安全性諮詢
Microsoft Security Advisory 973811
驗證延伸保護
發佈時間: 2009 年 8 月 11 日 |更新日期:2013 年 1 月 8 日
版本: 1.14
Microsoft 在 Windows 平台上宣佈推出新功能「適用於驗證的擴充保護」。 這項功能在使用整合式 Windows 驗證 (IWA) 驗證網路連線時,可增強認證的保護與處理。
更新本身不會直接提供保護,以防止特定攻擊,例如認證轉送,但允許應用程式選擇加入擴充保護以進行驗證。 此諮詢會向開發人員和系統管理員介紹這項新功能,以及如何部署,以協助保護驗證認證。
緩和因素:
- 使用會話簽署和加密的應用程式(例如具有隱私權和完整性的遠端過程調用 (RPC),或已啟用簽署的伺服器消息塊 (SMB) 不會受到認證轉送的影響。
一般資訊
概觀
諮詢目的: 此諮詢已發行給客戶宣布發行非安全性更新,以在 Windows 平臺上提供新功能「適用於驗證的擴充保護」。
諮詢狀態: 已發佈諮詢。
建議: 檢視建議的動作,並視情況進行設定。
| 參考資料 | 識別 |
|---|---|
| Microsoft 知識庫文章 | Microsoft 知識庫文章973811 |
此諮詢會針對下列平台宣佈此功能的發行。
| 受影響的軟體 |
|---|
| Windows XP Service Pack 2 和 Windows XP Service Pack 3\ 適用於 x64 型系統的 Windows XP Service Pack 2 和適用於 x64 型系統的 Windows XP Service Pack 3 |
| Windows Server 2003 Service Pack 2\ Windows Server 2003 for x64 型系統 Service Pack 2\ Windows Server 2003 for Itanium 型系統和 Windows Server 2003 for Itanium 型系統 Service Pack 2 |
| Windows Vista、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2\ 適用於 x64 型系統的 Windows Vista、適用於 x64 型系統的 Windows Vista Service Pack 1,以及適用於 x64 型系統的 Windows Vista Service Pack 2 |
| 適用於 32 位系統的 Windows Server 2008 和適用於 32 位系統 Service Pack 2008 的 Windows Server 2008,適用於 x64 型系統的 Windows Server 2008,適用於 x64 型系統 Service Pack\ \ 2 Windows Server 2008 的 Windows Server 2008,適用於 Itanium 型系統 Service Pack 2 的 Windows Server 2008 |
| 非受影響的軟體 |
| Windows 7 for 32 位系統\ Windows 7 for x64 型系統 |
| 適用於 x64 型系統的 Windows Server 2008 R2\ 適用於 Itanium 型系統的 Windows Server 2008 R2 |
常見問題集
諮詢的範圍為何?
Microsoft 已發行此諮詢,宣佈推出新功能「延伸保護驗證」,作為 Windows SSPI 的更新,以協助解決認證轉送。
這是需要 Microsoft 發出安全性更新的安全性弱點嗎?
否,這不是需要 Microsoft 發出安全性更新的安全性弱點。 此功能需要一些客戶可能選擇部署的選擇性設定。 啟用此功能不適用於所有客戶。 如需此功能以及如何適當設定此功能的詳細資訊,請參閱 Microsoft 知識庫文章973811。 此功能已包含在 Windows 7 和 Windows Server 2008 R2 中。
什麼是適用於 Windows 驗證的擴充保護?
Microsoft 知識庫文章中的更新968389修改 SSPI,以增強 Windows 驗證 運作方式,以便在啟用整合式 Windows 驗證 (IWA) 時輕鬆轉送認證。
啟用驗證擴充保護時,驗證要求會系結至用戶端嘗試連線至伺服器的服務主體名稱 (SPN),以及用來進行 IWA 驗證的外部傳輸層安全性 (TLS) 通道。 這是基底更新,可讓應用程式選擇加入新功能。
未來的更新會修改執行 IWA 驗證的個別系統元件,讓元件使用此保護機制。 客戶必須同時安裝 Microsoft 知識庫文章968389 更新,以及需要啟用驗證擴充保護的用戶端應用程式和伺服器的個別應用程式特定更新。 安裝時,會透過使用登錄機碼來控制用戶端上的驗證擴充保護。 在伺服器上,組態是應用程式特有的。
Microsoft 採取哪些其他動作來實作這項功能?
