Советы по безопасности Майкрософт 2871997

Обновление для улучшения защиты учетных данных и управления

Опубликовано: 13 мая 2014 г. | Обновлено: 9 февраля 2016 г.

Версия: 5.0

Общие сведения

Краткий обзор

Корпорация Майкрософт объявляет о доступности обновлений для поддерживаемых выпусков Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1, которые улучшают защиту учетных данных и элементы управления проверкой подлинности домена для уменьшения кражи учетных данных.

Рекомендация. Корпорация Майкрософт рекомендует клиентам немедленно применять эти обновления с помощью программного обеспечения управления обновлениями или проверка для обновлений с помощью службы центра обновления Майкрософт. Эти обновления можно установить в любом порядке.

  • 13 мая 2014 г. корпорация Майкрософт выпустила обновление 2871997 для поддерживаемых выпусков Windows 8, Windows RT, Windows Server 2012, Windows 7 и Windows Server 2008 R2, которые повышают защиту учетных данных и элементы управления проверкой подлинности домена для уменьшения кражи учетных данных. Это обновление обеспечивает дополнительную защиту для локального центра безопасности (LSA), добавляет ограниченный режим администрирования для поставщика поддержки безопасности учетных данных (CredSSP), предоставляет поддержку категории пользователей домена с ограниченным доступом к защищенной учетной записи и применяет более строгие политики проверки подлинности для Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012 в качестве клиентов. Дополнительные сведения об этом обновлении, включая ссылки на скачивание, см. в статье базы знаний Майкрософт 2871997.

Примечание.

Обратите внимание , что поддерживаемые выпуски Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1 уже включают эти функции и не нуждаются в обновлении 2871997.

  • 8 июля 2014 г. корпорация Майкрософт выпустила 2973351 обновление для поддерживаемых выпусков Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 и Windows RT, а также для поддерживаемых выпусков Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1 с установленным обновлением 2919355 (Windows 8.1 с обновлением). Корпорация Майкрософт выпустила обновление 2975625 для поддерживаемых выпусков Windows 8.1 и Windows Server 2012 R2, не имеющих установленного обновления 2919355 (Windows 8.1 с обновлением). Обновление предоставляет настраиваемые параметры реестра для управления режимом ограниченного Администратор для поставщика поддержки безопасности учетных данных (CredSSP). Дополнительные сведения об этом обновлении, включая ссылки на скачивание, см. в статье 2973351 базы знаний Майкрософт и 2975625 базы знаний Майкрософт.

Примечание.

Примечание. Обновление изменяет функциональные возможности режима ограниченного Администратор для Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1. Дополнительные сведения см. в разделе "Вопросы и ответы о рекомендациях".

  • 9 сентября 2014 г. корпорация Майкрософт выпустила обновление 2982378 для поддерживаемых выпусков Windows 7 и Windows Server 2008 R2. Обновление добавляет дополнительную защиту учетных данных пользователей при входе в систему Windows 7 или Windows Server 2008 R2, гарантируя, что учетные данные очищаются немедленно, а не дожидаются получения билета Kerberos TGT (билет на предоставление билетов). Дополнительные сведения об этом обновлении, включая ссылки на скачивание, см. в статье базы знаний Майкрософт 2982378.

     

  • 14 октября 2014 г. корпорация Майкрософт выпустила следующие обновления. Применимые обновления добавляют ограниченный режим администрирования для протокола удаленного рабочего стола Подключение и удаленного рабочего стола:

    • 2984972 для поддерживаемых выпусков Windows 7 и Windows Server 2008 R2
    • 2984976 для поддерживаемых выпусков Windows 7 и Windows Server 2008 R2 с установленным обновлением 2592687 (обновление протокола удаленного рабочего стола (RDP) 8.0. Клиенты, устанавливающие обновление 2984976, также должны устанавливать 2984972 обновлений.
    • 2984981 для поддерживаемых выпусков Windows 7 и Windows Server 2008 R2 с установленным обновлением 2830477 (обновление Подключение удаленного рабочего стола (RDC) 8.1. Клиенты, устанавливающие обновления 2984981, также должны устанавливать 2984972 обновлений.
    • 2973501 для поддерживаемых выпусков Windows 8, Windows Server 2012 и Windows RT.

