Tóm tắt
Ủy nhiệm bảo mật hỗ trợ nhà cung cấp giao thức (CredSSP) là một nhà cung cấp xác thực quá trình yêu cầu xác thực cho các ứng dụng. Một lỗ hổng thực thi mã từ xa có trong phiên bản chưa CredSSP. Kẻ đã thành công khai thác lỗ hổng này có thể chuyển tiếp uỷ nhiệm người dùng để thực thi mã trên hệ thống đích. Bất kỳ ứng dụng phụ thuộc vào CredSSP xác thực có thể dễ bị loại tấn công.
Bản Cập Nhật bảo mật này chỉ các lỗ hổng bằng cách điều chỉnh như thế nào credssp xác nhận yêu cầu trong quá trình xác thực.
Để tìm hiểu thêm về lỗ hổng bảo mật, hãy xem CVE-2018-0886.
Cập nhật
13 tháng 3 năm 2018
Ban đầu ngày 13, 2018, phát hành bản Cập Nhật giao thức xác thực CredSSP và khách hàng máy tính để bàn từ xa cho tất cả các nền tảng bị ảnh hưởng. Giảm thiểu bao gồm cài đặt bản Cập Nhật trên tất cả các khách hàng đủ điều kiện và hệ điều hành máy chủ và sau đó sử dụng bao gồm thiết đặt chính sách nhóm hoặc tương đương dựa trên đăng ký để quản lý các tùy chọn cài đặt trên máy khách và máy chủ. Chúng tôi khuyên người quản trị áp dụng chính sách và đặt "buộc Cập Nhật khách hàng" hoặc "mitigated" trên máy khách và máy chủ càng sớm càng tốt. Những thay đổi này sẽ yêu cầu khởi động lại hệ thống bị ảnh hưởng. Chú ý đến chính sách nhóm hoặc các cặp cài đặt đăng ký dẫn đến tương tác "chặn" giữa máy khách và chủ trong bảng tương thích sau trong bài viết này.
17 tháng 4 năm 2018
Bản Cập Nhật máy khách máy tính để bàn từ xa (RDP) trong KB 4093120 sẽ nâng cao thông báo lỗi được trình bày khi một khách hàng Cập Nhật không kết nối với máy chủ đã không được Cập Nhật.
8 tháng 5 năm 2018
Bản Cập Nhật thay đổi thiết đặt mặc định từ dễ bị giảm nhẹ.
Số cơ sở kiến thức Microsoft liên quan được liệt kê trong CVE-2018-0886.
Theo mặc định, sau khi cài đặt bản cập nhật này, vá khách hàng không thể liên lạc với máy chủ chưa vá. Sử dụng thiết đặt chính sách nhóm và ma trận khả năng tương tác được mô tả trong bài viết này để kích hoạt một cấu hình "cho phép".
