原因 CVE-2018-0886 的 CredSSP 更新 將默認(rèn)設(shè)置從“易受攻擊”更改為“緩解”的更新。

摘要

憑據(jù)安全支持提供程序協(xié)議 (CredSSP) 是處理其他應(yīng)用程序的身份驗證請求的身份驗證提供程序。CredSSP 的未修補(bǔ)版本中存在遠(yuǎn)程代碼執(zhí)行漏洞。 成功利用此漏洞的攻擊者可以在目標(biāo)系統(tǒng)上中繼用戶憑據(jù)以執(zhí)行代碼。 任何依賴 CredSSP 進(jìn)行身份驗證的應(yīng)用程序都可能容易受到此類攻擊。

此安全更新通過更正 CredSSP 在身份驗證過程中驗證請求的方式來修復(fù)此漏洞。

若要了解有關(guān)此漏洞的更多信息，請參閱 CVE-2018-0886。

更新

2018 年 3 月 13 日

2018 年 3 月 13 日的初始版本更新了所有受影響平臺的 CredSSP 身份驗證協(xié)議和遠(yuǎn)程桌面客戶端。緩解措施包括在所有符合條件的客戶端和服務(wù)器操作系統(tǒng)上安裝更新，然后使用包含的“組策略”設(shè)置或基于注冊表的等效項管理客戶端和服務(wù)器計算機(jī)上的設(shè)置選項。 我們建議管理員應(yīng)用該策略，并盡快在客戶端和服務(wù)器計算機(jī)上將其設(shè)置為“強(qiáng)制更新的客戶端”或“緩解”。這些更改將需要重啟受影響的系統(tǒng)。請密切關(guān)注導(dǎo)致本文后面的兼容性表中的客戶端和服務(wù)器之間的“阻止”交互的組策略或注冊表設(shè)置對。

2018 年 4 月 17 日

KB 4093120 中的遠(yuǎn)程桌面客戶端 (RDP) 更新將增強(qiáng)更新的客戶端無法連接到尚未更新的服務(wù)器時出現(xiàn)的錯誤消息。

2018 年 5 月 8 日

將默認(rèn)設(shè)置從“易受攻擊”更改為“緩解”的更新。

相關(guān)的 Microsoft 知識庫編號已在 CVE-2018-0886 中列出。

組策略

“加密 Oracle 修正組策略”支持以下三個選項，應(yīng)將這些選項應(yīng)用于客戶端和服務(wù)器：

</figure>

第二次更新（于 2018 年 5 月 8 日發(fā)布）會將默認(rèn)行為更改為“緩解”選項。

注意 對加密 Oracle 修正的任何更改都需要重啟。

注冊表值

警告 如果使用注冊表編輯器或其他方法修改注冊表不當(dāng)，可能會出現(xiàn)嚴(yán)重問題。 這些問題可能需要您重新安裝操作系統(tǒng)。 Microsoft 不能保證可解決這些問題。 請自行承擔(dān)修改注冊表的風(fēng)險。

此更新引入了以下注冊表設(shè)置：

互操作性矩陣

客戶端和服務(wù)器都需要更新，否則，Windows 和第三方 CredSSP 客戶端可能無法連接到 Windows 或第三方主機(jī)。 有關(guān)易受攻擊或?qū)е虏僮魇〉那闆r，請參閱以下互操作性矩陣。

Windows 事件日志錯誤

如果在阻止的配置中配置客戶端和遠(yuǎn)程主機(jī)，將在已修補(bǔ)的 Windows 客戶端上記錄事件 ID 6041。

由未修補(bǔ)的 Windows RDP 客戶端通過 CredSSP 阻止的配置對生成的錯誤

由沒有 2018 年 4 月 17 日修補(bǔ)程序 (KB 4093120) 的遠(yuǎn)程桌面客戶端提供的錯誤

由具有 2018 年 4 月 17 日修補(bǔ)程序 (KB 4093120) 的遠(yuǎn)程桌面客戶端提供的錯誤

第三方遠(yuǎn)程桌面客戶端和服務(wù)器

所有第三方客戶端或服務(wù)器必須使用最新版本的 CredSSP 協(xié)議。 請聯(lián)系供應(yīng)商以確定其軟件是否與最新的 CredSSP 協(xié)議兼容。

可在 Windows 協(xié)議文檔網(wǎng)站中找到協(xié)議更新。

解決方案

1. win + R

2. 輸入 gpedit.msc

3. 打開本地組策略編輯器

4. 點(diǎn)擊計算機(jī)配置

5. 管理模板

6. 系統(tǒng)

7. 憑據(jù)分配

8. 選擇 加密 Oracle修正

9. 編輯 加密 Oracle修正

10. 將保護(hù)級別從 已緩解 修改為 易受攻擊