Microsoft 安全通报 2871997
本文内容
更新以改善凭据保护和管理
发布日期: 2014 年 5 月 13 日 | 更新时间: 2016 年 2 月 9 日
版本: 5.0
一般信息
摘要
Microsoft 宣布针对 Windows7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的受支持版本提供更新,增强了凭据保护和域身份验证控件以减少凭据盗窃。
与此通报相关的更新
建议 。Microsoft 建议客户使用更新管理软件立即应用这些安全更新,或通过使用 Microsoft Update 服务检查更新来应用安全更新。这些更新可以按任何顺序安装。
2014 年 5 月 13 日,Microsoft 针对 Windows 8、Windows RT、Windows Server 2012、Windows 7 和 Windows Server 2008 R2 的受支持版本发布了 2871997 更新,增强了凭据保护和域身份验证控件以减少凭据盗窃。此更新为本地安全机构 (LSA) 提供额外保护,为凭据安全支持提供程序 (CredSSP) 添加了受限制的管理模式,向受保护的受限帐户域用户类别提供支持,并将 Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012 计算机作为客户端而执行更严格的身份验证策略。有关此更新的详细信息,包括下载链接,请参阅 Microsoft 知识库文章 2871997 。
| 注意 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的受支持版本已经包括这些功能,不需要 2871997 更新。 |
2014 年 7 月 8 日,Microsoft 针对 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 的受支持版本发布了 2973351 更新。对于 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的受支持版本,已经安装了 2919355 (Windows 8.1 更新)更新。Microsoft 对未安装 2919355 (Windows 8.1 更新)更新的 Windows 8.1 和 Windows Server 2012 R2 受支持版本发布了 2975625 更新。此更新为凭据安全支持提供程序 (CredSSP) 管理受限制的管理模式提供了可配置注册表设置。有关此更新的详细信息,包括下载链接,请参阅 Microsoft 知识库文章 2973351 和 Microsoft 知识库文章 2975625 。
| 注意 : 此更新更改了 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的默认受限制的管理模式。有关详细信息,请参阅通报常见问题 。 |
2014 年 9 月 9 日,Microsoft 针对 Windows 7 和 Windows Server 2008 R2 的所有受支持版本发布了 2982378 更新。该更新在用户登录到 Windows 7 或 Windows Sever 2008 R2 系统时为用户的凭据添加额外保护,方法是确保凭据立即得到清理,而不是等待直到获得 Kerberos TGT(票证授予票证)。有关此更新的详细信息,包括下载链接,请参阅 Microsoft 知识库文章 2982378 。
2014 年 10 月 14 日,Microsoft 发布了以下更新。适用的更新针对远程桌面连接和远程桌面协议添加了受限管理模式:
2984972 适用于 Windows 7 和 Windows Server 2008 R2 的受支持版本
2984976 适用于已安装更新 2592687(远程桌面协议 (RDP) 8.0 更新) 的 Windows 7 和 Windows Server 2008 R2 的受支持版本。安装更新 2984976 的客户还必须安装更新 2984972。
2984981 适用于已安装更新 2830477(远程桌面连接 (RDC) 8.1 客户端更新) 的 Windows 7 和 Windows Server 2008 R2 的受支持版本。安装更新 2984981 的客户还必须安装更新 2984972。
2973501 适用于 Windows 8、Windows Server 2012 和 Windows RT 的受支持版本。
注意 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的受支持版本已包括此功能,不需要此更新。
2016 年 2 月 9 日,Microsoft 发布了 3126593 更新,支持的系统版本包括:Windows 7、Windows Server 2008 R2、Windows 8、Windows RT 以及 Windows Server 2012。此更新默认支持凭据安全支持提供程序 (CredSSP) 的限制管理模式。此功能将在注销后强制清除用户登录会话。有关此更新的详细信息,请参阅 Microsoft 知识库文章 2973351 。
适用的软件
此通报讨论以下软件。
操作系统
Windows 7(用于 32 位系统)Service Pack 1
Windows 7(用于基于 x64 的系统)Service Pack 1
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
Windows 8(用于 32 位系统)
Windows 8(用于基于 x64 的系统)
Windows 8.1(用于 32 位系统)
Windows 8.1(用于基于 x64 的系统)
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
服务器核心安装选项
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)