Chính sách Nhóm
|
Đường dẫn chính sách và đặt tên |
Mô tả |
|
Đường dẫn chính sách: cấu hình máy tính-> khuôn mẫu quản trị-> hệ thống-> uỷ nhiệm uỷ nhiệm Tên thiết lập: mã hóa Oracle Remediation |
Mã hóa Oracle khắc phục Thiết đặt chính sách này áp dụng cho các ứng dụng sử dụng phần CredSSP (ví dụ: kết nối máy tính để bàn từ xa). Một số phiên bản của giao thức CredSSP dễ bị tấn công Oracle mã hoá chống lại khách hàng. Chính sách này kiểm soát khả năng tương thích với khách hàng và máy chủ dễ bị. Chính sách này cho phép bạn thiết lập mức độ bảo vệ mà bạn muốn cho các lỗ hổng Oracle mã hóa. Nếu bạn bật thiết đặt chính sách này, CredSSP Phiên bản hỗ trợ sẽ được chọn dựa trên các tuỳ chọn sau: Lực lượng Cập Nhật khách hàng- Ứng dụng khách sử dụng CredSSP sẽ không thể quay lại phiên bản không an toàn và dịch vụ sử dụng CredSSP sẽ không chấp nhận khách hàng chưa. Lưu ý Thiết đặt này sẽ không được triển khai cho đến khi tất cả các máy chủ từ xa hỗ trợ phiên bản mới nhất. Giảm nhẹ – Ứng dụng khách sử dụng CredSSP sẽ không thể quay lại phiên bản không an toàn, nhưng dịch vụ sử dụng CredSSP sẽ chấp nhận khách hàng chưa. Dễ bị tổn thương – Ứng dụng khách sử dụng CredSSP sẽ lộ các máy chủ từ xa tấn công bằng hỗ trợ dự vào phiên bản không an toàn và dịch vụ sử dụng CredSSP sẽ chấp nhận khách hàng chưa. |
Chính sách nhóm mã hóa Oracle khắc phục hỗ trợ ba tùy chọn sau, cần được áp dụng cho khách hàng và máy chủ:
|
Thiết đặt chính sách |
Giá trị đăng ký |
Hành vi của khách hàng |
Hành vi máy chủ |
|
Buộc các khách hàng Cập Nhật |
0 |
Ứng dụng khách sử dụng CredSSP sẽ không thể quay lại phiên bản không an toàn. |
Dịch vụ sử dụng CredSSP sẽ không chấp nhận khách hàng chưa. Lưu ý Thiết đặt này sẽ không được triển khai cho đến khi tất cả Windows và bên thứ ba credssp khách hàng hỗ trợ các phiên bản mới nhất credssp. |
|
Giảm nhẹ |
1 |
Ứng dụng khách sử dụng CredSSP sẽ không thể quay lại phiên bản không an toàn. |
Dịch vụ sử dụng CredSSP sẽ chấp nhận khách hàng chưa được vá. |
|
Dễ bị tổn thương |
2 |
Ứng dụng khách sử dụng CredSSP sẽ khiến máy chủ từ xa tấn công bằng hỗ trợ dự vào phiên bản không an toàn. |
Dịch vụ sử dụng CredSSP sẽ chấp nhận khách hàng chưa được vá. |
Bản Cập Nhật thứ hai, được phát hành vào ngày 8 tháng 2018, sẽ thay đổi chế độ mặc định cho các tùy chọn "mitigated".
Lưu ý Bất kỳ thay đổi mã hóa Oracle Remediation yêu cầu khởi động lại.
Giá trị đăng ký
Cảnh báo Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác bằng cách sử dụng Registry Editor hoặc bằng cách sử dụng phương pháp khác. Những vấn đề này có thể yêu cầu bạn cài đặt lại hệ điều hành. Microsoft không thể đảm bảo rằng những vấn đề này có thể được giải quyết. Sửa đổi Registry rủi ro của riêng bạn.
Bản Cập Nhật giới thiệu cài đặt đăng ký sau:
|
Đường dẫn đăng ký |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
Đáng giá tiền |
AllowEncryptionOracle |
|
Loại ngày |
Dword |
|
Khởi động lại yêu cầu? |
Có |
Ma trận tương tác
Máy khách và máy chủ phải được Cập Nhật, hoặc Windows và bên thứ ba CredSSP khách hàng có thể không thể kết nối với Windows hoặc máy chủ của bên thứ ba. Xem ma trận tương tác sau cho các trường hợp hoặc dễ bị khai thác hoặc gây ra lỗi hoạt động.
