Загальні відомості
Протокол безпеки постачальника облікових даних ()-це постачальник автентифікації, який обробляє запити на автентифікацію для інших програм. Існує вразливість віддаленого виконання програмного коду в застарілих версіях програми. Зловмисник успішно, використовує цю вразливість може ретранслювати облікові дані користувача для виконання коду в цільовій системі. Будь-яка програма, яка залежить від Кредитоssp для аутентифікації можуть бути уразливі для цього типу атак.
Цього поновлення безпеки виправляє дефект, змінивши, яким чином, як це перевіряє, запити під час перевірки автентичності.
Щоб дізнатися більше про дефект, перегляньте CVE-2018-0886.
Оновлення
13 Бер 2018
Початковий 13 березня, 2018, випуск оновлює протокол автентифікації та віддаленого робочого стола клієнти для всіх постраждалих платформ. Зменшення складається з інсталяції оновлення на всі придатні клієнтські та серверні операційні системи, а потім за допомогою функції групової політики або еквіваленти на основі реєстру, щоб керувати параметрами параметрів на клієнтських і серверних комп'ютерах. Корпорація Майкрософт рекомендує, що адміністратори застосувати політику і встановити його "примусово оновлені клієнти" або "пом'якшені" на клієнтських і серверних комп'ютерах якомога скоріше. Ці зміни потребуватимуть перезавантаження систем, що постраждали. Зверніть особливу увагу на групової політики або настройки реєстру пари, які призводять до "заблокованих" взаємодія між клієнтами та серверами в таблиці сумісності, далі в цій статті.
17 Кві 2018
Оновлення клієнта віддаленого робочого стола (RDP) у KB 4093120 підвищить повідомлення про помилку, яке відображається, коли оновлений клієнт не вдається підключитися до сервера, який не було оновлено.
8 Тра 2018
Оновлення, щоб змінити настройки за промовчанням, з вразливим до пом'якшені.
Пов'язані номери бази знань Microsoft, указані в CVE-2018-0886.
За промовчанням після інсталяції цього оновлення, латки клієнти не можуть спілкуватися з застарілих серверів. Використання матриця сумісності та настройки групової політики, описані в цій статті, щоб увімкнути конфігурацію "дозволено".
Групова політика
|
Шлях до політики та ім'я параметра |
Опис |
|
Політика шлях: Конфігурація комп'ютера-> адміністративні шаблони-> System-> облікові дані делегування Ім'я параметра: шифрування Oracle виправленням |
Шифрування Oracle відновлення Цей параметр політики застосовується до застосунків, які використовують компонент Кредитоssp (наприклад, підключення до віддаленого робочого стола). Деякі версії протоколу-Кредитоssp вразливі для атак Oracle шифрування проти клієнта. Ця політика контролює сумісність із вразливими клієнтами та серверами. Ця політика дає змогу встановити рівень захисту, який потрібно для вразливості Oracle шифрування. Якщо ввімкнути цей параметр політики, буде вибрано підтримку версії Кредитоssp на основі таких параметрів: Примусово оновити клієнти – Клієнтські застосунки, які використовують на Кредитоssp не зможе повернутися до небезпечних версій і служб, які використовують, не буде приймати застарілих клієнтів. Зверніть увагу Цей параметр не слід розгортати, доки всі віддалені хости не підтримують найновішу версію. Пом'якшені – Клієнтські застосунки, які використовують на Кредитоssp не зможе повернутися до небезпечні версії, але служби, які використовують для клієнта, буде приймати застарілих клієнтів. Уразливі- Клієнтські застосунки, які використовують, що використовує на віддалений сервер, до атак, підтримуючи запасний небезпечні версії, а також служби, які використовують, клієнт буде приймати застарілих клієнтів. |
Шифрування Oracle виправленням групової політики підтримує наступні три варіанти, які повинні застосовуватися для клієнтів і серверів:
|
Параметр політики |
Значення реєстру |
Поведінка клієнта |
Поведінка сервера |
|
Примусово оновлені клієнти |
0 |
Клієнтські програми, які використовують кредит не зможе повернутися до небезпечних версій. |
Послуги, що використовують кредит не приймають застарілих клієнтів. Зверніть увагу Цей параметр не можна розгорнути, доки всі Windows і сторонніх виробників, клієнт-кредит, підтримка найновіших версії. |
|
Пом'якшена |
1 |
Клієнтські програми, які використовують кредит не зможе повернутися до небезпечних версій. |
Служби, які використовують кредит, буде приймати застарілих клієнтів. |
|
Вразливі |
2 |
Клієнтські застосунки, які використовують, за допомогою клієнта буде піддавати віддалених серверів атак, підтримуючи запасний небезпечні версії. |
Служби, які використовують кредит, буде приймати застарілих клієнтів. |
Друге оновлення, яке буде випущено 8 травня 2018, змінить поведінку за промовчанням на "пом'якшені" варіант.
