培训
认证
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
演示保护 Microsoft 365 部署的数据安全、生命周期管理、信息安全和合规性基础知识。
发布时间: 2014 年 5 月 13 日
版本: 1.0
此安全更新解决了 Microsoft Windows 中公开披露的漏洞。 如果 Active Directory 组策略首选项用于跨域分配密码,则漏洞可能会允许提升特权,这种做法可能允许攻击者检索和解密使用组策略首选项存储的密码。
此安全更新在受影响的 Windows Vista、Windows 7、Windows 8 和 Windows 8.1 版本上安装时,对远程服务器管理员管理工具进行了分级。 对于所有受影响的 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2,更新也被评为“重要”。 有关详细信息,请参阅“ 受影响的和非受影响的软件 ”部分。
安全更新通过删除配置和分发使用某些组策略首选项扩展的密码的功能来解决漏洞。 有关漏洞的详细信息,请参阅本公告后面的特定漏洞的常见问题解答(常见问题解答)小节。
需要执行其他操作。 为了完全保护此公告中解决的漏洞,使用组策略首选项的现有组策略的客户将需要采取其他措施来删除这些策略。 有关详细信息,请参阅本公告中的漏洞常见问题解答。
建议。 Microsoft 建议客户尽早应用更新,并执行上述相关常见问题解答中详述的其他操作。
此更新仅适用于 Microsoft 下载中心和 Microsoft 更新目录。
另请参阅本公告后面的“检测和部署工具和指南”部分。
以下软件已经过测试,以确定受影响的版本。 其他版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期。
受影响的软件
操作系统 | 组件 | 最大安全影响 | 聚合严重性分级 | 已替换汇报 |
---|---|---|---|---|
Windows Vista | ||||
Windows Vista Service Pack 2[1] | 远程服务器管理员管理工具(2928120) | 权限提升 | 重要 | 无 |
Windows Vista x64 Edition Service Pack 2[1] | 远程服务器管理员管理工具(2928120) | 权限提升 | 重要 | 无 |
Windows Server 2008 | ||||
Windows Server 2008 for 32 位系统 Service Pack 2[2](2928120) | 不适用 | 权限提升 | 重要 | 无 |
基于 x64 的系统 Service Pack 2[2](2928120) 的 Windows Server 2008 | 不适用 | 权限提升 | 重要 | 无 |
Windows Server 2008 for Itanium based Systems Service Pack 2[2](2928120) | 不适用 | 权限提升 | 重要 | 无 |
Windows 7 | ||||
Windows 7 for 32 位系统 Service Pack 1[1] | 远程服务器管理员管理工具(2928120) | 权限提升 | 重要 | 无 |
基于 x64 的系统 Service Pack 1 的 Windows 7[1] | 远程服务器管理员管理工具(2928120) | 权限提升 | 重要 | 无 |
Windows Server 2008 R2 | ||||
基于 x64 的系统 Service Pack 1[2](2928120) 的 Windows Server 2008 R2 | 不适用 | 权限提升 | 重要 | 无 |
适用于基于 Itanium 的系统 Service Pack 1[2](2928120) 的 Windows Server 2008 R2 | 不适用 | 权限提升 | 重要 | 无 |
Windows 8 和 Windows 8.1 | ||||
Windows 8 for 32 位系统[1] | 远程服务器管理员管理工具(2928120) | 权限提升 | 重要 | 无 |
基于 x64 的系统 Windows 8[1] | 远程服务器管理员管理工具(2928120) | 权限提升 | 重要 | 无 |
适用于 32 位系统的 Windows 8.1[1] | 远程服务器管理员编辑工具[3](2928120) | 权限提升 | 重要 | 无 |
适用于 32 位系统的 Windows 8.1[1] | 远程服务器管理员管理工具[4] (2961899) | 权限提升 | 重要 | 无 |
基于 x64 的系统的 Windows 8.1[1] | 远程服务器管理员编辑工具[3](2928120) | 权限提升 | 重要 | 无 |
基于 x64 的系统的 Windows 8.1[1] | 远程服务器管理员管理工具[4] (2961899) | 权限提升 | 重要 | 无 |
Windows Server 2012 和 Windows Server 2012 R2 | ||||
Windows Server 2012[2](2928120) | 不适用 | 权限提升 | 重要 | 无 |
Windows Server 2012 R2[2][3](2928120) | 不适用 | 权限提升 | 重要 | 无 |
Windows Server 2012 R2[2][4] (2961899) | 不适用 | 权限提升 | 重要 | 无 |
[1]仅当已安装远程服务器管理员管理工具时,客户端系统才会受到影响。
[2]只有在服务器上配置组策略管理时,服务器系统才会受到影响。
[3]此更新适用于安装了2919355更新的系统。 有关详细信息, 请参阅更新常见问题解答 。
[4]此更新适用于未安装2919355更新的系统。 有关详细信息, 请参阅更新常见问题解答 。
受影响的软件
操作系统 |
---|
Windows Server 2003 Service Pack 2 |
Windows Server 2003 x64 Edition Service Pack 2 |
Windows Server 2003 SP2 for Itanium 基于系统的 SP2 |
Windows RT |
Windows RT 8.1 |
服务器核心安装选项 |
Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) |
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (服务器核心安装) |
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (服务器核心安装) |
Windows Server 2012 (服务器核心安装) |
Windows Server 2012 R2 (服务器核心安装) |
此更新会导致组策略首选项发生哪些行为更改?