Lưu ý Khi kết nối với máy chủ từ xa máy tính để bàn Windows, máy chủ có thể được cấu hình để sử dụng một cơ chế dự hợp sử tuyển TLS giao thức xác thực và người dùng có thể nhận được kết quả khác nhau hơn được mô tả trong ma trận này. Ma trận này chỉ mô tả hành vi của giao thức CredSSP.
|
|
|
Máy chủ |
|||
|
Unpatched |
Buộc các khách hàng Cập Nhật |
Giảm nhẹ |
Dễ bị tổn thương |
||
|
Client |
Unpatched |
Cho phép |
Bị chặn |
Cho phép |
Cho phép |
|
Buộc các khách hàng Cập Nhật |
Bị chặn |
Cho phép |
Cho phép |
Cho phép |
|
|
Giảm nhẹ |
Bị chặn |
Cho phép |
Cho phép |
Cho phép |
|
|
Dễ bị tổn thương |
Cho phép |
Cho phép |
Cho phép |
Cho phép |
|
|
Cài đặt máy khách |
CVE-2018-0886 vá trạng thái |
|
Unpatched |
Dễ bị tổn thương |
|
Buộc các khách hàng Cập Nhật |
An toàn |
|
Giảm nhẹ |
An toàn |
|
Dễ bị tổn thương |
Dễ bị tổn thương |
Lỗi Nhật ký sự kiện Windows
ID sự kiện 6041 sẽ được ghi vào vá khách hàng Windows nếu máy khách và máy chủ từ xa được cấu hình trong cấu hình bị chặn.
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
LSA (LsaSrv) |
|
ID sự kiện |
6041 |
|
Văn bản thông báo sự kiện |
Xác thực CredSSP < tên máy > không thương lượng phiên bản giao thức phổ biến. Máy chủ từ xa cung cấp phiên bản < Protocol phiên bản > mà không được phép bởi mã hóa Oracle khắc phục. |
Lỗi được tạo ra bởi cấu hình chặn CredSSP cặp vá Windows RDP khách hàng
Lỗi được trình bày bởi máy khách máy tính để bàn từ xa mà không có bản vá lỗi ngày 17 tháng 4 2018 (KB 4093120)
|
Chưa được vá trước Windows 8,1 và Windows Server 2012 R2 khách kết nối với máy chủ cấu hình với "buộc Cập Nhật khách hàng" |
Lỗi được tạo ra bởi cấu hình chặn CredSSP cặp vá Windows 8.1/Windows Server 2012 R2 và sau đó RDP khách hàng |
|
Đã xảy ra lỗi xác thực. Token cung cấp chức năng không hợp lệ |
Đã xảy ra lỗi xác thực. Chức năng yêu cầu không được hỗ trợ. |
Lỗi được trình bày bởi máy khách máy tính để bàn từ xa với bản vá 2018 tháng 4 (kB 4093120)
|
Chưa được vá trước windows 8,1 và Windows Server 2012 R2 khách hàng kết nối với máy chủ cấu hình với " Buộc khách hàng Cập Nhật " |
Các lỗi được tạo ra bởi cấu hình chặn CredSSP cặp vá Windows 8.1/Windows Server 2012 R2 và sau đó RDP khách hàng. |
|
Đã xảy ra lỗi xác thực. Token cung cấp chức năng không hợp lệ. |
Đã xảy ra lỗi xác thực. Chức năng yêu cầu không được hỗ trợ. Máy tính từ xa: <hostname> Điều này có thể là do CredSSP mã hóa Oracle khắc phục. Để biết thêm thông tin, xem https://Go.Microsoft.com/fwlink/?linkid=866660 |
Khách hàng máy tính để bàn từ xa bên thứ ba và máy chủ
Tất cả các khách hàng bên thứ ba hoặc máy chủ phải sử dụng phiên bản mới nhất của giao thức CredSSP. Vui lòng liên hệ với nhà cung cấp để xác định phần mềm của họ có tương thích với giao thức CredSSP mới nhất hay không.
Các bản Cập Nhật giao thức có thể được tìm thấy trên trang web tài liệu giao thức Windows.
Thay đổi tệp
Các tệp hệ thống sau đã được thay đổi trong bản cập nhật này.
-
tspkg.dll
Các tập tin credssp. dll vẫn không thay đổi. Để biết thêm thông tin, vui lòng đánh giá các bài viết có liên quan cho thông tin Phiên bản tập tin.
