Советы по безопасности (Microsoft) (2871997)

Дата публикации: 13 мая 2014 г. | Обновлено: 14 октября 2014 г.

Версия: 4.0

Корпорация Майкрософт объявляет о выпуске обновлений для поддерживаемых выпусков Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1, которые совершенствуют защиту учетных данных и средства управления проверкой подлинности домена, чтобы сократить риск кражи учетных данных.

Рекомендация. Корпорация Майкрософт рекомендует пользователям применить эти обновления немедленно, используя функцию управления обновлениями или проверив его наличие на веб-сайте Центра обновления Майкрософт. Данные обновления можно устанавливать в любом порядке.

• 13 мая 2014 года корпорация Майкрософт выпустила обновление 2871997 для поддерживаемых выпусков Windows 8, Windows RT, Windows Server 2012, Windows 7 и Windows Server 2008 R2, которое улучшает защиту учетных данных и средства управления проверкой подлинности домена, чтобы сократить риск кражи учетных данных. Это обновление предоставляет дополнительные средства защиты для локальной системы безопасности (LSA), добавляет режим ограниченного администрирования для протокола CredSSP, вводит поддержку защищенной категории пользователей домена с ограниченными учетными записями и принудительно применяет более строгие политики проверки подлинности для клиентских систем Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012. Дополнительные сведения об обновлении, включая ссылки для загрузки, см. в статье 2871997 базы знаний Майкрософт. | Примечание. | |-----------------------------------------------------------------------------------------------------------------------------------------------------------| | Примечание. Поддерживаемые выпуски Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1 уже содержат эти функции и не нуждаются в обновлении 2871997. |

• 8 июля 2014 года корпорация Майкрософт выпустила обновление 2973351 для поддерживаемых выпусков Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 и Windows RT, а также для поддерживаемых выпусков Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1 с установленным обновлением 2919355 (Windows 8.1 Update). Корпорация Майкрософт выпустила обновление 2975625 для поддерживаемых выпусков Windows 8.1 и Windows Server 2012 R2, в которых не установлено обновление 2919355 (Windows 8.1 Update). Данное обновление предоставляет настраиваемые параметры реестра для управления режимом ограниченного администрирования для протокола CredSSP. Дополнительные сведения об этом обновлении, включая ссылки для загрузки, см. статье 2973351 базы знаний Майкрософт и статье 2975625 базы знаний Майкрософт. | Примечание. | |--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | Примечание. Данное обновление изменяет заданную по умолчанию функциональность режима ограниченного администрирования для Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1. Подробнее см. в разделе Часто задаваемые вопросы об обновлении. |

• 9 сентября 2014 года корпорация Майкрософт выпустила обновление 2982378 для поддерживаемых выпусков Windows 7 и Windows Server 2008 R2. Данное обновление улучшает защиту учетных данных пользователей при входе в систему Windows 7 или Windows Server 2008 R2, реализуя немедленную очистку учетных данных без ожидания билета на получение билета Kerberos TGT (Ticket Granting Ticket). Дополнительные сведения об обновлении, включая ссылки для загрузки, см. в статье 2982378 базы знаний Майкрософт.

   

• 14 октября 2014 года корпорация Майкрософт выпустила описанные ниже обновления. Применимые обновления добавляют режим ограниченного администрирования для подключения к удаленному рабочему столу и протокола удаленного рабочего стола:

  • 2984972 для поддерживаемых выпусков Windows 7 и Windows Server 2008 R2

  • 2984976 для поддерживаемых выпусков Windows 7 и Windows Server 2008 R2 с установленным обновлением 2592687 (обновление для протокола удаленного рабочего стола (RDP) 8.0). Пользователи, установившие обновление 2984976, также должны установить обновление 2984972.

  • 2984981 для поддерживаемых выпусков Windows 7 и Windows Server 2008 R2 с установленным обновлением 2830477 (обновление для клиента подключения к удаленному рабочему столу (RDC) 8.1). Пользователи, установившие обновление 2984981, также должны установить обновление 2984972.

