CVE-2018-0886 için CredSSP güncellemeleri

Şunlar için geçerlidir: Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard

Özet


Kimlik Bilgisi Güvenlik Destek Sağlayıcısı protokolü (CredSSP), diğer uygulamalar için kimlik doğrulama isteklerini işleyen bir kimlik doğrulama sağlayıcısıdır.CredSSP'nin yamasız sürümlerinde uzaktan kod yürütme güvenlik açığı vardır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sistemde kod yürütmek için kullanıcı kimlik bilgilerini aktarabilir. Kimlik doğrulaması için CredSSP'ye bağlı olan herhangi bir uygulama bu tür saldırılara karşı savunmasız olabilir.

Bu güvenlik güncelleştirmesi, Kimlik doğrulama işlemi sırasında CredSSP'nin istekleri nasıl doğruladığını düzelterek güvenlik açığını giderir.

Güvenlik açığı hakkında daha fazla bilgi edinmek için CVE-2018-0886'yabakın.

Güncelleştirme


13 Mart 2018

İlk 13 Mart 2018 sürümünde, etkilenen tüm platformlar için CredSSP kimlik doğrulama protokolü ve Uzak Masaüstü istemcileri güncellenir.Azaltma, güncelleştirmeyi tüm uygun istemci ve sunucu işletim sistemlerine yüklemekten ve ardından istemci ve sunucu bilgisayarlarındaki ayar seçeneklerini yönetmek için dahil edilen Grup İlkesi ayarlarını veya kayıt defteri tabanlı eşdeğerleri kullanmaktan oluşur. Yöneticilerin ilkeyi uygulamalarını ve istemci ve sunucu bilgisayarlarında mümkün olan en kısa sürede "Güncelleştirmeli Istemcileri Zorlama" veya "Azaltılmış" olarak ayarlamalarını öneririz.  Bu değişiklikler, etkilenen sistemlerin yeniden başlatılmasını gerektirir.Bu makalenin ilerleyen saatlerinde uyumluluk tablosundaki istemciler ve sunucular arasında "Engellenen" etkileşimlere neden olan Grup İlkesi veya kayıt defteri ayarları çiftleri ile yakından ilgilenin.

17 Nisan 2018

KB 4093120'deki Uzak Masaüstü İstemci (RDP) güncelleştirmegüncelleştirmesi, güncelleştirilmiş bir istemci güncelleştirilmeyen bir sunucuya bağlanamayınca sunulan hata iletisini geliştirir.

Mayıs 8, 2018

Varsayılan ayarı Vulnerable'dan Azaltılmış'adeğiştirmek için bir güncelleştirme.

İlgili Microsoft Bilgi Bankası numaraları CVE-2018-0886'dalistelenmiştir.

Varsayılan olarak, bu güncelleştirme yüklendikten sonra, yamalı istemciler yamasız sunucularla iletişim kuramaz. "İzin verilen" yapılandırmayı etkinleştirmek için bu makalede açıklanan birlikte çalışabilirlik matrisi ve grup ilkesi ayarlarını kullanın.

Grup İlkesi


İlke yolu ve ayar adı

Açıklama

İlke yolu: Bilgisayar Yapılandırması -> Yönetim Şablonları -> Sistem -> Kimlik Bilgileri Delegasyonu Ayar adı: Şifreleme Oracle Düzeltme

Şifreleme oracle düzeltme

Bu ilke ayarı, CredSSP bileşenini kullanan uygulamalar için geçerlidir (örneğin, Uzak Masaüstü Bağlantısı).

CredSSP protokolünün bazı sürümleri istemciye karşı bir şifreleme oracle saldırısına karşı savunmasızdır. Bu ilke, güvenlik açığı olan istemciler ve sunucularla uyumluluğu denetler. Bu ilke, şifreleme oracle güvenlik açığı için istediğiniz koruma düzeyini ayarlamanızı sağlar.

Bu ilke ayarını etkinleştirirseniz, aşağıdaki seçeneklere göre CredSSP sürüm desteği seçilir:

Force Updated Müşteriler – CredSSP kullanan istemci uygulamaları güvenli olmayan sürümlere geri dönememez ve CredSSP kullanan hizmetler yamasız istemcileri kabul etmez.

Not Tüm uzak ana bilgisayarlar en yeni sürümü destekleyene kadar bu ayar dağıtılmamalıdır.

Hafifletilmiş – CredSSP kullanan istemci uygulamaları güvenli olmayan sürümlere geri dönememez, ancak CredSSP kullanan hizmetler yamasız istemcileri kabul eder.

Savunmasız – CredSSP kullanan istemci uygulamaları, uzak sunucuları güvenli olmayan sürümlere geri dönüş destekleyerek saldırılara maruz bırakır ve CredSSP kullanan hizmetler yamasız istemcileri kabul eder.

 

Şifreleme Oracle Düzeltme Grubu İlkesi, istemcilere ve sunuculara uygulanması gereken aşağıdaki üç seçeneği destekler:

İlke ayarı

Kayıt defteri değeri

İstemci davranışı

Sunucu davranışı

Güncelleştirmeli istemcileri zorlama

0

CredSSP kullanan istemci uygulamaları güvenli olmayan sürümlere geri dönemeyecektir.

CredSSP kullanan hizmetler yamasız istemcileri kabul etmez.Not Tüm Windows ve üçüncü taraf CredSSP istemcileri en yeni CredSSP sürümünü destekleyene kadar bu ayar dağıtılmamalıdır.

Hafifletilmiş

1

CredSSP kullanan istemci uygulamaları güvenli olmayan sürümlere geri dönemeyecektir.

