CVE 2018 0886 CredSSP güncelleştirmeleri

Şunlar için geçerlidir: Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard Daha fazla

Özet


Kimlik bilgileri güvenlik desteği sağlayıcısı (CredSSP) iletişim kuralı diğer uygulamalar için kimlik doğrulama isteklerini işleyen bir kimlik doğrulama sağlayıcısı olur.Düzeltme eki yüklenmemiş CredSSP sürümlerinde bir uzaktan kod yürütme güvenlik açığı bulunmaktadır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan hedef sistemde kod yürütmek için kullanıcı kimlik bilgileri aktarabilir. CredSSP üzerinde bağlıdır için kimlik doğrulaması herhangi bir uygulama bu tür saldırılara karşı savunmasız olabilir.

Bu güvenlik güncelleştirmesi CredSSP kimlik doğrulama işlemi sırasında isteklerini doğrulama biçimini düzelterek güvenlik açığını giderir.

Bu güvenlik açığı hakkında daha fazla bilgi için bkz: CVE 2018 0886.

Güncelleştirmeleri


13 Mart 2018

İlk 13 Mart 2018, CredSSP kimlik doğrulama protokolünü ve etkilenen tüm platformlar için Uzak Masaüstü İstemcisi sürüm güncelleştirir.Güncelleştirmeyi tüm uygun istemci ve sunucu işletim sistemleri üzerinde yükleme azaltma oluşur ve sonra kullanarak istemci ve sunucu bilgisayarlarda ayar seçeneklerini yönetmek üzere Grup İlkesi ayarlarını veya kayıt defteri tabanlı eşdeğerleri dahil. Yöneticiler ilkeyi uygulamak ve onu "Güncelleştirilmiş zorlama istemcileri" veya "Mitigated" istemci ve sunucu bilgisayarlarda olabildiğince çabuk ayarlayın öneririz.  Bu değişiklikler, etkilenen sistemi yeniden başlatma gerektirir.Kapat "Bloke" istemciler ve sunucular bu makalenin sonraki bölümlerinde uyumluluk tablosuna arasındaki etkileşimler sonucunda Grup İlkesi veya kayıt defteri ayarları çiftleri dikkat edin.

17 Nisan 2018

KB 4093120 Uzak Masaüstü İstemcisi (RDP) güncelleştirme güncelleştirme henüz güncelleştirilmemiş bir sunucuya bağlanmak güncelleştirilmiş bir istemci başarısız olduğunda görüntülenen hata iletisi artıracaktır.

8 Mayıs 2018

Mitigatediçin Vulnerable varsayılan ayarı değiştirmek için bir güncelleştirme.

İlgili Microsoft Bilgi Bankası numarası CVE 2018 0886listelenir.

Varsayılan olarak, bu güncelleştirme yüklendikten sonra istemcileri düzeltme eki yüklenmemiş sunucularıyla iletişim kuramaz. Grup İlkesi ayarları bu makalede açıklanan "izin verilen" bir yapılandırmasını etkinleştirmek için ve birlikte çalışabilirlik matris kullanın.

Grup İlkesi


İlke ayarına ve yol adı

Açıklama

İlke yolu: Bilgisayar Yapılandırması Yönetim Şablonları -> Sistem -> kimlik bilgileri yetki aktarımı -> Ayar adı: şifreleme Oracle düzeltme

Şifreleme oracle düzeltme

Bu ilke ayarını (örneğin, Uzak Masaüstü Bağlantısı) CredSSP bileşenini kullanan uygulamalar için geçerlidir.

Bazı sürümleri CredSSP iletişim kuralı istemci şifreleme oracle saldırısı için savunmasızdır. Bu ilke, güvenlik açığından etkilenen istemciler ve sunucular ile uyumluluğunu denetler. Bu ilke şifreleme oracle güvenlik açığı istediğiniz koruma düzeyini ayarlamanıza olanak verir.