Примечание.

Обратите внимание , что поддерживаемые выпуски Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1 уже включают эту функцию и не нуждаются в этом обновлении.

  • 9 февраля 2016 г. корпорация Майкрософт выпустила обновление 3126593 для поддерживаемых выпусков Windows 7, Windows Server 2008 R2, Windows 8, Windows RT и Windows Server 2012. Обновление включает режим ограниченного Администратор для поставщика поддержки безопасности учетных данных (CredSSP) по умолчанию. Эта функция принудительно очищает сеанс входа пользователя после выхода. Дополнительные сведения об этом обновлении см . в статье базы знаний Майкрософт 2973351.

Применимое программное обеспечение

В этом руководстве рассматривается следующее программное обеспечение.

Операционная система
Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1)
Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1)
Windows 8 для 32-разрядных систем
Windows 8 для систем на основе x64
Windows 8.1 для 32-разрядных систем
Windows 8.1 для систем на основе x64
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Вариант установки основных серверных компонентов
Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов)
Windows Server 2012 (установка основных серверных компонентов)
Windows Server 2012 R2 (установка основных серверных компонентов)

 

Вопросы и ответы о рекомендациях

Что такое область рекомендаций? 
Эта рекомендация предназначена для уведомления клиентов о том, что обновления доступны для Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1, которые обеспечивают дополнительную защиту и управление учетными данными.

Какие системы в первую очередь рискуют от кражи учетных данных? 
Корпоративные среды, в которых развернуты домены Windows, в основном подвержены риску. Серверы могут быть подвержены большему риску, если администраторы позволяют пользователям входить на серверы и запускать программы. Однако рекомендации настоятельно препятствуют этому.

Для обновления 2973351 и обновления 2975625 есть какие-либо изменения в функциональных возможностях?
Да. Поведение по умолчанию для режима ограниченного Администратор изменилось в Windows 8.1, Windows Server 2012 R2 и Windows RT 8.1. Режим ограниченной Администратор теперь отключен по умолчанию. Если вы хотите использовать эту функцию, необходимо повторно включить его после установки обновления 2973351 или 2975625. Ранее режим ограниченной Администратор был включен по умолчанию. Сведения о том, как включить режим ограниченной Администратор, см. в статье базы знаний Майкрософт 2973351 или статье базы знаний Майкрософт 2975625.

Обновление 2973351 не изменяет поведение по умолчанию в поддерживаемых выпусках Windows 7, Windows Server 2008 R2, Windows 8, Windows 2012 или Windows RT. Режим ограниченного Администратор отключен по умолчанию для этих операционных систем.

Заменяют ли обновления 2973351 или 2975625 обновления 2871997? 
№ Обновление 2871997 требуется для установки 2973351 обновления или 2975625. Эти обновления предоставляют настраиваемые параметры реестра для режима ограниченного Администратор, добавленного при установке обновления 2871997.

Существует несколько обновлений для Windows 8.1 и Windows Server 2012 R2. Нужно ли установить все обновления? 
№ В зависимости от того, как ваша система настроена на получение обновлений, применяется только одно из обновлений для Windows 8.1 или Windows Server 2012 R2.

Для систем под управлением Windows 8.1 или Windows Server 2012 R2:

Обновление 2973351 предназначено для систем, у которых уже установлено обновление 2919355 (Windows 8.1 с обновлением).

Обновление 2975625 предназначено для систем без установки обновления 2919355. Обратите внимание, что 2975625 обновления, доступные только для клиентов, управляющих обновлениями с помощью служб windows Server Update Services (WSUS), Windows Intune или System Center Configuration Manager.