您必須對使用整合式 Windows 驗證 (IWA) 的特定伺服器和用戶端應用程式進行變更,以確保他們選擇加入這項新的保護技術。
Microsoft 於 2009 年 8 月 11 日發行的更新如下:
- Microsoft 知識庫文章968389在 Windows 安全性 支援提供者介面 (SSPI) 中實作驗證的擴充保護。 此更新可讓應用程式選擇加入擴充保護以進行驗證。
- Microsoft 安全性佈告欄 MS09-042 也包含深度防禦的非安全性更新,可讓 Telnet 用戶端和伺服器選擇加入擴充保護以進行驗證。
Microsoft 於 2009 年 10 月 13 日發行的更新為:
- Microsoft 安全性布告欄 MS09-054 包含深度防禦的非安全性更新,可讓 WinINET 加入加入延伸保護以進行驗證。
Microsoft 於 2009 年 12 月 8 日發行的更新如下:
- Microsoft 知識庫文章971737 包含非安全性更新,可讓 Windows HTTP 服務 (WinHTTP) API 加入加入驗證延伸保護。
- Microsoft 知識庫文章 970430 包含非安全性更新,可讓 HTTP 通訊協定堆疊 (http.sys) 加入加入延伸保護以進行驗證。
- Microsoft 知識庫文章973917包含非安全性更新,可讓 網際網路資訊服務 (IIS) 選擇加入驗證延伸保護。 此更新於 2010 年 3 月 9 日重新發行。 如需詳細資訊,請參閱 Microsoft 知識庫文章中的已知問題973917。
Microsoft 於 2010 年 6 月 8 日發行的更新如下:
- Microsoft 知識庫文章982532 包含非安全性更新,可讓 Windows Vista Service Pack 1 上的 .NET Framework 2.0 Service Pack 2 選擇加入擴充保護以進行驗證。
- Microsoft 知識庫文章982533 包含非安全性更新,可讓 Windows Vista Service Pack 2 上的 .NET Framework 2.0 Service Pack 2 選擇加入擴充保護以進行驗證。
- Microsoft 知識庫文章982535 包含非安全性更新,可讓 Windows Vista Service Pack 1 上的 .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 加入加入延伸保護以進行驗證。
- Microsoft 知識庫文章982536 包含非安全性更新,可讓 Windows Vista Service Pack 2 上的 .NET Framework 2 + 3.0 Service Pack 2 選擇加入擴充保護以進行驗證。
- Microsoft 知識庫文章982167 包含非安全性更新,可讓 Windows XP 和 Windows Server 2003 上的 .NET Framework 2.0 Service Pack 2 選擇加入擴充保護以進行驗證。
- Microsoft 知識庫文章982168 包含非安全性更新,可讓 Windows XP 和 Windows Server 2003 上的 .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 選擇加入延伸保護以進行驗證。
Microsoft 於 2010 年 9 月 14 日發行的更新為:
- Microsoft 知識庫文章2141007 包含非安全性更新,可讓 Outlook Express 和 Windows Mail 選擇加入驗證延伸保護。
Microsoft 於 2010 年 10 月 12 日發行的更新為:
- Microsoft 知識庫文章2345886 包含非安全性更新,可讓 Windows Server 消息塊 (SMB) 選擇加入擴充保護以進行驗證。
Microsoft 於 2010 年 12 月 29 日發行的更新為:
- Microsoft® Office Live 會議服務入口網站的新版本可讓其支持驗證延伸保護。
Microsoft 於 2011 年 4 月 12 日發行的更新為:
- Microsoft 知識庫文章2509470 包含非安全性更新,可讓 Microsoft Outlook 選擇加入驗證延伸保護。
Microsoft 於 2013 年 1 月 8 日發行的 Microsoft 修正解決方案如下:
- Microsoft 知識庫文章2793313 包含 Microsoft 修正解決方案,可 設定 Windows XP 和 Windows Server 2003 系統,只允許 NTLMv2。 套用這些 Microsoft Fix it 解決方案可讓 Windows XP 和 Windows Server 2003 使用者使用擴充保護進行驗證所需的 NTLMv2 設定。
Microsoft 正計劃藉由發行未來的更新,將額外的 Microsoft 伺服器和用戶端應用程式納入這些保護機制,以擴充涵蓋範圍。 此安全性諮詢將會經過修訂,以在發行這類更新時包含更新的資訊。
開發人員如何在其應用程式中內嵌此保護技術?
