Özet
Kimlik Bilgisi Güvenlik Destek Sağlayıcısı protokolü (CredSSP), diğer uygulamalar için kimlik doğrulama isteklerini işleyen bir kimlik doğrulama sağlayıcısıdır. CredSSP'nin yamasız sürümlerinde uzaktan kod yürütme güvenlik açığı vardır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sistemde kod yürütmek için kullanıcı kimlik bilgilerini aktarabilir. Kimlik doğrulaması için CredSSP'ye bağlı olan herhangi bir uygulama bu tür saldırılara karşı savunmasız olabilir.
Bu güvenlik güncelleştirmesi, Kimlik doğrulama işlemi sırasında CredSSP'nin istekleri nasıl doğruladığını düzelterek güvenlik açığını giderir.
Güvenlik açığı hakkında daha fazla bilgi edinmek için CVE-2018-0886'yabakın.
Güncelleştirme
13 Mart 2018
İlk 13 Mart 2018 sürümünde, etkilenen tüm platformlar için CredSSP kimlik doğrulama protokolü ve Uzak Masaüstü istemcileri güncellenir. Azaltma, güncelleştirmeyi tüm uygun istemci ve sunucu işletim sistemlerine yüklemekten ve ardından istemci ve sunucu bilgisayarlarındaki ayar seçeneklerini yönetmek için dahil edilen Grup İlkesi ayarlarını veya kayıt defteri tabanlı eşdeğerleri kullanmaktan oluşur. Yöneticilerin ilkeyi uygulamalarını ve istemci ve sunucu bilgisayarlarında mümkün olan en kısa sürede "Güncelleştirmeli Istemcileri Zorlama" veya "Azaltılmış" olarak ayarlamalarını öneririz. Bu değişiklikler, etkilenen sistemlerin yeniden başlatılmasını gerektirir. Bu makalenin ilerleyen saatlerinde uyumluluk tablosundaki istemciler ve sunucular arasında "Engellenen" etkileşimlere neden olan Grup İlkesi veya kayıt defteri ayarları çiftleri ile yakından ilgilenin.
17 Nisan 2018
KB 4093120'deki Uzak Masaüstü İstemci (RDP) güncelleştirmegüncelleştirmesi, güncelleştirilmiş bir istemci güncelleştirilmeyen bir sunucuya bağlanamayınca sunulan hata iletisini geliştirir.
Mayıs 8, 2018
Varsayılan ayarı Vulnerable'dan Azaltılmış'adeğiştirmek için bir güncelleştirme.
İlgili Microsoft Bilgi Bankası numaraları CVE-2018-0886'dalistelenmiştir.
Varsayılan olarak, bu güncelleştirme yüklendikten sonra, yamalı istemciler yamasız sunucularla iletişim kuramaz. "İzin verilen" yapılandırmayı etkinleştirmek için bu makalede açıklanan birlikte çalışabilirlik matrisi ve grup ilkesi ayarlarını kullanın.