Для Windows 8.1, Windows Server 2012 R2 или Window RT 8.1 необходимы для обновления 2973351?
Да. Клиенты под управлением Windows 8.1, Windows Server 2012 R2 или Windows RT 8.1 должны сначала установить обновление 2919355 (Windows 8.1 с обновлением), выпущенное в апреле 2014 г. перед установкой обновления 2973351. Дополнительные сведения о необходимых обновлениях см. в статье базы знаний Майкрософт 2919355.

Необходимо ли установить все обновления системы безопасности, выпущенные для этих рекомендаций? 
Да. Клиенты должны применять все обновления, предлагаемые для программного обеспечения, установленного в системе, чтобы получить все функции защиты учетных данных.

Каковы ожидаемые сценарии развертывания?
Хотя эти изменения улучшают защиту учетных данных во всех системах, которые наиболее полезны в корпоративной среде, в которой развертываются домены Windows. Некоторые из этих изменений зависят от функций, доступных в домене windows Server 2012 R2, а другие изменения полезны во всех корпоративных средах.

Что такое служба подсистемы локального центра безопасности (LSASS)?
Служба подсистемы локального центра безопасности (LSASS) предоставляет интерфейс для управления локальными процессами безопасности, проверки подлинности домена и Active Directory. Он обрабатывает проверку подлинности для клиента и сервера. Он также содержит функции, которые используются для поддержки служебных программ Active Directory.

Что такое локальный центр безопасности (LSA)?
Локальная система безопасности (LSA), входящая в службу LSASS, проверяет пользователей во время локального и удаленного входа и применяет локальные политики безопасности.

Что делает это обновление? 
Это обновление повышает защиту учетных данных и элементы управления проверкой подлинности домена, чтобы сократить кражу учетных данных, сделав улучшения в четырех областях:

  • Ограниченный режим Администратор для поставщика поддержки безопасности учетных данных (CredSSP)

    Приложения можно записать для использования этого изменения, чтобы подключиться к удаленному серверу без передачи учетных данных на главный сервер. В случае взлома сервера это предотвращает раскрытие учетных данных при изначальном подключении.

    После успешной проверки прав администратора и поддержки ограниченного административного режима для учетной записи подключающегося пользователя происходит установка соединения. В противном случае попытка подключения терпит неудачу. При использовании ограниченного административного режима ни при каких условиях не происходит отправка на удаленные компьютеры учетных данных в виде обычного текста или в других доступных для использования формах.

    Для управления режимом ограниченного Администратор можно настроить два параметра раздела реестра. Ключ DisableRestricted Администратор используется для включения или отключения режима ограниченного Администратор. Если включен режим ограниченного Администратор, параметр DisableRestricted Администратор OutboundCreds используется для включения или отключения возможности для пользователя, подключенного к системе с помощью режима "Ограниченный Администратор", автоматически проверяя подлинность удаленных ресурсов с помощью учетной записи локального компьютера.

  • Очистка учетных данных в LSA 

    Эта функция уменьшает область атак учетных данных домена в LSA. Изменения этой функции включают в себя: запрет сетевого входа и удаленного интерактивного входа на компьютер, присоединенный к домену, с помощью локальных учетных записей, ограничение времени входа в кэш учетных данных, ограничение времени входа в систему Kerberos/ NTBEROS/Дайджест/CredSSP, ограничение кэша учетных данных Kerberos обычного текстового пароля, не кэшируйте учетные данные входа в CredSSP, если политика делегирования учетных данных учетных данных не разрешает и ограничивает использование учетных данных входа в Дайджест.

  • Группа безопасности защищенных пользователей

    Эта функция добавляет поддержку группы безопасности защищенных пользователей, которая появилась в Windows 8.1 и Windows Server 2012 R2. Эта поддержка применима к компьютерам-членам домена в домене под управлением Windows Server 2012 R2.