  • 2973501 для поддерживаемых выпусков Windows 8, Windows Server 2012 и Windows RT.

    Развернуть таблицу

    Примечание.
    Примечание. Поддерживаемые выпуски Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1 уже содержат эту функцию и не нуждаются в данном обновлении.

Данный выпуск советов касается следующего программного обеспечения.

  Часто задаваемые вопросы об обновлении -------------------------------------- **Какова область действия данных советов?**  Назначение данного выпуска советов по безопасности — уведомить пользователей о выпуске обновлений для Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1, которые предоставляют дополнительные средства защиты учетных данных и управления ими. **Какие системы в первую очередь подвержены риску кражи учетных данных?**  В первую очередь риску подвергаются корпоративные среды с развернутыми доменами Windows. Серверы могут быть подвержены большему риску, если администраторы позволяют пользователям входить в систему на сервере и запускать программы. Однако общепринятой практикой настоятельно рекомендуется не предоставлять пользователям таких полномочий. **Изменяют ли обновления 2973351 и 2975625 функциональность?  **Да. В Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1 изменено заданное по умолчанию поведение режима ограниченного администрирования. Теперь по умолчанию режим ограниченного администрирования отключен. Чтобы использовать эту функцию, необходимо ее снова включить после установки обновления 2973351 или 2975625. Ранее режим ограниченного администрирования был задан по умолчанию. О том, как включить режим ограниченного администрирования, см. в [статье 2973351 базы знаний Майкрософт](https://support.microsoft.com/kb/2973351) или [статье 2975625 базы знаний Майкрософт](https://support.microsoft.com/kb/2975625). Обновление 2973351 не изменяет заданное по умолчанию поведение в поддерживаемых выпусках Windows 7, Windows Server 2008 R2, Windows 8, Windows 2012 или Windows RT. В этих системах режим ограниченного администрирования по умолчанию отключен. **Заменяет ли обновление 2973351 или 2975625 обновление 2871997?  **Нет. Обновление 2871997 требует установки обновления 2973351 или 2975625. Эти обновления предоставляют настраиваемые параметры реестра для режима ограниченного администрирования, который добавляется при установке обновления 2871997. **Для Windows 8.1 и Windows Server 2012 R2 указано несколько обновлений. Нужно ли устанавливать все эти обновления?  **Нет. В зависимости от того, как ваша система настроена на получение обновлений, к Windows 8.1 или Windows Server 2012 R2 применяется только одно обновление. Для систем с Windows 8.1 или Windows Server 2012 R2: Обновление 2973351 предназначено для систем, в которых уже установлено обновление 2919355 (Windows 8.1 Update). Обновление 2975625 предназначено для систем, в которых не установлено обновление 2919355. Обратите внимание, что обновления 2975625 доступны только пользователям систем, в которых обновления управляются с помощью служб Windows Server Update Services (WSUS), Windows Intune или System Center Configuration Manager. **Есть ли необходимые условия установки обновления 2973351 для Windows 8.1, Windows Server 2012 R2 или Windows RT 8.1?  **Да. Пользователям Windows 8.1, Windows Server 2012 R2 или Windows RT 8.1 необходимо установить выпущенное в апреле 2014 года обновление 2919355 (Windows 8.1 Update), прежде чем устанавливать обновление 2973351. Дополнительные сведения об этом необходимом предварительном обновлении см. [в статье 2919355 базы знаний Майкрософт](https://support.microsoft.com/kb/2919355). **Нужно ли мне устанавливать все обновления для системы безопасности, выпущенные для этих советов?  **Да. Пользователям следует применить все обновления, предлагаемые для установленного в их системе программного обеспечения, чтобы получить все функции защиты учетных данных. **Каковы ожидаемые сценарии развертывания? ** Хотя эти изменения улучшают защиту учетных данных во всех системах, они наиболее полезны в корпоративной среде с развернутыми доменами Windows. Одни изменения зависят от функций, доступных в домене на основе Windows Server 2012 R2, другие полезны во всех корпоративных средах. **Что такое служба LSASS? ** Служба LSASS предоставляет интерфейс для управления локальной безопасностью, проверкой подлинности домена и процессами Active Directory. Она управляет проверкой подлинности для клиента и сервера. Кроме того, отдельные функции этой службы применяются для поддержки служебных программ Active Directory. **Что такое локальная система безопасности (LSA)?