Bu ilke ayarını etkinleştirirseniz, aşağıdaki seçeneklere dayalı CredSSP sürüm desteği seçilir:

Zorlama istemcileri güncelleştirilmiş – CredSSP kullanan istemci uygulamaları için güvenli olmayan sürümleri geri dönerse olmayacak ve CredSSP kullanan Hizmetleri istemcileri düzeltme eki yüklenmemiş kabul etmez.

Not Bu ayar kadar tüm uzak ana bilgisayarların yeni sürümü destekleyen kullanılmamalıdır.

Azalmasına – CredSSP kullanan istemci uygulamaları için güvenli olmayan sürümleri geri dönerse olmayacak, ancak CredSSP kullanan Hizmetleri istemcileri düzeltme eki yüklenmemiş kabul eder.

Güvenlik Açığı – CredSSP kullanan istemci uygulamaları saldırılarından uzak sunuculara güvenli olmayan sürümleri için geri dönüş destekleyerek harekete geçirecek ve CredSSP kullanan Hizmetleri istemcileri düzeltme eki yüklenmemiş kabul eder.

 

Şifreleme Oracle düzeltme Grup İlkesi, istemciler ve sunucular için uygulanması gereken aşağıdaki üç seçeneği destekler:

İlke ayarı

Kayıt defteri değeri

İstemci davranışı

Server davranışı

Zorlama istemcileri güncelleştirildi

0

CredSSP yapmamayı kullanan istemci uygulamaları için güvenli olmayan sürümleri geri dönerse mümkün olmayacaktır.

CredSSP kullanarak Hizmetleri istemcilerini kabul düzeltme eki yüklenmemiş. Not Bu ayar kadar tüm pencereleri ve üçüncü taraf CredSSP istemcileri CredSSP'ın en yeni sürümünü destekleyen kullanılmamalıdır.

Azalmasına

1

CredSSP yapmamayı kullanan istemci uygulamaları için güvenli olmayan sürümleri geri dönerse mümkün olmayacaktır.

Düzeltme eki yüklenmemiş kabul CredSSP istemcilerin kullandığı hizmetleri.

Güvenlik Açığı

2

CredSSP olacak kullanan istemci uygulamaları saldırılarından uzak sunuculara güvenli olmayan sürümleri için geri dönüş destekleyerek ortaya çıkarır.

Düzeltme eki yüklenmemiş kabul CredSSP istemcilerin kullandığı hizmetleri.

 

8 Mayıs 2018, serbest bırakılması için ikinci bir güncelleştirme "Mitigated" seçeneği için varsayılan davranışı değiştirir.

Not Şifreleme Oracle düzeltme herhangi bir değişiklik, yeniden başlatma gerektirir.

Kayıt defteri değeri


Güncelleştirme, aşağıdaki kayıt defteri ayarı sağlar:

Kayıt defteri yolu

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Değer

AllowEncryptionOracle

Tarih türü

DWORD

Yeniden başlatma gerekiyor?

Evet

Birlikte çalışabilirlik Matrisi


Hem istemci hem de sunucu güncelleştirilmesi gereken veya Windows ve üçüncü taraf CredSSP istemcileri Windows ya da diğer ana bilgisayarlara bağlanmak mümkün olmayabilir. Aşağıdaki birlikte çalışabilirlik Matris ya da olan senaryoları için bkz: güvenlik açığından yararlanma veya neden operasyonel hataları.

Not Windows Uzak Masaüstü sunucusuna bağlanırken sunucu yapılandırılmış kullanmak için bir geri dönüş mekanizması , kullanan kimlik doğrulaması için TLS protokolü olabilir ve kullanıcıların bu matriste anlatılandan farklı sonuçlar elde edebilirsiniz. Bu matris yalnızca CredSSP iletişim kuralı davranışını açıklar.