有关更新如何更改组策略首选项行为的详细信息,请参阅 Microsoft 知识库文章2962486。
为什么只能从 Microsoft 下载中心和 Microsoft 更新目录获取更新?
Microsoft 正在将这些更新 发布到 Microsoft 下载中心和 Microsoft 更新目录 ,以便客户可以尽快开始更新其系统。
此更新是否包含与功能相关的任何安全更改?
是的。 此更新通过删除使用以下组策略首选项扩展配置和分发密码的功能来修改组策略管理控制台的组策略管理编辑器窗口:
为 Windows 8.1 和 Windows Server 2012 R2 列出了多个更新。 是否需要安装这两个更新?
否。 根据系统配置为接收更新的方式,仅应用给定版本的 Windows 8.1 或 Windows Server 2012 R2 的其中一个更新。
对于运行 Windows 8.1 或 Windows Server 2012 R2 的系统:
我正在运行 Windows 8.1 或 Windows Server 2012 R2。 安装2928120更新是否有先决条件?
是的。 运行 Windows 8.1 或 Windows Server 2012 R2 系统的客户必须先安装 2014 年 4 月发布的2919355更新,然后才能安装2928120更新。 有关先决条件更新的详细信息,请参阅 Microsoft 知识库文章2919355。
服务器核心安装受到本公告中解决的漏洞的影响如何?
此更新解决的漏洞不会影响 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 或 Windows Server 2012 R2 的支持版本,如使用 Server Core 安装选项安装时在“非受影响的软件”表中所示。 有关此安装选项的详细信息,请参阅 TechNet 文章:管理服务器核心安装:概述、服务服务器核心安装和服务器核心和完整服务器集成概述。
我使用的是此安全公告中讨论的软件的较旧版本。 应采取何种操作?
此公告中列出的受影响的软件已经过测试,以确定哪些版本受到影响。 其他版本已超过其支持生命周期。 有关产品生命周期的详细信息,请参阅Microsoft 支持部门生命周期网站。
对于具有较旧版本的软件的客户来说,这应该是一个优先事项,可以迁移到受支持的版本,以防止潜在的漏洞暴露。 若要确定软件版本的支持生命周期,请参阅 “选择产品生命周期信息”。 有关这些软件版本的 Service Pack 的详细信息,请参阅 Service Pack 生命周期支持策略。
需要旧版软件自定义支持的客户必须联系其 Microsoft 帐户团队代表、其技术客户经理或相应的 Microsoft 合作伙伴代表以获取自定义支持选项。 没有高级合同或授权合同的客户可以联系其本地 Microsoft 销售办公室。 有关联系信息,请参阅 Microsoft 全球信息网站,在“联系信息”列表中选择国家/地区,然后单击“转到”以查看电话号码列表。 呼叫时,请与当地顶级支持销售经理交谈。 有关详细信息,请参阅Microsoft 支持部门生命周期策略常见问题解答。
以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 5 月公告摘要中的“可利用性索引”。 有关详细信息,请参阅 Microsoft Exploitability Index。
受影响的软件的漏洞严重性分级和最大安全影响 | ||
---|---|---|
受影响的软件 | 组策略首选项密码特权提升漏洞 - CVE-2014-1812 | 聚合严重性分级 |
Windows Vista | ||
在 Windows Vista Service Pack 2 上安装时远程服务器管理员管理工具 (2928120) | 重要 特权提升 | 重要说明 |
在 Windows Vista x64 Edition Service Pack 2 上安装时远程服务器管理员管理工具 (2928120) | 重要 特权提升 | 重要说明 |
Windows Server 2008 | ||
Windows Server 2008 for 32 位系统 Service Pack 2 (2928120) | 重要 特权提升 | 重要说明 |
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (2928120) | 重要 特权提升 | 重要说明 |