** Локальная система безопасности (LSA), которая размещается в процессе LSASS, проверяет локальные и удаленные входы пользователей и принудительно применяет локальные политики безопасности. **Как действует обновление?**  Это обновление совершенствует защиту учетных данных и средства управления проверкой подлинности домена, чтобы сократить риск кражи учетных данных, внося улучшения в четырех областях. - **Режим ограниченного администрирования для протокола CredSSP ** Могут быть созданы приложения для использования этого изменения, чтобы подключаться к удаленному серверу без передачи учетных данных серверу узла. Это предотвращает сбор учетных данных пользователей в исходном процессе подключения в случае компрометации сервера. Соединение устанавливается, когда хост подтверждает, что учетная запись пользователя, использованной для подключения к нему, имеет права администратора и поддерживает режим ограниченного администрирования. В противном случае подключиться не удастся. В режиме ограниченного администрирования для передачи учетных данных удаленным компьютерам не используются обычный текст или другие повторно используемые формы. Для управления режимом ограниченного администрирования можно настроить значения двух разделов реестра. Раздел DisableRestrictedAdmin используется для включения или отключения режима ограниченного администрирования. Если режим ограниченного администрирования включен, DisableRestrictedAdminOutboundCreds используется для включения или отключения возможности подключения пользователей к системе с помощью удаленного рабочего стола с режимом ограниченного администрирования из ресурсов, как с автоматической проверкой подлинности, так и удаленных, с использованием локальной учетной записи. - **Очистка учетных данных в LSA**  Эта функция ограничивает возможности для атак с использованием учетных данных домена в LSA. Изменения этой функции: предотвращаются сетевой вход и удаленный интерактивный вход в присоединенный к домену компьютер с использованием локальных учетных записей; существование кэша учетных данных для входа ограничивается продолжительностью входа; ограничивается предоставляемый Kerberos/NTLM/дайджест/CredSSP кэш учетных данных; ограничивается кэш Kerberos паролей в формате обычного текста; не кэшируются учетные данные для входа в CredSSP, если только это не допускается политикой делегирования учетных данных; ограничивается использование учетных данных для входа для дайджест. - **Группа безопасности "Защищенные пользователи" ** Эта функция добавляет поддержку группы безопасности "Защищенные пользователи", введенной в Windows 8.1 и Windows Server 2012 R2. Такая поддержка применима к членам домена на основе Windows Server 2012 R2. Участники группы "Защищенные пользователи" дополнительно ограничены следующими способами проверки подлинности: - Участники группы "Защищенные пользователи" могут осуществлять вход только с использованием протокола Kerberos. Нельзя проверить подлинность учетной записи с помощью NTLM, дайджест-проверки подлинности или CredSSP. На устройствах под управлением Windows 8 пароли не кэшируются, поэтому устройствам, использующим любой из указанных поставщиков поддержки безопасности (SSP), не удастся пройти проверку подлинности в домене, если учетная запись входит в группу защищенных пользователей. - В протоколе Kerberos в процессе предварительной проверки подлинности не будут использоваться более слабые типы шифрования DES или RC4. Это означает, что домен должен быть настроен на поддержку, как минимум, набора шифрования AES. - Учетная запись такого пользователя не может быть делегирована с ограничением Kerberos или ограниченным делегированием Kerberos. Это означает, что прежние подключения к другим системам могут быть разорваны, если пользователь входит в группу "Защищенные пользователи". - **Режим ограниченного администрирования для подключения к удаленному рабочему столу** Эта функция добавляет в Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012 поддержку режима ограниченного