 

 

Sunucu

 

Düzeltme eki yüklenmemiş

Zorlama istemcileri güncelleştirildi

Azalmasına

Güvenlik Açığı

İstemci

Düzeltme eki yüklenmemiş

İzin verilen

Engellenen

İzin verilen

İzin verilen

Zorlama istemcileri güncelleştirildi

Engellenen

İzin verilen

İzin verilen

İzin verilen

Azalmasına

Engellenen

İzin verilen

İzin verilen

İzin verilen

Güvenlik Açığı

İzin verilen

İzin verilen

İzin verilen

İzin verilen

 

İstemci ayarlama

CVE 2018 0886 düzeltme eki durumu

Düzeltme eki yüklenmemiş

Güvenlik Açığı

Zorlama istemcileri güncelleştirildi

Güvenli

Azalmasına

Güvenli

Güvenlik Açığı

Güvenlik Açığı

Windows olay günlüğü hataları


Engellenen bir yapılandırmada yapılandırılırsa istemci ve uzak ana bilgisayar Yamalı Windows istemcilerde günlüğe olay kimliği 6041.

Olay günlüğü

Sistem

Olay kaynağı

LSA (LsaSrv)

Olay Kimliği

6041

Olay iletisi metni

< Anabilgisayaradı > CredSSP kimlik doğrulaması ortak iletişim kuralı sürüm anlaşmayı başaramadı. Uzak ana bilgisayar tarafından şifreleme Oracle düzeltme izin verilmiyor < protokol sürümü > sürüm önerdi.

Düzeltme eki yüklenmiş Windows RDP istemcileri tarafından CredSSP bloke yapılandırma çiftleri tarafından oluşturulan hatalar


17 Nisan 2018 düzeltme ekini (KB 4093120) olmadan uzak masaüstü istemcisi tarafından sunulan hataları

"Zorla istemciler güncelleştirilmiş" yapılandırılmış sunucularla istemciler Windows Server 2012 R2 ve düzeltme eki yüklenmemiş öncesi 8.1 eşleştirilmiş

Yapılandırma CredSSP bloke çiftleri tarafından tarafından oluşturulan hatalar Windows 8.1 / Windows Server 2012 R2 ve daha sonra RDP istemcileri düzeltme eki uygulanmış

Kimlik doğrulama hatası oluştu.

İşleve sağlanan simge geçersiz

Kimlik doğrulama hatası oluştu.

İstenen işlev desteklenmiyor.

17 Nisan 2018 düzeltme eki (KB 4093120)ile uzak masaüstü istemcisi tarafından sunulan hataları

Düzeltme eki yüklenmemiş Windows öncesi 8.1 ve Windows Server 2012 R2 istemciler yapılandırılmış sunucuları ile eşleştirilmiş"Zorlama istemcileri güncelleştirme"

Bu hataları düzeltme eki yüklenmiş Windows 8.1 / Windows Server R2 2012 CredSSP bloke yapılandırma çiftiyle ve daha sonra RDP istemcileri tarafından oluşturulur.

Kimlik doğrulama hatası oluştu.

İşleve sağlanan simge geçersiz.

Kimlik doğrulama hatası oluştu.

İstenen işlev desteklenmiyor.

Uzak bilgisayar: <anabilgisayaradı>

Bu CredSSP şifreleme oracle düzeltme nedeniyle olabilir.

Daha fazla bilgi için bkz: https://go.microsoft.com/fwlink/?linkid=866660

Üçüncü taraf Uzak Masaüstü istemciler ve sunucular


Tüm üçüncü taraf istemciler ve sunucular CredSSP iletişim kuralı en son sürümünü kullanmanız gerekir. Satıcıların yazılımlarını ile uyumlu olup olmadığını belirlemek için temasa Son CredSSP iletişim kuralı.

İletişim kuralı güncelleştirmeleri Windows Protokolü belgeleri siteüzerinde bulunabilir.

Dosya değişikliklerini


Bu güncelleştirmede aşağıdaki sistem dosyalarını değiştirilmiş.

  • tspkg.dll

Credssp.dll dosya değişmeden kalır. Daha fazla bilgi için lütfen ilgili makaleler için dosya sürüm bilgilerini gözden geçirin.