Зверніть увагу Будь-які зміни в шифрування Oracle відновлення вимагає перезавантаження.
Значення реєстру
Попереджувальне Неправильне внесення змін до реєстру за допомогою редактора реєстру або за допомогою іншого методу може призвести до серйозних проблем. Ці проблеми можуть вимагати повторної інсталяції операційної системи. Корпорація Майкрософт не може гарантувати, що ці проблеми можуть бути вирішені. Змінити реєстр на свій страх і ризик.
Оновлення, представлено такий параметр реєстру:
|
Шлях до реєстру |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
Значення |
AllowEncryptionOracle |
|
Тип дати |
Dword |
|
Потрібно перезавантажити комп'ютер? |
Так |
Матриця сумісності
Клієнт і сервер, потрібно оновити, або Windows і сторонніх виробників, кредит клієнта не вдається підключитися до Windows або сторонніх виробників хостів. Зверніться до такої сумісності матриця для сценаріїв, які або вразливі до експлойт або спричинити збої в роботі.
Зверніть увагу Під час підключення до сервера віддаленого робочого стола Windows, сервер може бути налаштований на використання запасний механізм , який використовує протокол TLS для автентифікації, і користувачі можуть отримати різні результати, ніж описано в цій матриці. Ця матриця описує лише поведінку протоколу Кредитоssp.
|
|
|
Сервер |
|||
|
Застарілих |
Примусово оновлені клієнти |
Пом'якшена |
Вразливі |
||
|
Клієнт |
Застарілих |
Дозволило |
Заблоковані |
Дозволило |
Дозволило |
|
Примусово оновлені клієнти |
Заблоковані |
Дозволило |
Дозволило |
Дозволило |
|
|
Пом'якшена |
Заблоковані |
Дозволило |
Дозволило |
Дозволило |
|
|
Вразливі |
Дозволило |
Дозволило |
Дозволило |
Дозволило |
|
|
Налаштування клієнта |
CVE-2018-0886 виправлення стану |
|
Застарілих |
Вразливі |
|
Примусово оновлені клієнти |
Безпечний |
|
Пом'якшена |
Безпечний |
|
Вразливі |
Вразливі |
Помилки журналу подій Windows
Подія з ІДЕНТИФІКАТОРОМ 6041 буде реєструватися клієнти Windows, якщо клієнт і віддалений хост настроєно у заблоковану конфігурацію.
|
Журнал подій |
Система |
|
Джерело події |
LSA (LsaSrv) |
|
Код події |
6041 |
|
Текст повідомлення про подію |
Автентифікація для < хоста > не вдалося домовитися про спільну версію протоколу. У віддаленому хості пропонується версія < протокол версія > , яка не допускається за допомогою шифрування Oracle виправленням. |
Помилки, які створюються за допомогою клієнта-заблоковані конфігурації пар, на Windows RDP клієнтів
Помилки, представлені клієнт віддаленого робочого стола без 17 квітня 2018 патч (KB 4093120)
|
Застарілих Pre-Windows 8,1 і Windows Server 2012 R2 клієнтів, у поєднанні з серверами, які настроєно "примусово оновлені клієнти" |
Помилки, які створюються за допомогою-заблокованих,-заблоковано конфігурації пар, Windows 8,1/Windows Server 2012 R2 і пізніших версій RDP клієнтів |
|
Сталася помилка автентифікації. Неприпустимий маркер, наданий функцією |
Сталася помилка автентифікації. Запитана функція не підтримується. |
Помилки, представлені клієнт віддаленого робочого стола з 17 квітня 2018 патч (KB 4093120)
|
Застарілих Pre-windows 8,1 і Windows Server 2012 R2 клієнтів у поєднанні з серверами, які настроєно за допомогою " Примусово оновити клієнти " |
Ці помилки, які створюються за допомогою-заблокованих,-заблоковані конфігурації пар, Windows 8,1/Windows Server 2012 R2 і пізніших версій RDP клієнтів. |
|
Сталася помилка автентифікації. Неприпустимий маркер, наданий функцією. |
Сталася помилка автентифікації. Запитана функція не підтримується. Віддалений комп'ютер: <ім'я хоста> Це може бути пов'язано з шифруванням для відновлення Oracle. Щоб отримати додаткові відомості див. https://Go.Microsoft.com/fwlink/?linkid=866660 |
Сторонні клієнти та сервери віддаленого робочого стола
Усі сторонні клієнти або сервери мають використовувати найновішу версію протоколу «Кредитоssp». Будь ласка, зв'яжіться з постачальниками, щоб визначити, чи є їхнє програмне забезпечення сумісне з останнім протоколом Кредитоssp.
Оновлення протоколу можна знайти на сайті документації до протоколу Windows.
Зміни файлів
У цьому оновленні змінено такі системні файли.
-
tspkg.dll
Файл «кредитоssp. dll» залишається незмінним. Щоб отримати додаткові відомості, перегляньте відповідні статті відомості про версію файлу.