基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 (2928120) | 重要 特权提升 | 重要说明 |
Windows 7 | ||
在 Windows 7 上安装用于 32 位系统 Service Pack 1 的远程服务器管理员管理工具(2928120) | 重要 特权提升 | 重要说明 |
在 Windows 7 上安装基于 x64 的系统 Service Pack 1 的远程服务器管理员工具(2928120) | 重要 特权提升 | 重要说明 |
Windows Server 2008 R2 | ||
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (2928120) | 重要 特权提升 | 重要说明 |
Windows Server 2008 R2 for Itanium 基于 Itanium 的系统 Service Pack 1 (2928120) | 重要 特权提升 | 重要说明 |
Windows 8 和 Windows 8.1 | ||
在 Windows 8 上为 32 位系统安装远程服务器管理员编辑工具(2928120) | 重要 特权提升 | 重要说明 |
在 Windows 8 上安装基于 x64 的系统(2928120) 时,远程服务器管理员管理工具 | 重要 特权提升 | 重要说明 |
在 Windows 8.1 上安装适用于 32 位系统的远程服务器管理员管理工具(2928120) | 重要 特权提升 | 重要说明 |
在 Windows 8.1 上安装适用于 32 位系统的远程服务器管理员工具(2961899) | 重要 特权提升 | 重要说明 |
在 Windows 8.1 上安装基于 x64 的系统(2928120) 时,远程服务器管理员管理工具 | 重要 特权提升 | 重要说明 |
在 Windows 8.1 上安装基于 x64 的系统时,远程服务器管理员工具(2961899) | 重要 特权提升 | 重要说明 |
Windows Server 2012 和 Windows Server 2012 R2 | ||
Windows Server 2012 (2928120) | 重要 特权提升 | 重要说明 |
Windows Server 2012 R2 (2928120) | 重要 特权提升 | 重要说明 |
Windows Server 2012 R2 (2961899) | 重要 特权提升 | 重要说明 |
Active Directory 以使用组策略首选项配置的密码的方式存在特权提升漏洞。 成功利用漏洞的经过身份验证的攻击者可以解密密码,并使用这些密码提升域中的权限。
若要将此漏洞视为常见漏洞和公开列表中的标准条目,请参阅 CVE-2014-1812。
Microsoft 尚未识别此漏洞的任何缓解因素。
解决方法是指未更正基础漏洞的设置或配置更改,但有助于在应用更新之前阻止已知的攻击途径。 Microsoft 在讨论解决方法是否减少功能时测试了以下解决方法和状态:
漏洞的范围是什么?
这是特权提升漏洞。
导致漏洞的原因是什么?
此漏洞是由 Active Directory 分发使用组策略首选项配置的密码的方式造成的。
什么是组策略首选项?
组策略首选项包括 20 多个新的组策略扩展,这些扩展扩展了组策略对象(GPO)中的可配置设置范围。 这些新扩展包含在组策略管理控制台(GPMC)的组策略管理编辑器窗口中,位于新的首选项项下。 新的组策略首选项扩展的示例包括文件夹选项、映射驱动器、打印机、计划任务、服务和开始菜单设置。 有关组策略首选项的详细信息,请参阅 组策略首选项入门指南。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的经过身份验证的攻击者可以获取新的本地或域管理员凭据,并可以使用它们提升域上的特权。 然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全管理权限的新帐户。
攻击者如何利用漏洞?
若要利用漏洞,攻击者首先需要获取对域中经过身份验证的用户帐户的访问权限。 如果使用组策略首选项配置 GPO 以设置本地管理密码或定义凭据来映射网络驱动器、计划任务或配置服务的运行上下文,攻击者随后可以检索和解密使用组策略首选项存储的密码。
哪些系统主要面临漏洞的风险?