Windows Server 2012(服务器核心安装)
Windows Server 2012 R2(服务器核心安装)
通报常见问题
------------
**此通报的适用范围有多大?**
此通报的目的是通知客户,现已针对 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 提供更新,可为凭据提供额外保护和管理。
**受凭据盗窃威胁最大的系统有哪些?**
部署了 Windows 域的企业环境受到的威胁最大。如果管理员允许用户登录服务器并运行程序,服务器可能面临更大风险。不过,最佳做法是不要授予这样的权限。
**更新 2973351 和 2975625 有任何功能更改吗?**
是。受限管理模式的默认行为已在 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 上发生更改。受限管理模式现已默认关闭;如果您希望使用此功能,那么您需要在安装更新 2973351 或 2975625 之后重新启用它。以前,受限管理模式默认情况下打开。有关如何启用受限制的管理模式的信息,请参阅 [Microsoft 知识库文章 2973351](https://support.microsoft.com/zh-cn/kb/2973351) 或 [Microsoft 知识库文章 2975625](https://support.microsoft.com/zh-cn/kb/2975625)。
更新 2973351 不会更改在 Windows 7、Windows Server 2008 R2、Windows 8、Windows 2012 或 Windows RT 的受支持版本上的默认行为。这些操作系统上的受限制的管理模式默认关闭。
**更新 2973351 或 2975625 是否会取代更新 2871997?**
否。如果安装了更新 2973351 或更新 2975625,则要求安装更新 2871997。这些更新为您在安装更新 2871997 时添加的受限制的管理模式提供可配置注册表设置。
**针对 Windows 8.1 和 Windows Server 2012 R2 列出了多个更新。我是否需要安装所有更新?**
否。根据您的系统配置为接收更新的方式,仅适用于 Windows 8.1 或 Windows Server 2012 R2 的其中一个更新适用。
对于运行 Windows 8.1 或 Windows Server 2012 R2 的系统:
2973351 更新适用于已安装 2919355 更新(Windows 8.1 更新)的系统。
2975625 更新适用于未安装 2919355 更新的系统。请注意,2975625 更新仅适用于使用 Windows Server Update Services (WSUS)、Windows Intune 或 System Center Configuration Manager 管理更新的客户。
**对于 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1,2973351 更新是否存在任何?**
是。运行 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1 的客户必须先安装 2014 年 4 月发布的 2919355 更新(Windows 8.1 更新),然后再安装 2973351 更新。有关该必备更新的详细信息,请参阅 [Microsoft 知识库文章 2919355](https://support.microsoft.com/zh-cn/kb/2919355)。
**我是否需要安装此通报中发布的所有安全更新?**
是。客户应该应用为他们的系统上安装的软件提供的所有更新,以获取所有凭据保护功能。
**预期的部署方案是什么?**
这些更改将对所有系统提高凭据保护,在部署了 Windows 域的企业环境中最有用。其中一些更改取决于基于 Windows Server 2012 R2 的域中提供的功能,其他更改在所有企业环境都十分有用。
**什么是本地安全机构子系统服务 (LSASS)?**
本地安全机构子系统服务 (LSASS) 提供一个用于管理本地安全、域身份验证和 Active Directory 服务进程的接口。LSASS 处理客户端和服务器的身份验证。它还包含一些用于支持 Active Directory 实用工具的功能。
**什么是本地安全机构 (LSA)?**
本地安全机构 (LSA) 驻留在本地安全机构子系统服务 (LSASS) 过程中,可以验证用户的本地和远程登录并执行本地安全策略。
**此更新有什么作用?**
此更新增强了凭据保护和域身份验证控件,通过对以下四个部分进行改进以减少凭据盗窃:
- **支持凭据安全支持提供程序 (CredSSP) 的受限管理模式**
可以将应用程序编写为使用此更改,从而无需向主机服务器发送凭据即可连接到远程服务器。如果服务器受到攻击,则可以防止初次连接过程中获取您的凭据。
当主机验证与其连接的用户帐户具有管理员权限并支持受限的管理模式,则连接成功。否则,连接尝试失败。受限管理模式在任何情况下都不会向远程计算机发送纯文本或其他可重用形式的凭据。
可配置两个注册表项设置以管理受限制的管理模式。DisableRestrictedAdmin 项用于为启用或禁用受限制的管理模式。如果受限制的管理模式已启用,则 DisableRestrictedAdminOutboundCreds 将用于启用或禁用用户在受限制的管理模式下使用本机帐户对远程资源进行自动身份验证而通过远程桌面连接到系统的能力。
- **LSA 中的凭据清理**
此功能可减小 LSA 中对域凭据的攻击面。此功能更改包括:防止使用本地帐户对已加入域的计算机进行网络登录和远程交互式登录,将登录凭据缓存限制在登录有效期内,限制 Kerberos/NTLM/Digest/CredSSP 提供的凭据缓存,限制 Kerberos 缓存纯文本密码,除非凭据委派策略允许和限制使用摘要式登录凭据,否则不要将登录凭据缓存到 CredSSP 中。