開發人員可以在下列 MSDN 整合式 Windows 驗證與擴充保護一文中找到如何使用擴充保護進行驗證技術的詳細資訊。
如何? 啟用此功能嗎?
在用戶端上,客戶必須實作下列登錄機碼設定。
如需啟用此登錄機碼的詳細指示,請參閱 Microsoft 知識庫文章968389。
- 將機碼HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection 設定為 0,以啟用保護技術。 根據預設,此金鑰會在安裝時設定為 1,停用保護。
- 將機碼HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel 設定為 3。 這不是 Windows XP 和 Windows Server 2003 上的預設值。 這是啟用NTLMv2驗證的現有金鑰。 Windows 驗證 延伸保護僅適用於NTLMv2和 Kerberos驗證通訊協定,不適用於NTLMv1。 如需強制執行 NTLMv2 驗證的詳細資訊,請參閱 Microsoft 知識庫文章239869。
在伺服器上,必須以個別服務為基礎啟用驗證的擴充保護。 下列概觀說明如何在目前可用的通用通訊協定上啟用驗證擴充保護:
Telnet (KB960859)
針對 Telnet,您可以藉由建立 DWORD 登錄機碼HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection,在伺服器上啟用驗證擴充保護。 此機碼的預設值為舊版。 將索引鍵設定為下列其中一個值:
- 舊版:藉由將 DWORD 值設定為 0,將會在伺服器上停用驗證的擴充保護,而且不會有任何連線,即使是已更新且正確設定的用戶端,也會受到保護,以防止認證轉送攻擊。
- 允許擴充保護:將 DWORD 值設定為 1,伺服器會保護已設定為使用驗證擴充保護機制的用戶端電腦,以防止認證轉送攻擊。 尚未更新且正確設定的用戶端將不會受到保護。
- 需要擴充保護:將 DWORD 值設定為 2,伺服器會要求用戶端支持驗證的擴充保護,否則會拒絕驗證。 未啟用擴充保護的用戶端將無法對伺服器進行驗證。
如需建立此登錄機碼的詳細指示,請參閱 Microsoft 知識庫文章960859。
網際網路資訊服務 (KB973917)
針對 網際網路資訊服務,您可以使用 IIS 組態管理員,或直接編輯 ApplicationHost.Config 組態檔,在伺服器上啟用驗證擴充保護。 如需有關如何設定 IIS 的詳細資訊,請參閱 Microsoft 知識庫文章973917。
部署驗證擴充保護時,應該注意哪些事項?
客戶必須安裝包含在 Microsoft 知識庫文章968389中的更新、在用戶端和伺服器電腦上安裝個別的應用程式更新,並正確地設定這兩部計算機以使用保護機制,以防止認證轉送攻擊。
在用戶端啟用驗證擴充保護時,會針對所有使用 IWA 的應用程式啟用它。 不過,在伺服器上,它必須以個別應用程式為基礎啟用。
為什麼這不是在安全性公告中宣佈的安全性更新?
此更新會實作可能不適合所有客戶啟用的新功能。 它提供額外的安全性功能,客戶可以選擇根據其特定案例進行部署。
這是非安全性更新的安全性諮詢。 那不是矛盾嗎?