充当域控制器的服务器受到此漏洞的利用风险最大。
更新的作用是什么?
此更新消除了使用以下组策略首选项扩展配置和分发密码的功能。
需要执行其他操作: 请务必注意,更新不会删除此安全更新应用程序之前配置的任何现有 GPO。 使用标识的组策略首选项配置的现有 GPO 的客户应从其域环境中删除此风险。 有关详细信息,请参阅 知识库文章2962486 。
发布此安全公告后,是否已公开披露此漏洞?
是的。 此漏洞已公开披露。 它已分配了常见漏洞和公开号码 CVE-2014-1812。
发布此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
是的。 Microsoft 知道试图利用此漏洞的目标攻击。
管理部署到组织中的服务器、桌面和移动系统所需的软件和安全更新。 有关详细信息, 请参阅 TechNet 更新管理中心。 Microsoft TechNet Security 网站提供有关 Microsoft 产品安全性的其他信息。
可从 Microsoft 下载中心获取安全更新。 可以通过执行关键字 (keyword)搜索“安全更新”来最轻松地找到它们。
最后,可以从 Microsoft 更新目录下载安全更新。 Microsoft 更新目录提供通过Windows 更新和 Microsoft 更新提供的内容的可搜索目录,包括安全更新、驱动程序和服务包。 使用安全公告编号(如“MS14-001”)进行搜索,可以将所有适用的更新添加到篮子(包括更新的不同语言),并下载到所选文件夹。 有关 Microsoft 更新目录的详细信息,请参阅 Microsoft 更新目录常见问题解答。
引用表
下表包含此软件的安全更新信息。
安全更新文件名 | 在所有受支持的 32 位版本的 Windows Vista:\ Windows6.0-知识库(KB)2928120-x86.msu 上安装时,远程服务器管理员编辑工具 |
---|---|
\ | 在 Windows Vista:\ Windows6.0-知识库(KB)2928120-x64.msu 上安装时,远程服务器管理员编辑工具 |
安装开关 | 请参阅 Microsoft 知识库文章934307 |
重启要求 | 在某些情况下,此更新不需要重启。 如果使用所需的文件,此更新需要重启。 如果发生此行为,将显示一条消息,建议重启。 |
删除信息 | WUSA.exe不支持卸载更新。 若要卸载 WUSA 安装的更新,请单击控制面板,然后单击“安全性”。 在Windows 更新下,单击“查看已安装的更新”,然后从更新列表中选择。 |
文件信息 | 请参阅 Microsoft 知识库文章2928120 |
注册表项验证 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
引用表
下表包含此软件的安全更新信息。
安全更新文件名 | 对于所有受支持的 32 位版本的 Windows Server 2008:\ Windows6.0-知识库(KB)2928120-x86.msu |
---|---|
\ | 对于所有受支持的基于 x64 的 Windows Server 2008:\ Windows6.0-知识库(KB)2928120-x64.msu |
\ | 对于所有受支持的基于 Itanium 的 Windows Server 2008 版本:\ Windows6.0-知识库(KB)2928120-ia64.msu |
安装开关 | 请参阅 Microsoft 知识库文章934307 |
重启要求 | 在某些情况下,此更新不需要重启。 如果使用所需的文件,此更新需要重启。 如果发生此行为,将显示一条消息,建议重启。 |
删除信息 | WUSA.exe不支持卸载更新。 若要卸载 WUSA 安装的更新,请单击控制面板,然后单击“安全性”。 在Windows 更新下,单击“查看已安装的更新”,然后从更新列表中选择。 |
文件信息 | 请参阅 Microsoft 知识库文章2928120 |
注册表项验证 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
引用表
下表包含此软件的安全更新信息。
安全更新文件名 | 在所有受支持的 32 位版本的 Windows 7:\ Windows6.1-知识库(KB)2928120-x86.msu 上安装时,远程服务器管理员管理工具 |
---|---|
\ | 在 Windows 7:\ Windows6.1-知识库(KB)2928120-x64.msu 的所有受支持的 x64 版本上安装远程服务器管理员编辑工具 |
安装开关 | 请参阅 Microsoft 知识库文章934307 |
重启要求 | 在某些情况下,此更新不需要重启。 如果使用所需的文件,此更新需要重启。 如果发生此行为,将显示一条消息,建议重启。 |
删除信息 | 若要卸载 WUSA 安装的更新,请使用 /Uninstall 安装程序开关或单击控制面板,单击“系统和安全”,然后在Windows 更新下,单击“查看已安装的更新”,然后从更新列表中选择。 |
