Microsoft 安全公告:用于改进凭据保护和管理的更新:2014 年 5 月 13 日


简介


Microsoft 已就此问题发布了面向 IT 专业人员的 Microsoft 安全通报。 此安全公告包括其他与安全相关的信息。 若要查看此安全通报,请访问以下 Microsoft 网站:
重要说明 除了更新 2871997 之外,还有多个其他更新有助于提高凭据保护。 请仔细阅读本文,以了解整个可用的更新集。


更新常见问题解答

此更新是否包含其他任何与安全相关的功能更改?
除了针对本公告中所述漏洞列出的更改之外,此更新还包括纵深防御更新,可帮助改进凭据保护和域身份验证控件,从而减少证书盗用的情况。 有关更多信息,请参阅 Microsoft 安全通报 2871997

更多信息


此更新引入了 TokenLeakDetectDelaySecs 注册表设置

重要说明 本部分、方法或任务包含有关如何修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请一定严格按照下列步骤操作。 为了获得进一步的保护,请在修改注册表之前对其进行备份。 这样就可以在出现问题时还原注册表。 有关如何备份和还原注册表的更多信息,请单击下面的文章编号查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows 中备份和还原注册表

安装此安全更新后,对在 Windows 7 和 Windows 8 上不受保护的用户的默认设置将不强制清除已泄漏的登录会话凭据。 若要重写此默认设置,可以添加以下注册表 dword,并将其设置为建议值 30 秒。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TokenLeakDetectDelaySecs

这样在用户注销 30 秒后,将触发对其所有凭据的清除,无论是否仍存在对凭据的引用。 这与对 Windows 8.1 和 Windows 10 的默认行为相同。

应用安全更新 3126593 (MS16-014) 后的默认行为

安装安全更新 3126593 后,默认设置将强制清除所有用户的凭据。 如果希望还原为以前的原始行为,请将 TokenLeakDetectDelaySecs 条目设置为 0。 这样只要仍有对凭据的引用,就禁用对已注销的不受保护的用户的凭据清除。

 

修订

Microsoft 于 2014 年 10 月 14 日发布了下列更新,用于为远程桌面连接和远程桌面协议添加一种受限管理员模式:
2984972 适用于受支持的 Windows 7 和 Windows Server 2008 R2 版本

2984976 适用于已安装更新 2592687(远程桌面协议 8.0 更新)的受支持的 Windows 7 和 Windows Server 2008 R2 版本。 安装更新 2984976 的客户也必须安装更新 2984972

2984981 适用于已安装更新 2830477(远程桌面连接 8.1 客户端更新)的受支持的 Windows 7 和 Windows Server 2008 R2 版本。 安装更新 2984981 的客户也必须安装更新 2984972

2973501 适用于受支持的 Windows 8、Windows Server 2012 和 Windows RT 版本。

注意 受支持的 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 版本已包含此功能,因而不需要此更新。

2014 年 9 月 9 日,Microsoft 发布了下列通报:
2982378 Microsoft 安全通报: 用于改进 Windows 7 和 Windows Server 2008 R2 的凭据保护和管理的更新: 2014 年 9 月 9 日
2014 年 7 月 8 日,Microsoft 发布了下列通报:
2973351 Microsoft 安全通报: 用于改进已安装更新 2919355 的基于 Windows 的系统的凭据保护和管理的注册表更新: 2014 年 7 月 8 日
2975625 Microsoft 安全通报: 用于改进未安装更新 2919355 的 Windows 的系统的凭据保护和管理的注册表更新: 2014 年 7 月 8 日
此更新提供了可配置的注册表设置,用于管理凭据安全支持提供程序 (CredSSP) 的受限管理员模式。


注意 此更新更改了 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 中的受限管理员模式功能。 有关更多信息,请参阅公告中的常见问题部分。 可以从 Microsoft 下载中心下载以下文件。

注意 使用下表确定哪些更新适用于你的系统。
 
安全更新 KB 编号 操作系统
2973351 已安装更新 2919355 的 Windows 8.1 和 Windows Server 2012 R2 系统
2975625 尚未安装更新 2919355 的 Windows 8.1 和 Windows Server 2012 R2 系统
2973501 Windows 8、Windows Server 2012 和 Windows RT
2871997 Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012
2973351 Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012
2982378 Windows 7 和 Windows Server 2008 R2
2984972 Windows 7 和 Windows Server 2008 R2
2984976 已安装更新 2592687 的 Windows 7 和 Windows Server 2008 R2。 还必须安装 2984972。
2984981 已安装更新 2830477 的 Windows 7 和 Windows Server 2008 R2。 还必须安装 2984972。

WDigest 设置

安装此安全更新后,可以使用注册表设置控制已安装的 WDigest 凭据的保存方式。 为了防止将 WDigest 凭据存储在内存中,可以将组策略设置应用到以下子项下的 UseLogonCredential 注册表项:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest
  • 如果将 UseLogonCredential 值设置为 0,WDigest 就不会将凭据存储在内存中。
  • 如果将 UseLogonCredential 值设置为 1,WDigest 就会将凭据存储在内存中。
安装此安全更新后,此值在 Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012.中的默认设置为 1。 可以使用本文中的“Easy Fix”解决方案将此设置更改为 0。 这样就能禁止将 WDigest 密码存储在内存中。

注意 默认情况下,在 Windows 8.1 和 Windows Server 2012 R2 及更高版本中,禁止将 WDigest 凭据缓存在内存中(注册表项不存在时,UseLogonCredential 值默认为 0)。

将 UseLogonCredential 值设置为 0后,观察到的行为变化就是你可能会注意到在使用 WDigest 时,系统会更加频繁地要求你提供凭据。

使用 Easy Fix

此 Easy Fix 解决方案会更改 UseLogonCredential 注册表项以禁止将 Wdigest 密码存储在内存中。 安装安全更新 2871997 并将此 Easy Fix 解决方案应用到运行 Windows 7、Windows Server 2008 R2、Windows 8 或 Windows Server 2012 的系统后,应该不会再将基本(明文)凭据存储在内存中。

注意 必须先安装安全更新 2871997,然后才能使用此 Easy Fix 解决方案。

若要启用此 Easy Fix 解决方案,请单击“下载”按钮。 在“文件下载”对话框中,单击“运行”或“打开”,然后按照 Easy Fix 向导中的步骤操作。
  • 此向导可能只有英文版本。 但是,自动修复功能同样适用于其他语言版本的 Windows。
  • 如果你所使用的计算机中并未出现此问题,则可将 Easy Fix 解决方案保存至闪存驱动器或 CD 中,然后在出现此问题的计算机上运行该解决方案。
禁止将 WDigest 密码存储在内存中

文件信息


此软件更新的英语(美国)版本会安装具有下表所列属性的文件。 这些文件的日期和时间按协调世界时 (UTC) 列出。 在本地计算机上,这些文件的日期和时间采用本地时间显示,与当前夏令时 (DST) 存在偏差。 此外,如果对这些文件执行某些操作,日期和时间可能会更改。