Microsoft 宣佈針對受支援版本的 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 推出更新,以改善認證防護與網域驗證控制,進而減少認證的盜用。
此摘要報告的相關更新
建議。Microsoft 建議客戶立即使用更新管理軟體來套用這些更新,或是使用 Microsoft Update 服務來檢查更新。這些更新可按任何順序安裝。
2014 年 5 月 13 日,Microsoft 針對受支援版本的 Windows 8、Windows RT、Windows Server 2012、Windows 7 和 Windows Server 2008 R2 發行了 2871997 更新,以改善認證防護與網域驗證控管,進而減少認證的盜用。此更新提供本地安全性授權 (LSA) 額外的防護、新增「認證資訊安全支援提供者 (CredSSP)」受限制的系統管理模式、針對受保護的帳戶 (限制的網域使用者類別) 引入支援,並對作為用戶端的 Windows 7、Windows Server 2008 R2、Windows 8 與 Windows Server 2012 電腦強制執行更嚴格的驗證原則。如需有關此更新的詳細資訊及下載連結,請參閱 Microsoft 知識庫文件編號 2871997。
注意
注意: 受支援版本的 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 已包含這些功能,並不需要 2871997 更新。
2014 年 7 月 8 日,Microsoft 針對受支援版本的 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT,以及已安裝 2919355 (Windows 8.1 更新) 更新之受支援版本的 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1,發行了 2973351 更新。Microsoft 針對未安裝 2919355 (Windows 8.1 更新) 更新之受支援版本的 Windows 8.1 和 Windows Server 2012 R2 發行了 2975625 更新。此更新提供可設定的登錄設定,以管理「認證資訊安全支援提供者 (CredSSP)」受限制的系統管理模式。如需有關此更新的詳細資訊及下載連結,請參閱 Microsoft 知識庫文件編號 2973351 及 Microsoft 知識庫文件編號 2975625。
注意
注意: 此更新會變更 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的預設受限制系統管理模式功能。請參閱<摘要報告常見問題集>一節,以瞭解詳細資料。
於 2014 年 9 月 9 日,Microsoft 針對受支援版本的 Windows 7 和 Windows Server 2008 R2 發行了 2982378 更新。該更新可確保在使用者登入 Windows 7 或 Windows Server 2008 R2 系統時,認證會即刻清除,而不會等到取得 Kerberos TGT (票證授權票證) 後才清除,從而能為使用者的認證增加額外的防護。如需有關此更新的詳細資訊及下載連結,請參閱 Microsoft 知識庫文件編號 2982378。
適用於受支援版本 Windows 8、Windows Server 2012 和 Windows RT 的 2973501
注意
注意: 受支援版本的 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 已包含此功能,並不需要此更新。
在 2016 年 2 月 9 日,Microsoft 發行適用於 Windows 7、Windows Server 2008 R2、Windows 8、Windows RT 和 Windows Server 2012 受支援版本的更新 3126593。該更新會預設啟用「認證資訊安全支援提供者 (CredSSP)」受限制的系統管理模式。此功能將會在使用者登出後強制清除使用者登入工作階段。如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章編號 2973351。
適用的軟體
本次摘要報告討論下列軟體。
作業系統
適用於 32 位元系統的 Windows 7 Service Pack 1
適用於 x64 型系統的 Windows 7 Service Pack 1
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1
適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
適用於 32 位元系統的 Windows 8
適用於 x64 型系統的 Windows 8
適用於 32 位元系統的 Windows 8.1
適用於 x64 型系統的 Windows 8.1
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Server Core 安裝選項
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝)
Windows Server 2012 (Server Core 安裝)
Windows Server 2012 R2 (Server Core 安裝)
摘要報告常見問題集
------------------
**摘要報告的範圍為何?**
此摘要報告的目的是要通知客戶 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 現在有更新可用,以針對認證提供額外的保護及管理。