администрирования для подключения к удаленному рабочему столу и протокола удаленного рабочего стола, которая была введена Windows 8.1 и Windows Server 2012 R2. - Режим ограниченного администрирования предоставляет способ интерактивного входа на удаленный сервер узла без передачи учетных данных серверу. Это предотвращает сбор учетных данных пользователей в исходном процессе подключения в случае компрометации сервера. - В этом режиме с учетными данными администратора клиент удаленного рабочего стола пытается интерактивно войти в узел, также поддерживающий этот режим, без отправки учетных данных. Соединение устанавливается, когда хост подтверждает, что учетная запись пользователя, использованной для подключения к нему, имеет права администратора и поддерживает режим ограниченного администрирования. В противном случае подключиться не удастся. В режиме ограниченного администрирования для передачи учетных данных удаленным компьютерам не используются обычный текст или другие повторно используемые формы. - Дополнительные сведения см. в статье [Новые возможности служб удаленного рабочего стола в Windows Server](https://technet.microsoft.com/library/dn283323.aspx). Прочие сведения --------------- ### Программа Microsoft Active Protections Program (MAPP) Чтобы повысить уровень защиты пользователей, корпорация Майкрософт предоставляет сведения об уязвимостях крупным поставщикам программного обеспечения безопасности перед ежемесячным выпуском обновлений. Эта информация необходима им для усовершенствования программного обеспечения и оборудования для защиты пользователей (антивирусных программ, сетевых систем обнаружения вторжений, а также индивидуальных систем предотвращения вторжений). Сведения о средствах защиты, предоставляемых поставщиками программного обеспечения безопасности, доступны на соответствующих веб-сайтах партнеров, перечисленных в списке партнеров [MAPP](http://go.microsoft.com/fwlink/?linkid=215201). ### Обратная связь - Свои вопросы, отзывы, пожелания и предложения вы можете направить, заполнив специальную форму на [контактной странице службы поддержки клиентов](http://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech) веб-сайта справки и поддержки Майкрософт. ### Поддержка - Пользователи из США и Канады могут обратиться в [службу поддержки по вопросам безопасности](http://go.microsoft.com/fwlink/?linkid=21131). Для получения дополнительных сведений см. веб-сайт [Центра справки и поддержки Майкрософт](http://support.microsoft.com/). - Пользователям в других странах для получения поддержки следует обращаться в местные представительства корпорации Майкрософт. Для получения дополнительных сведений см. веб-сайт [Международной поддержки](http://go.microsoft.com/fwlink/?linkid=21155). - Веб-сайт [Microsoft TechNet](http://go.microsoft.com/fwlink/?linkid=21132) содержит дополнительные сведения о средствах безопасности, реализованных в продуктах Майкрософт. ### Заявление об отказе Сведения в данном документе предоставляются «как есть», без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют. ### Редакции - Версия 1.0 (13 мая 2014 г.). Рекомендации опубликованы. - Версия 2.0 (8 июля 2014 г.): Сборник советов выпущен повторно, чтобы объявить о выпуске обновлений 2973351 и 2919355 в целях усиления контроля настроек режима ограниченного администрирования. Пользователям следует немедленно применить 2973351 или 2919355, в зависимости от программного обеспечения, установленного в их системах. Подробнее см. в разделах **Обновления, связанные с данными советами по безопасности** и **Часто задаваемые вопросы об обновлении**. - Версия 3.0 (9 сентября 2014 г.): Сборник советов выпущен повторно, чтобы объявить о выпуске обновления 2982378 в целях дополнительной защиты учетных данных пользователей при входе в систему Windows 7 или Windows Server 2008 R2. Подробнее см. в разделе **Обновления, связанные с данными советами по безопасности**. - Версия 4.0 (14 октября 2014 г.). Сборник советов выпущен повторно, чтобы объявить о выпуске обновлений, предоставляющий дополнительную защиту учетных данных пользователей при входе на удаленный сервер узла. Подробнее см. в разделах **Обновления, связанные с данными советами по безопасности** и **Часто задаваемые вопросы об обновлении**. *Время создания страницы: 2014-10-09 15:32Z-07:00.*