- **受保护的用户安全组**
此功能增加了对受保护的用户安全组(在 Windows 8.1 和 Windows Server 2012 R2 中引入)的支持。支持适用于基于 Windows Server 2012 R2 的域中的域成员计算机。
受保护的用户组的成员进一步限制为通过以下方法进行身份验证:
- 受保护的用户组中的成员只能使用 Kerberos 协议签名。该帐户无法使用NTLM、摘要式身份验证或 CredSSP 进行身份验证。在一个运行 Windows 8,而且不缓存密码的设备中,如果帐户属于受保护的用户组,则使用任何一个安全支持提供程序 (SSPs) 的设备都将无法通过域身份验证
- Kerberos 协议在预身份验证过程中不会使用的较弱的 DES 或 RC4 加密类型。这意味着必须将该域配置为至少支持 AES 加密套件。
- 不能向用户帐户委派 Kerberos 受约束的或不受约束的委派。这意味着如果用户是受保护用户组成员,则以前与其他系统的连接将会失败。
- **远程桌面连接的受限管理模式**
此功能向 Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012 上的远程桌面连接和远程桌面协议添加受限管理模式支持,Windows 8.1 和 Windows Server 2012 R2 中已引入此功能。
- 受限管理模式提供一种以交互方式登录到远程主机服务器的方法,无需将您的凭据传输到服务器。如果服务器受到攻击,则可以防止初次连接过程中获取您的凭据。
- 使用此模式和管理员凭据,远程桌面客户端将尝试以交互方式登录到也支持此模式的主机,而不发送凭据。当主机验证与其连接的用户帐户具有管理员权限并支持受限的管理模式,则连接成功。否则,连接尝试失败。受限管理模式在任何情况下都不会向远程计算机发送纯文本或其他可重用形式的凭据。
- 有关详细信息,请参阅 [Windows Server 中的远程桌面服务新增功能](https://technet.microsoft.com/zh-cn/library/dn283323.aspx)。
其他信息
--------
### Microsoft Active Protections Program (MAPP)
为改进客户的安全保护,Microsoft 在发布每月安全更新之前将向主要的安全软件供应商提供漏洞信息。然后,安全软件供应商可以使用该漏洞信息通过其安全软件或者设备向客户提供更新的保护,例如防病毒、基于网络的入侵检测系统或者基于主机的入侵防止系统。要确定是否可从安全软件供应商处得到活动保护,请访问计划合作伙伴(在 [Microsoft Active Protections Program (MAPP) 合作伙伴](https://technet.microsoft.com/zh-cn/security/dn467918)中列出)提供的活动保护网站。
### 反馈
- 您可以通过填写 Microsoft 帮助和支持表“[客户服务联系我们](https://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech)”提供反馈。
### 支持
- 美国和加拿大的客户可以从[安全支持](https://support.microsoft.com/zh-cn/gp/gp_security_main)获得技术支持。有关详细信息,请参阅[Microsoft 帮助和支持](https://support.microsoft.com/zh-cn)。
- 其他国家(或地区)的用户可从当地的 Microsoft 分公司获得支持。 有关详细信息,请参阅[国际支持](https://support2.microsoft.com/zh-cn/common/international.aspx)。
- [Microsoft TechNet 安全](https://technet.microsoft.com/zh-cn/security/default.aspx)提供有关 Microsoft 产品中安全性的其他信息。
### 免责声明
本通报中提供的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。
### 修订版本
- V1.0(2014 年 5 月 13 日): 已发布通报。
- V2.0(2014 年 7 月 8 日): 重新发布通报是为了宣布发布更新 2973351 和 2919355,为受限管理设置提供进一步控制。根据他们的系统上安装的软件,客户应立即应用 2973351 或 2919355 更新。有关详细信息,请参阅**与此通报相关的更新**和**通报常见问题**。
- V3.0(2014 年 9 月 9 日): 重新发布通报是为了宣布将发布更新 2982378 以便在用户登录到 Windows 7 或 Windows Server 2008 R2 系统时为用户的凭据提供进一步保护。有关详细信息,请参阅“**与此通报相关的更新**”。
- V4.0(2014 年 10 月 14 日): 重新发布通报是为了宣布将发布更新来在用户登录到远程服务器时为用户的凭据提供进一步保护。有关详细信息,请参阅**与此通报相关的更新**和**通报常见问题**。
- V5.0(2016 年 2 月 9 日):重新发布公告声明此次发布的 3126593 更新可默认支持凭据安全支持提供程序 (CredSSP) 的限制管理模式。查看**此公告的更新信息**以获取详情。
*页面生成时间 2014-10-09 15:32Z-07:00。*
.gif)
注意: |
|--------------------------------------------------------------------------------------------------------------------|
| 注意 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的受支持版本已经包括这些功能,不需要 2871997 更新。 |