**因為認證盜用而承受風險的主要系統有哪些?**
部署 Windows 網域的企業環境風險最高。若系統管理員允許使用者登入伺服器並執行程式,則伺服器可能遭受更大的風險。然而,最佳實務強烈建議您制止這種行為。
**2973351 和 2975625 更新是否有任何功能變更?**
是。Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 上受限制系統管理模式的預設行為已變更。受限制的系統管理模式現已預設為關閉,如果您要使用此功能,則需要在安裝更新 2973351 或 2975625 之後重新啟用該功能。在過去,受限制系統管理模式預設為開啟。如需瞭解如何啟用受限制的系統管理模式,請參閱 [Microsoft 知識庫文件編號 2973351](https://support.microsoft.com/zh-tw/kb/2973351) 或 [Microsoft 知識庫文件編號 2975625](https://support.microsoft.com/zh-tw/kb/2975625)。
然而,在受支援版本的 Windows 7、Windows Server 2008 R2、Windows 8、Windows 2012 或 Windows RT 上,2973351 更新並不會變更預設行為。在這些作業系統上,受限制的系統管理模式預設為關閉。
**2973351 或 2975625 更新會取代 2871997 嗎?**
否。若要安裝 2973351 或 2975625 更新,需要先安裝 2871997 更新。因為這兩個更新會針對受限制的系統管理模式提供可設定的登錄設定,而該模式是在您安裝 2871997 更新時新增的。
**Internet Explorer 8.1 和 Windows Server 2012 R2 列有多項更新。我是否需要安裝所有更新?**
否。視您的系統所設定的更新接收方式而定,只有其中一個 Windows 8.1 或 Windows Server 2012 R2 的更新適用。
執行 Windows 8.1 或 Windows Server 2012 R2 的系統:
2973351 更新適用於已安裝 2919355 (Windows 8.1 更新) 更新的系統。
2975625 更新適用於未安裝 2919355 更新的系統。請注意,2975625 更新僅提供給使用 Windows Server Update Services (WSUS)、Windows Intune 或 System Center Configuration Manager 管理更新的客戶。
**針對 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1,2973351 更新是否有任何必要條件?**
是。執行 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1 的客戶必須先安裝 2014 年 4 月發行的 2919355 (Windows 8.1 更新) 更新,之後才可安裝 2973351 更新。如需有關這項必要更新的詳細資訊,請參閱 [Microsoft 知識庫文件編號 2919355](https://support.microsoft.com/zh-tw/kb/2919355)。
**我必須安裝針對此摘要報告已發行的所有資訊安全更新嗎?**
是。客戶應針對其系統上已安裝的軟體套用所有可用的更新,以取得所有認證防護功能。
**什麼是預期的部署情況?**
雖然這些變更將改善所有系統中的認證防護,但它們對已部署 Windows 網域的企業環境來說最為實用。部分變更依存於 Windows Server 2012 R2 型網域提供的功能,而其他變更對所有企業環境來說都非常實用。
**什麼是本地安全性授權子系統服務 (LSASS)?**
本地安全性授權子系統服務 (LSASS) 提供管理本地安全性、網域驗證及 Active Directory 處理程序的介面。它會為用戶端與伺服器處理驗證作業。同時也包含用來支援 Active Directory 公用程式的功能。
**什麼是本地安全性授權 (LSA)?**
本地安全性授權 (LSA) 位於本地安全性授權子系統服務 (LSASS) 處理程序中,可驗證本地與遠端登入的使用者並強制執行本地安全性原則。
**此更新的作用何在?**
此更新可強化認證防護與網域驗證控管,藉由改善四個領域來減少認證盜用:
- **「認證資訊安全支援提供者 (CredSSP)」受限制的系統管理模式**
可撰寫應用程式使用這項變更,以在不傳輸認證至主機伺服器的情況下連線至遠端伺服器。若伺服器已遭入侵,這會防止您的認證在初始連線程序期間遭到截取。
當主機確認與其連線的使用者帳戶具有系統管理員權限並支援受限制的系統管理模式,即可成功連線。否則,連線嘗試會失敗。受限制的系統管理模式在任何時候皆不會將純文字或其他可重複使用之形式的認證傳送至遠端電腦。
有兩個登錄機碼設定可設定,以管理受限制的系統管理模式。DisableRestrictedAdmin 機碼用於啟用或停用受限制的系統管理模式。如果受限制的系統管理模式為啟用,則針對以受限制的系統管理模式使用遠端桌面連線至系統的使用者,DisableRestrictedAdminOutboundCreds 可用於啟用或停用其使用本機帳戶自動驗證遠端資源的功能。
- **LSA 中的認證清理**
這項功能可降低 LSA 中網域認證的受攻擊面。此功能的變更包括: 防止網路登入與遠端互動式登入至使用本機帳戶有加入網域的電腦、限制登入認證快取以登入存留期間、限制 Kerberos/NTLM/摘要/CredSSP 提供的認證快取、限制純文字密碼的 Kerberos 快取,但除非認證委派原則允許,則不會快取 CredSSP 中的登入認證並限制使用摘要的登入認證。