Grup İlkesi
İlke yolu ve ayar adı |
Açıklama |
İlke yolu: Bilgisayar Yapılandırması -> Yönetim Şablonları -> Sistem -> Kimlik Bilgileri Delegasyonu Ayar adı: Şifreleme Oracle Düzeltme |
Şifreleme oracle düzeltme Bu ilke ayarı, CredSSP bileşenini kullanan uygulamalar için geçerlidir (örneğin, Uzak Masaüstü Bağlantısı). CredSSP protokolünün bazı sürümleri istemciye karşı bir şifreleme oracle saldırısına karşı savunmasızdır. Bu ilke, güvenlik açığı olan istemciler ve sunucularla uyumluluğu denetler. Bu ilke, şifreleme oracle güvenlik açığı için istediğiniz koruma düzeyini ayarlamanızı sağlar. Bu ilke ayarını etkinleştirirseniz, aşağıdaki seçeneklere göre CredSSP sürüm desteği seçilir: Force Updated Müşteriler – CredSSP kullanan istemci uygulamaları güvenli olmayan sürümlere geri dönememez ve CredSSP kullanan hizmetler yamasız istemcileri kabul etmez. Not Tüm uzak ana bilgisayarlar en yeni sürümü destekleyene kadar bu ayar dağıtılmamalıdır. Hafifletilmiş – CredSSP kullanan istemci uygulamaları güvenli olmayan sürümlere geri dönememez, ancak CredSSP kullanan hizmetler yamasız istemcileri kabul eder. Savunmasız – CredSSP kullanan istemci uygulamaları, uzak sunucuları güvenli olmayan sürümlere geri dönüş destekleyerek saldırılara maruz bırakır ve CredSSP kullanan hizmetler yamasız istemcileri kabul eder. |
Şifreleme Oracle Düzeltme Grubu İlkesi, istemcilere ve sunuculara uygulanması gereken aşağıdaki üç seçeneği destekler:
İlke ayarı |
Kayıt defteri değeri |
İstemci davranışı |
Sunucu davranışı |
Güncelleştirmeli istemcileri zorlama |
0 |
CredSSP kullanan istemci uygulamaları güvenli olmayan sürümlere geri dönemeyecektir. |
CredSSP kullanan hizmetler yamasız istemcileri kabul etmez.Not Tüm Windows ve üçüncü taraf CredSSP istemcileri en yeni CredSSP sürümünü destekleyene kadar bu ayar dağıtılmamalıdır. |
Hafifletilmiş |
1 |
CredSSP kullanan istemci uygulamaları güvenli olmayan sürümlere geri dönemeyecektir. |
CredSSP kullanan hizmetler yamasız istemcileri kabul eder. |
Savunmasız |
2 |
CredSSP kullanan istemci uygulamaları, geri dönüşten güvenli olmayan sürümlere destek vererek uzak sunucuları saldırılara maruz bırakır. |
CredSSP kullanan hizmetler yamasız istemcileri kabul eder. |
8 Mayıs 2018'de yayımlanacak ikinci bir güncelleştirme, varsayılan davranışı "Azaltılmış" seçeneğine göre değiştirir.
Not Şifreleme Oracle Düzeltme için herhangi bir değişiklik yeniden başlatma gerektirir.
Kayıt defteri değeri
Uyarı Kayıt Defteri Düzenleyicisi'ni kullanarak veya başka bir yöntem kullanarak kayıt defterini yanlış değiştirirseniz ciddi sorunlar oluşabilir. Bu sorunlar, işletim sistemini yeniden yüklemenizi gerektirebilir. Microsoft, bu sorunların çözülebileceğini garanti edemez. Kayıt defterini kendi riskiniz altında değiştirin.
Güncelleştirme aşağıdaki kayıt defteri ayarı tanıttı:
Kayıt defteri yolu |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Değer |
İzin ŞifrelemeOracle |
Tarih türü |
Dword |
Yeniden başlatma gerekli? |
Evet |
Birlikte çalışabilirlik matrisi
Hem istemcinin hem de sunucunun güncellenmesi gerekir veya Windows ve üçüncü taraf CredSSP istemcileri Windows'a veya üçüncü taraf ana bilgisayarlara bağlanamayabilir. Yararlanmaya açık veya operasyonel hatalara neden olan senaryolar için aşağıdaki birlikte çalışabilirlik matrisine bakın.