    На членов группы "Защищенные пользователи" накладываются ограничения следующих методов проверки подлинности.

    • Члены группы "Защищенные пользователи" могут устанавливать подключение только при помощи протокола Kerberos. Учетная запись не может пройти проверку подлинности с помощью NTLM, дайджест-проверки или CredSSP. На устройстве под управлением Windows 8 пароли не кэшируются, поэтому устройство, использующее любой из этих поставщиков поддержки безопасности (SSPS), не сможет пройти проверку подлинности в домене, когда учетная запись является членом группы защищенных пользователей.
    • Протокол Kerberos не будет использовать более слабые типы шифрования DES или RC4 в процессе предварительной проверки подлинности. Это означает, что домен должен как минимум быть настроен на поддержку наборов шифров AES.
    • Для учетной записи пользователя не может использоваться ограниченное или неограниченное делегирование Kerberos. Это означает, что если компьютер входит в группу "Защищенные пользователи", старые подключения к другим системам могут выйти из строя.
  • Ограниченный режим Администратор для Подключение удаленного рабочего стола

    Эта функция добавляет поддержку ограниченного режима Администратор в удаленный рабочий стол Подключение и протокол удаленного рабочего стола в Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012, представленных в Windows 8.1 и Windows Server 2012 R2.

    • Ограниченный административный режим позволяет устанавливать интерактивное подключение к удаленному серверу без передачи на него своих учетных данных. В случае взлома сервера это предотвращает раскрытие учетных данных при изначальном подключении.
    • Используя этот режим для защиты учетных данных администратора, клиент удаленного рабочего стола предпринимает попытку интерактивного подключения к главному компьютеру, также поддерживающему этот режим. После успешной проверки прав администратора и поддержки ограниченного административного режима для учетной записи подключающегося пользователя происходит установка соединения. В противном случае попытка подключения терпит неудачу. При использовании ограниченного административного режима ни при каких условиях не происходит отправка на удаленные компьютеры учетных данных в виде обычного текста или в других доступных для использования формах.
    • Дополнительные сведения см. в статье "Новые возможности служб удаленных рабочих столов" в Windows Server.

Другие сведения

Программа Microsoft Active Protections (MAPP)

Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).

Feedback

  • Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.

Поддержка

  • Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения см. в справке и поддержке Майкрософт.
  • Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения см. в статье "Международная поддержка".
  • Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.

Заявление об отказе

Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

  • Версия 1.0 (13 мая 2014 г.): рекомендации, опубликованные.
  • Версия 2.0 (8 июля 2014 г.): повторное объявление о выпуске обновлений 2973351 и 2919355, чтобы обеспечить дальнейший контроль над параметрами ограниченного Администратор. В зависимости от программного обеспечения, установленного в своей системе, клиенты должны немедленно применять 2973351 или 2919355. Дополнительные сведения см. в разделе Обновления, связанные с этим консультативным и консультативным вопросами.
  • Версия 3.0 (9 сентября 2014 г.): повторное объявление о выпуске обновления 2982378, чтобы обеспечить дополнительную защиту учетных данных пользователей при входе в систему Windows 7 или Windows Server 2008 R2. Дополнительные сведения см. в Обновления этой рекомендации.
  • Версия 4.0 (14 октября 2014 г.): повторно озвучили рекомендации по выпуску обновлений, которые обеспечивают дополнительную защиту учетных данных пользователей при входе на удаленный сервер узлов. Дополнительные сведения см. в разделе Обновления, связанные с этим консультативным и консультативным вопросами.
  • Версия 5.0 (9 февраля 2016 г.): повторное объявление о выпуске обновления 3126593, чтобы включить режим ограниченной Администратор для поставщика поддержки безопасности учетных данных (CredSSP) по умолчанию. Дополнительные сведения см. в Обновления этой рекомендации.

Страница создана 2016-02-04 14:22Z-08:00.