文件信息 | 请参阅 Microsoft 知识库文章2928120 |
注册表项验证 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
引用表
下表包含此软件的安全更新信息。
安全更新文件名 | 对于所有受支持的基于 x64 版本的 Windows Server 2008 R2:\ Windows6.1-知识库(KB)2928120-x64.msu |
---|---|
\ | 对于所有受支持的基于 Itanium 的 Windows Server 2008 R2:\ Windows6.1-知识库(KB)2928120-ia64.msu |
安装开关 | 请参阅 Microsoft 知识库文章934307 |
重启要求 | 在某些情况下,此更新不需要重启。 如果使用所需的文件,此更新需要重启。 如果发生此行为,将显示一条消息,建议重启。 |
删除信息 | 若要卸载 WUSA 安装的更新,请使用 /Uninstall 安装程序开关或单击控制面板,单击“系统和安全”,然后在Windows 更新下,单击“查看已安装的更新”,然后从更新列表中选择。 |
文件信息 | 请参阅 Microsoft 知识库文章2928120 |
注册表项验证 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
引用表
下表包含此软件的安全更新信息。
安全更新文件名 | 在所有受支持的 32 位版本的 Windows 8:\ Windows8-RT-知识库(KB)2928120-x86.msu 上安装时,远程服务器管理员管理工具 |
---|---|
\ | 在 Windows 8:\ Windows8-RT-知识库(KB)2928120-x64.msu 的所有受支持 x64 版本上安装时,对于远程服务器管理员管理工具 |
\ | 在 Windows 8.1:\ Windows8.1-知识库(KB)2928120-x86.msu\ Windows8.1-知识库(KB)2961899-x86.msu 的所有 32 位版本上安装远程服务器管理员编辑工具 |
\ | 在 Windows 8.1:\ Windows8.1-知识库(KB)2928120-x64.msu\ Windows8.1-知识库(KB)2961899-x64.msu 上安装时,远程服务器管理员管理工具 |
安装开关 | 请参阅 Microsoft 知识库文章934307 |
重启要求 | 在某些情况下,此更新不需要重启。 如果使用所需的文件,此更新需要重启。 如果发生此行为,将显示一条消息,建议重启。 |
删除信息 | 若要卸载 WUSA 安装的更新,请使用 /Uninstall 安装程序开关或单击控制面板,单击“系统和安全性”,单击“Windows 更新”,然后在“另请参阅”下单击“已安装的更新”,然后从更新列表中选择。 |
文件信息 | 请参阅 Microsoft 知识库文章2928120\请参阅 Microsoft 知识库文章2961899 |
注册表项验证 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
引用表
下表包含此软件的安全更新信息。
安全更新文件名 | 对于所有受支持的 Windows Server 2012:\ Windows8-RT-知识库(KB)2928120-x64.msu |
---|---|
\ | 对于所有受支持的 Windows Server 2012 R2:\ Windows8.1-知识库(KB)2928120-x64.msu\ Windows8.1-知识库(KB)2961899-x64.msu |
安装开关 | 请参阅 Microsoft 知识库文章934307 |
重启要求 | 在某些情况下,此更新不需要重启。 如果使用所需的文件,此更新需要重启。 如果发生此行为,将显示一条消息,建议重启。 |
删除信息 | 若要卸载 WUSA 安装的更新,请使用 /Uninstall 安装程序开关或单击控制面板,单击“系统和安全性”,单击“Windows 更新”,然后在“另请参阅”下单击“已安装的更新”,然后从更新列表中选择。 |
文件信息 | 请参阅 Microsoft 知识库文章2928120\请参阅 Microsoft 知识库文章2961899 |
注册表项验证 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请转到 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出的计划合作伙伴提供的活动保护网站。
如何获取此安全更新的帮助和支持
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
页面生成的 2014-06-25 9:22Z-07:00。
培训
认证
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
演示保护 Microsoft 365 部署的数据安全、生命周期管理、信息安全和合规性基础知识。