Not Bir Windows Remote Desktop sunucusuna bağlanırken, sunucu kimlik doğrulaması için TLS protokolünü kullanan bir geri dönüş mekanizması kullanacak şekilde yapılandırılabilir ve kullanıcılar bu matriste açıklanandan farklı sonuçlar alabilir. Bu matris yalnızca CredSSP protokolünün davranışını açıklar.
|
|
Sunucu |
|||
Yamasız |
Güncelleştirmeli istemcileri zorlama |
Hafifletilmiş |
Savunmasız |
||
Istemci |
Yamasız |
Izin verilen |
Engellenen |
Izin verilen |
Izin verilen |
Güncelleştirmeli istemcileri zorlama |
Engellenen |
Izin verilen |
Izin verilen |
Izin verilen |
|
Hafifletilmiş |
Engellenen |
Izin verilen |
Izin verilen |
Izin verilen |
|
Savunmasız |
Izin verilen |
Izin verilen |
Izin verilen |
Izin verilen |
İstemci ayarı |
CVE-2018-0886 yama durumu |
Yamasız |
Savunmasız |
Güncelleştirmeli istemcileri zorlama |
Güvenli |
Hafifletilmiş |
Güvenli |
Savunmasız |
Savunmasız |
Windows olay günlüğü hataları
İstemci ve uzak ana bilgisayar engellenmiş bir yapılandırmada yapılandırılırsa, Olay Kimliği 6041 yamalı Windows istemcilerinde günlüğe kaydedilir.
Olay günlüğü |
Sistem |
Olay kaynağı |
LSA (LsaSrv) |
Olay Kimliği |
6041 |
Olay iletisi metni |
Bir CredSSP kimlik doğrulaması <hostname> ortak bir protokol sürümü üzerinde anlaşma başarısız oldu. Uzak ana bilgisayar, Encryption Oracle Düzeltme tarafından izin verilmeyecek sürüm <Protokol Sürümü> sundu. |
Yamalı Windows RDP istemcileri tarafından CredSSP engellenen yapılandırma çiftleri tarafından oluşturulan hatalar
Uzak Masaüstü İstemci tarafından 17 Nisan 2018 düzeltme eki olmadan sunulan hatalar (KB 4093120)
Yamasız ön Windows 8.1 ve Windows Server 2012 R2 istemcileri "Force Updated Clients" ile yapılandırılan sunucularla eşleştirilmiş |
Yamalı Windows 8.1/Windows Server 2012 R2 ve daha sonra RDP istemcileri tarafından CredSSP engellenen yapılandırma çiftleri tarafından oluşturulan hatalar |
Kimlik doğrulama hatası oluştu. İşlev için verilen belirteç geçersizdir |
Kimlik doğrulama hatası oluştu. İstenen işlev desteklenmiyor. |
Uzak Masaüstü İstemci tarafından 17 Nisan 2018 yama ile sunulan hatalar (KB 4093120)
Yamasız ön Windows 8.1 ve Windows Server 2012 R2 istemcileri " ile yapılandırılan sunucularla eşleştirilmiş Force Updated Müşteriler" |
Bu hatalar, yamalı Windows 8.1/Windows Server 2012 R2 ve daha sonra RDP istemcileri tarafından CredSSP engellenen yapılandırma çiftleri tarafından oluşturulur. |
Kimlik doğrulama hatası oluştu. İşlev için verilen belirteç geçersizdir. |
Kimlik doğrulama hatası oluştu. İstenen işlev desteklenmiyor. Uzak bilgisayar: <hostname> Bunun nedeni CredSSP şifreleme oracle düzeltmesi olabilir. Daha fazla bilgi için https://go.microsoft.com/fwlink/?linkid=866660 |
Üçüncü taraf uzak masaüstü istemcileri ve sunucuları
Tüm üçüncü taraf istemciler veya sunucular CredSSP protokolünün en son sürümünü kullanmalıdır. Yazılımlarının en son CredSSP protokolüyle uyumlu olup olmadığını belirlemek için lütfen satıcılarla iletişime geçin.
Protokol güncelleştirmeleri Windows Protokolü Dokümantasyon sitesindebulunabilir.
Dosya değişiklikleri
Bu güncelleştirmede aşağıdaki sistem dosyaları değiştirildi.
-
tspkg.dll
Credssp.dll dosyası değişmeden kalır. Daha fazla bilgi için lütfen dosya sürümü bilgileri için ilgili makaleleri inceleyin.