้ CredSSPจะไม่สามารถล้มกลับไปเป็นรุ่นที่ไม่ปลอดภัย |
บริการที่ใช้ CredSSPจะไม่ยอมรับไคลเอนต์ที่ไม่มีการปะ ทราบ ไม่ควรปรับใช้การตั้งค่านี้จนกว่า Windowsทั้งหมดและไคลเอนต์ credssp ของบริษัทอื่นสนับสนุนรุ่น credssp ใหม่ล่าสุด |
ลด |
1 |
โปรแกรมประยุกต์ไคลเอ็นต์ที่ใช้ CredSSPจะไม่สามารถล้มกลับไปเป็นรุ่นที่ไม่ปลอดภัย |
บริการที่ใช้ CredSSPจะยอมรับไคลเอนต์ที่ไม่มีการปะ |
ความเสี่ยง |
2 |
โปรแกรมประยุกต์ไคลเอ็นต์ที่ใช้ CredSSPจะแสดงเซิร์ฟเวอร์ระยะไกลที่จะโจมตีโดยสนับสนุนการย้อนกลับไปยังรุ่นที่ไม่ปลอดภัย |
บริการที่ใช้ CredSSPจะยอมรับไคลเอนต์ที่ไม่มีการปะ |
การปรับปรุงที่สองที่จะนำออกใช้ใน8พฤษภาคม๒๐๑๘จะเปลี่ยนลักษณะการทำงานเริ่มต้นเป็นตัวเลือก "การลดค่า"
ทราบ การเปลี่ยนแปลงใดๆในการเข้ารหัส Oracle เยียวยาจำเป็นต้องมีการรีบูต
ค่ารีจิสทรี
คำเตือน ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้องโดยใช้ตัวแก้ไขรีจิสทรีหรือโดยใช้วิธีการอื่น ปัญหาเหล่านี้อาจต้องการให้คุณติดตั้งระบบปฏิบัติการใหม่ Microsoft ไม่สามารถรับประกันได้ว่าปัญหาเหล่านี้สามารถแก้ไขได้ ปรับเปลี่ยนรีจิสทรีด้วยความเสี่ยงของคุณเอง
การปรับปรุงแนะนำการตั้งค่ารีจิสทรีต่อไปนี้:
เส้นทางรีจิสทรี |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
ค่า |
AllowEncryptionOracle |
ชนิดวันที่ |
Dword |
จำเป็นต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่ |
ใช่ |
เมทริกซ์การร่วมกัน
ทั้งไคลเอ็นต์และเซิร์ฟเวอร์จำเป็นต้องได้รับการปรับปรุงหรือ Windows และไคลเอนต์ CredSSP ของบริษัทอื่นอาจไม่สามารถเชื่อมต่อกับ Windows หรือโฮสต์ของบุคคลที่สามได้ ดูเมทริกซ์การทำงานร่วมกันต่อไปนี้สำหรับสถานการณ์สมมติที่มีความเสี่ยงที่จะใช้ประโยชน์หรือทำให้การดำเนินงานล้มเหลว
ทราบ เมื่อเชื่อมต่อไปยังเซิร์ฟเวอร์เดสก์ท็อประยะไกลของ Windows เซิร์ฟเวอร์สามารถถูกกำหนดค่าให้ใช้กลไกการย้อนกลับที่มีโพรโทคอล TLS สำหรับการรับรองความถูกต้องและผู้ใช้อาจได้รับผลลัพธ์ที่แตกต่างจากที่อธิบายไว้ในเมตริกซ์นี้ เมตริกซ์นี้อธิบายลักษณะการทำงานของโพรโทคอล CredSSP เท่านั้น
|
|
เซิร์ฟเวอร์ |
|||
การยกเลิกการปะ |
บังคับไคลเอ็นต์การปรับปรุง |
ลด |
ความเสี่ยง |
||
ไคล เอ็นต์ |
การยกเลิกการปะ |
อนุญาต ให้ |
ถูกบล็อก |
อนุญาต ให้ |
อนุญาต ให้ |
บังคับไคลเอ็นต์การปรับปรุง |
ถูกบล็อก |
อนุญาต ให้ |
อนุญาต ให้ |
อนุญาต ให้ |
|
ลด |
ถูกบล็อก |
อนุญาต ให้ |
อนุญาต ให้ |
อนุญาต ให้ |
|
ความเสี่ยง |
อนุญาต ให้ |
อนุญาต ให้ |
อนุญาต ให้ |
อนุญาต ให้ |
การตั้งค่าไคลเอ็นต์ |
สถานะของโปรแกรมปรับปรุง CVE-2018-0886 |
การยกเลิกการปะ |
ความเสี่ยง |
บังคับไคลเอ็นต์การปรับปรุง |