安全性諮詢可解決安全性變更,這些變更可能不需要安全性公告,但仍可能會影響客戶的整體安全性。 安全性諮詢是 Microsoft 向客戶傳達安全性相關信息的一種方式,這些問題可能未分類為弱點,且可能不需要安全性布告欄,或未發行任何安全性布告欄的問題。 在此情況下,我們會傳達無法解決特定安全性弱點之更新的可用性;相反地,它會解決您的整體安全性。
如何提供此更新?
這些更新可在 Microsoft 下載中心取得。 特定受影響軟體更新的直接連結列在 [概觀] 區段中的 [受影響的軟體] 數據表中。 如需更新和行為變更的詳細資訊,請參閱 Microsoft 知識庫文章968389。
此更新是否在自動更新上發佈?
是。 這些更新會透過自動更新機制散發。
哪些 Windows 版本與此諮詢相關聯?
此諮詢中解決的功能已提供給 [受影響的軟體] 摘要中列出的所有平臺使用。 此功能存在於 Windows 7 和 Windows Server 2008 R2 的所有版本中。
Microsoft 是否知道針對 NTLMv1 攻擊的詳細資訊和工具(NT LAN Manager 第 1 版)和 LAN Manager (LM) 網路驗證?
是。 Microsoft 知道針對NTLMv1 攻擊的詳細資訊和工具(NT LAN Manager 第1版)和LAN Manager (LM) 網路驗證。 計算機硬體和軟體演算法的改善使得這些通訊協定容易受到廣泛發佈的攻擊,以取得用戶密碼。 資訊和可用的工具組特別以未強制執行NTLMv2驗證的環境為目標。
有關 Windows 網路安全性的威脅和對策和 LAN 管理員驗證層級的詳細資訊,請參閱威脅和對策指南中的 Microsoft TechNet。
Microsoft 強烈建議客戶評估其環境,並持續更新其網路驗證設定。 Microsoft 建議實作NTLMv2,並實作設定以減少或消除NTLMv1和LM網路驗證的使用。
建議的動作
檢閱與此諮詢相關聯的 Microsoft 知識庫文章
有興趣深入瞭解此功能的客戶應該檢閱 Microsoft 知識庫文章973811。套用並啟用此安全性諮詢中列出的非安全性更新
客戶應該檢視 Microsoft 在此安全性更新中發行的非安全性和安全性更新清單,並視需要實作及設定這些機制。 您可以在此諮詢的常見問題一節中,找到 Microsoft 採取哪些其他動作來實作這項功能?專案中的可用更新清單。套用 Microsoft 修正程式解決方案,如 Microsoft 知識庫文章2793313
Microsoft 建議具有 Windows XP 和 Windows Server 2003 的環境只允許 NTLMv2。 您可以將 LAN Manager 驗證層級設定為 3 或更新版本,即可完成這項操作。 如需詳細資訊,請參閱 Microsoft 知識庫文章2793313 ,並使用自動化 的 Microsoft Fix it 解決方案,將這些系統設定為只允許 NTLMv2。 套用這些 Microsoft 修正解決方案 也可讓使用者利用驗證擴充保護所需的 NTLMv2 設定。保護您的電腦
我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新,以及安裝防病毒軟體。 客戶可以瀏覽 保護您的電腦,以深入瞭解這些步驟。 如需在因特網上保持安全的詳細資訊,客戶應該造訪 Microsoft Security Central。讓 Windows 保持更新
所有 Windows 使用者都應該套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請流覽 Windows Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動 更新,則更新會在發行時傳遞給您,但您必須確定您安裝更新。
因應措施
存在許多因應措施,可協助保護系統免於認證反映或認證轉送。 Microsoft 已測試下列因應措施。 雖然這些因應措施不會修正基礎弱點,但它們有助於封鎖已知的攻擊向量。 當因應措施減少功能時,會在下一節中加以識別。
啟用 SMB 簽署
在伺服器上啟用SMB簽署可防止攻擊者存取登入用戶內容中的伺服器。 這有助於防止認證轉送至SMB服務。 Microsoft 建議使用組策略來設定 SMB 簽署。
如需使用組策略啟用和停用 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 SMB 簽署的詳細指示,請參閱 Microsoft 知識庫文章887429。 適用於 Windows XP 和 Windows Server 2003 的 Microsoft 知識庫文章887429的指示也適用於 Windows Vista 和 Windows Server 2008。