CredSSP kullanan hizmetler yamasız istemcileri kabul eder.

Savunmasız

2

CredSSP kullanan istemci uygulamaları, geri dönüşten güvenli olmayan sürümlere destek vererek uzak sunucuları saldırılara maruz bırakır.

CredSSP kullanan hizmetler yamasız istemcileri kabul eder.

 

8 Mayıs 2018'de yayımlanacak ikinci bir güncelleştirme, varsayılan davranışı "Azaltılmış" seçeneğine göre değiştirir.

Not Şifreleme Oracle Düzeltme için herhangi bir değişiklik yeniden başlatma gerektirir.

Kayıt defteri değeri


Güncelleştirme aşağıdaki kayıt defteri ayarı tanıttı:

Kayıt defteri yolu

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Değer

İzin ŞifrelemeOracle

Tarih türü

Dword

Yeniden başlatma gerekli?

Evet

Birlikte çalışabilirlik matrisi


Hem istemcinin hem de sunucunun güncellenmesi gerekir veya Windows ve üçüncü taraf CredSSP istemcileri Windows'a veya üçüncü taraf ana bilgisayarlara bağlanamayabilir. Yararlanmaya açık veya operasyonel hatalara neden olan senaryolar için aşağıdaki birlikte çalışabilirlik matrisine bakın.

Not Bir Windows Remote Desktop sunucusuna bağlanırken, sunucu kimlik doğrulaması için TLS protokolünü kullanan bir geri dönüş mekanizması kullanacak şekilde yapılandırılabilir ve kullanıcılar bu matriste açıklanandan farklı sonuçlar alabilir. Bu matris yalnızca CredSSP protokolünün davranışını açıklar.

 

 

Sunucu

 

Yamasız

Güncelleştirmeli istemcileri zorlama

Hafifletilmiş

Savunmasız

Istemci

Yamasız

Izin verilen

Engellenen

Izin verilen

Izin verilen

Güncelleştirmeli istemcileri zorlama

Engellenen

Izin verilen

Izin verilen

Izin verilen

Hafifletilmiş

Engellenen

Izin verilen

Izin verilen

Izin verilen

Savunmasız

Izin verilen

Izin verilen

Izin verilen

Izin verilen

 

İstemci ayarı

CVE-2018-0886 yama durumu

Yamasız

Savunmasız

Güncelleştirmeli istemcileri zorlama

Güvenli

Hafifletilmiş

Güvenli

Savunmasız

Savunmasız

Windows olay günlüğü hataları


İstemci ve uzak ana bilgisayar engellenmiş bir yapılandırmada yapılandırılırsa, Olay Kimliği 6041 yamalı Windows istemcilerinde günlüğe kaydedilir.

Olay günlüğü

Sistem

Olay kaynağı

LSA (LsaSrv)

Olay Kimliği

6041

Olay iletisi metni

Bir CredSSP kimlik doğrulaması <hostname> ortak bir protokol sürümü üzerinde anlaşma başarısız oldu. Uzak ana bilgisayar, Encryption Oracle Düzeltme tarafından izin verilmeyecek sürüm <Protokol Sürümü> sundu.

Yamalı Windows RDP istemcileri tarafından CredSSP engellenen yapılandırma çiftleri tarafından oluşturulan hatalar


Uzak Masaüstü İstemci tarafından 17 Nisan 2018 düzeltme eki olmadan sunulan hatalar (KB 4093120)

Yamasız ön Windows 8.1 ve Windows Server 2012 R2 istemcileri "Force Updated Clients" ile yapılandırılan sunucularla eşleştirilmiş

Yamalı Windows 8.1/Windows Server 2012 R2 ve daha sonra RDP istemcileri tarafından CredSSP engellenen yapılandırma çiftleri tarafından oluşturulan hatalar

Kimlik doğrulama hatası oluştu.

İşlev için verilen belirteç geçersizdir

Kimlik doğrulama hatası oluştu.

İstenen işlev desteklenmiyor.

Uzak Masaüstü İstemci tarafından 17 Nisan 2018 yama ile sunulan hatalar (KB 4093120)

Yamasız ön Windows 8.1 ve Windows Server 2012 R2 istemcileri " ile yapılandırılan sunucularla eşleştirilmiş Force Updated Müşteriler"

Bu hatalar, yamalı Windows 8.1/Windows Server 2012 R2 ve daha sonra RDP istemcileri tarafından CredSSP engellenen yapılandırma çiftleri tarafından oluşturulur.

Kimlik doğrulama hatası oluştu.

İşlev için verilen belirteç geçersizdir.

Kimlik doğrulama hatası oluştu.

İstenen işlev desteklenmiyor.

Uzak bilgisayar: <hostname>

Bunun nedeni CredSSP şifreleme oracle düzeltmesi olabilir.

Daha fazla bilgi için https://go.microsoft.com/fwlink/?linkid=866660

Üçüncü taraf uzak masaüstü istemcileri ve sunucuları


Tüm üçüncü taraf istemciler veya sunucular CredSSP protokolünün en son sürümünü kullanmalıdır. Yazılımlarının en son CredSSP protokolüyle uyumlu olup olmadığını belirlemek için lütfen satıcılarla iletişime geçin.

Protokol güncelleştirmeleri Windows Protokolü Dokümantasyon sitesindebulunabilir.

Dosya değişiklikleri


Bu güncelleştirmede aşağıdaki sistem dosyaları değiştirildi.

  • tspkg.dll

Credssp.dll dosyası değişmeden kalır. Daha fazla bilgi için lütfen dosya sürümü bilgileri için ilgili makaleleri inceleyin.