ปลอดภัย |
ลด |
ปลอดภัย |
ความเสี่ยง |
ความเสี่ยง |
ข้อผิดพลาดของแฟ้มบันทึกเหตุการณ์ของ Windows
รหัสเหตุการณ์๖๐๔๑จะถูกล็อกบนไคลเอนต์ Windows ที่ปรับปรุงถ้าไคลเอ็นต์และโฮสต์ระยะไกลถูกกำหนดค่าในการกำหนดค่าที่ถูกบล็อก
แฟ้มบันทึกเหตุการณ์ |
ระบบ |
แหล่งที่มาของเหตุการณ์ |
LSA (LsaSrv) |
รหัสเหตุการณ์ |
๖๐๔๑ |
ข้อความเหตุการณ์ |
การรับรองความถูกต้องของ CredSSP ไปยังชื่อโฮสต์ < >ล้มเหลวในการต่อรองโปรโตคอลรุ่นทั่วไป โฮสต์ระยะไกลนำเสนอรุ่น< โพรโทคอลรุ่น >ซึ่งไม่ได้รับอนุญาตโดยการเข้ารหัส Oracle แก้ไข |
ข้อผิดพลาดที่สร้างขึ้นโดยการตั้งค่าคอนฟิกคู่ CredSSP ถูกบล็อคโดยการปรับปรุงไคลเอนต์ Windows RDP
ข้อผิดพลาดที่นำเสนอโดยไคลเอ็นต์เดสก์ท็อประยะไกลโดยไม่มี17เมษายน๒๐๑๘แพทช์ (KB๔๐๙๓๑๒๐)
ยกเลิกการปรับปรุงก่อน Windows ๘.๑และ Windows Server ๒๐๑๒ R2 ไคลเอนต์ที่จับคู่กับเซิร์ฟเวอร์ที่กำหนดค่าด้วย |
ข้อผิดพลาดที่สร้างขึ้นโดยการตั้งค่าคอนฟิกคู่ CredSSP ถูกบล็อคโดยการปรับปรุง Windows 8.1/Windows Server ๒๐๑๒ R2 และไคลเอนต์ RDP ที่ใหม่กว่า |
มีข้อผิดพลาดในการรับรองความถูกต้องเกิดขึ้น โทเค็นที่ให้กับฟังก์ชันไม่ถูกต้อง |
มีข้อผิดพลาดในการรับรองความถูกต้องเกิดขึ้น ฟังก์ชันที่ร้องขอไม่ได้รับการสนับสนุน |
ข้อผิดพลาดที่นำเสนอโดยไคลเอ็นต์เดสก์ท็อประยะไกลที่มี17 เมษายน๒๐๑๘แพทช์ (KB๔๐๙๓๑๒๐)
การยกเลิกการปรับปรุงไคลเอนต์ก่อน windows ๘.๑และ Windows Server ๒๐๑๒ R2 ที่จับคู่กับเซิร์ฟเวอร์ที่กำหนดค่าด้วย " บังคับให้ไคลเอ็นต์ปรับปรุง " |
ข้อผิดพลาดเหล่านี้ถูกสร้างขึ้นโดยการตั้งค่าคอนฟิกคู่ CredSSP ถูกบล็อคโดยการปรับปรุง Windows 8.1/Windows Server ๒๐๑๒ R2 และไคลเอนต์ RDP ที่ใหม่กว่า |
มีข้อผิดพลาดในการรับรองความถูกต้องเกิดขึ้น โทเค็นที่ให้กับฟังก์ชันไม่ถูกต้อง |
มีข้อผิดพลาดในการรับรองความถูกต้องเกิดขึ้น ฟังก์ชันที่ร้องขอไม่ได้รับการสนับสนุน คอมพิวเตอร์ระยะไกล: ชื่อโฮสต์< > อาจเกิดจากการแก้ไข oracle เข้ารหัสลับของ CredSSP สำหรับข้อมูลเพิ่มเติมโปรดดูที่https://go.microsoft.com/fwlink/?linkid=866660 |
ไคลเอ็นต์เดสก์ท็อประยะไกลของบุคคลที่สามและเซิร์ฟเวอร์
ไคลเอ็นต์หรือเซิร์ฟเวอร์ของบุคคลที่สามทั้งหมดต้องใช้โพรโทคอล CredSSP รุ่นล่าสุด โปรดติดต่อผู้ขายเพื่อตรวจสอบว่าซอฟต์แวร์ของตนเข้ากันได้กับโพรโทคอล CredSSP ล่าสุดหรือไม่
การปรับปรุงโพรโทคอลที่สามารถพบได้บนไซต์เอกสารประกอบของโพรโทคอล Windows
การเปลี่ยนแปลงแฟ้ม
แฟ้มระบบต่อไปนี้ได้ถูกเปลี่ยนแปลงในการปรับปรุงนี้
-
tspkg.dll
แฟ้ม. dll credssp ยังคงไม่เปลี่ยนแปลง สำหรับข้อมูลเพิ่มเติมโปรดตรวจทานบทความที่เกี่ยวข้องสำหรับข้อมูลเกี่ยวกับรุ่นของแฟ้ม