- **受保護的使用者安全性群組**
針對 Windows 8.1 及 Windows Server 2012 R2 所引入之受保護的使用者安全性群組,這項功能可增加其支援。此支援亦適用於 Windows Server 2012 R2 型網域中的網域成員電腦。
受保護之使用者群組中的成員依據下列驗證方法會進一步受到限制:
- 受保護之使用者群組中的成員只能使用 Kerberos 通訊協定登入。該帳戶無法使用 NTLM、摘要驗證,或是 CredSSP 進行驗證。執行 Windows 8 的裝置並不會快取密碼,因此若帳戶的擁有者是受保護之使用者群組中的成員,則使用這些任何其中一種資訊安全支援提供者 (SSP) 的裝置,將無法對網域進行驗證。
- Kerberos 通訊協定在預先驗證程序中,將不會使用較弱的 DES 或 RC4 加密類型。這表示網域必須設定為至少支援 AES 加密套件。
- 使用者帳戶無法以 Kerberos 受限制或未受限制的委派加以委派。這表示若使用者是受保護之使用者群組中的成員,則先前與其他系統的連線可能會失敗。
- **遠端桌面連線的受限制系統管理模式**
此功能針對 Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012 上遠端桌面連線和遠端桌面通訊協定,新增了對 Windows 8.1 和 Windows Server 2012 R2 上引進之受限制系統管理模式的支援。
- 受限制的系統管理模式提供以互動方式登入遠端主機伺服器,而不需將認證傳輸到伺服器的方法。若伺服器已遭入侵,這會防止您的認證在初始連線程序期間遭到截取。
- 以系統管理員認證使用此模式時,遠端桌面用戶端會嘗試以互動方式登入也支援此模式而不需要傳送認證的主機。當主機確認與其連線的使用者帳戶具有系統管理員權限並支援受限制的系統管理模式,即可成功連線。否則,連線嘗試會失敗。受限制的系統管理模式在任何時候皆不會將純文字或其他可重複使用之形式的認證傳送至遠端電腦。
- 如需更多資訊,請參閱 [Windows Server 的遠端桌面服務新功能](https://technet.microsoft.com/zh-tw//library/dn283323.aspx)。
其他資訊
--------
### Microsoft 主動保護計畫 (MAPP)
為了增強客戶的資訊安全保護,Microsoft 將在每月發行資訊安全更新之前,提前向重要資訊安全軟體提供者提供資訊安全風險資訊。資訊安全軟體提供者可利用此資訊安全風險資訊,透過其資訊安全軟體或裝置 (如防毒軟體、網路入侵偵測系統、或主機入侵預防系統),為客戶提供更新的保護措施。如果要判斷是否有資訊安全軟體提供者的主動保護可用,請造訪由 [Microsoft 主動保護計畫 (MAPP) 合作夥伴](https://technet.microsoft.com/zh-tw/security/dn467918) (英文) 上列出的計畫合作夥伴所提供的主動保護計畫網站。
### 意見反應
- 您可以填寫 Microsoft 技術支援服務表格 ([客戶服務:與我們連絡](https://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech)) 來提供意見反應。
### 支援
- 美國及加拿大地區客戶可洽詢[資訊安全支援](https://support.microsoft.com/zh-tw/gp/gp_security_main)以取得技術支援。如需更多資訊,請參閱[Microsoft 說明及支援](https://support.microsoft.com/zh-tw)。
- 不同國家的客戶,可以從當地的 Microsoft 分公司取得支援。如需更多資訊,請參閱[國際支援](https://support2.microsoft.com/zh-tw/common/international.aspx)。
- [Microsoft TechNet 資訊安全](https://technet.microsoft.com/zh-tw/security/default.aspx)網站提供了有關 Microsoft 產品資訊安全的其他資訊。
### 免責聲明
本摘要報告中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
### 修訂
- V1.0 (2014 年 5 月 13 日): 摘要報告發行。
- V2.0 (2014 年 7 月 8日): 重新發行此摘要報告,是為了宣佈發行 2973351 和 2919355 更新,針對受限制的系統管理設定提供更進一步的控制。視系統安裝的軟體而定,客戶應立即套用 2973351 或 2919355 更新。請參閱<此摘要報告的相關更新>和>摘要報告常見問題集>,以瞭解詳細資料。
- V3.0 (2014 年 9 月 9 日): 重新發行此摘要報告,是為了宣佈發行 2982378 更新,該更新可於使用者登入 Windows 7 或 Windows Server 2008 R2 系統時,為使用者的認證提供額外的防護。請參閱<此摘要報告的相關更新>以瞭解詳細資料。
- V4.0 (2014 年 10 月 14 日): 重新發行此摘要報告,是為了宣佈發行可於登入遠端主機伺服器時為使用者認證提供額外防護的更新。請參閱<此摘要報告的相關更新>和>摘要報告常見問題集>,以瞭解詳細資料。
- V5.0 (2016 年 2 月 9 日):重新發行摘要報告,宣佈發行更新 3126593,以預設啟用「認證資訊安全支援提供者 (CredSSP)」受限制的系統管理模式。請參閱**<此摘要報告的相關更新>**以瞭解詳細資料。
*頁面產生時間:2014-10-09 15:32Z-07:00。*