因應措施的影響: 使用SMB封包簽署可能會降低檔案服務交易SMBv1的效能。 設定此原則的電腦不會與未啟用用戶端封包簽署的電腦通訊。 如需SMB簽署和潛在影響的詳細資訊,請參閱 MSDN 文章:「Microsoft 網路伺服器:數位簽署通訊(一律)」。
其他資訊
通知
Microsoft 感謝您 與我們合作,協助保護客戶:
- Mark Gamache of T-Mobile USA,與我們合作,協助保護客戶免受 NTLMv1 (NT LAN Manager 第 1 版) 和 LAN Manager (LM) 網路驗證的攻擊
資源
- 您可以造訪 Microsoft 說明及支援:與我們連絡,藉此完成表單來提供意見反應。
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需可用支援選項的詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需如何連絡 Microsoft 以取得國際支持問題的詳細資訊,請造訪 國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2009 年 8 月 11 日):已發佈諮詢。
- V1.1 (2009 年 10 月 14 日):更新常見問題,其中包含與 WinINET 相關的 MS09-054 中非安全性更新的相關信息。
- V1.2 (2009 年 12 月 8 日):已更新常見問題,其中包含三個與 Windows HTTP 服務、HTTP 通訊協定堆棧和 網際網路資訊服務 相關的非安全性更新資訊。
- V1.3 (2010 年 3 月 9 日):更新常見問題,宣佈更新的重新發行,讓 網際網路資訊服務 選擇加入擴充保護以進行驗證。 如需詳細資訊,請參閱 Microsoft 知識庫文章中的已知問題 973917。
- V1.4 (2010 年 4 月 14 日):已更新建議動作一節,以將客戶導向「Microsoft 採取哪些其他動作來實作這項功能?」一節中的常見問題。
- V1.5 (2010 年 6 月 8 日):已更新常見問題,其中包含六個非安全性更新的相關信息,讓 .NET Framework 選擇加入延伸保護以進行驗證。
- V1.6 (2010 年 9 月 14 日):更新常見問題,其中包含非安全性更新的相關信息,讓 Outlook Express 和 Windows Mail 加入加入延伸保護以進行驗證。
- V1.7 (2010 年 10 月 12 日):更新常見問題,其中包含啟用 Windows Server 消息塊 (SMB) 以選擇加入擴充保護以進行驗證的資訊。
- V1.8 (2010 年 12 月 14 日):更新常見問題,其中包含非安全性更新的相關信息,讓 Microsoft Outlook 選擇加入擴充保護以進行驗證。
- V1.9 (2010 年 12 月 17 日):已移除常見問題專案,最初新增了 2010 年 12 月 14 日,關於非安全性更新,可讓 Microsoft Outlook 選擇加入延伸保護以進行驗證。
- V1.10 (2011 年 1 月 11 日):更新常見問題,其中包含可讓 Microsoft® Office Live 會議服務入口網站選擇加入驗證延伸保護的新版本相關信息。
- V1.11 (2011 年 1 月 12 日):修正常見問題中 Microsoft® Office Live 會議服務入口網站版本資訊的連結。
- V1.12 (2011 年 4 月 12 日):更新常見問題,其中包含非安全性更新的相關信息,讓 Microsoft Outlook 選擇加入延伸保護以進行驗證。
- V1.13 (2012 年 10 月 31 日):更正了減輕因素。
- V1.14 (2013 年 1 月 8 日):更新常見問題和建議動作,其中包含針對 NTLMv1 攻擊的資訊(NT LAN Manager 第 1 版)和 LAN 管理員 (LM) 網路驗證。 Microsoft 修正適用於 Windows XP 和 Windows Server 2003 的解決方案,可協助防範這些攻擊。 套用這些 Microsoft Fix it 解決方案可讓使用者利用驗證延伸保護所需的 NTLMv2 設定。
建置於 2014-04-18T13:49:36Z-07:00