Microsoft 安全咨询2871997
更新以改进凭据保护和管理
发布时间:2014 年 5 月 13 日 |更新时间:2016 年 2 月 9 日
版本: 5.0
常规信息
执行摘要
Microsoft 宣布推出支持版本的 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的更新,可改进凭据保护和域身份验证控制,以减少凭据被盗。
与此公告相关的汇报
建议。 Microsoft 建议客户使用更新管理软件立即应用这些更新,或使用 Microsoft 更新 服务检查更新。 可以按任何顺序安装这些更新。
- 2014 年 5 月 13 日,Microsoft 发布了适用于受支持的 Windows 8、Windows RT、Windows Server 2012、Windows 7 和 Windows Server 2008 R2 版本的2871997更新,该更新改进了凭据保护和域身份验证控制,以减少凭据被盗。 此更新为本地安全机构 (LSA) 提供额外的保护,为凭据安全支持提供程序 (CredSSP) 添加了受限管理模式,引入了对受保护的帐户受限域用户类别的支持,并强制实施更严格的身份验证策略,以客户端身份对 Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012 计算机实施更严格的身份验证策略。 有关此更新的详细信息(包括下载链接),请参阅 Microsoft 知识库文章2871997。
注意
注意支持的 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 版本已包含这些功能,不需要2871997更新。
- 2014 年 7 月 8 日,Microsoft 发布了适用于支持版本的 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 的2973351更新,以及安装了 2919355 (Windows 8.1 Update) 更新的 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 版本。 Microsoft 为未安装 2919355 (Windows 8.1 Update) 更新的受支持版本的 Windows 8.1 和 Windows Server 2012 R2 发布了2975625更新。 此更新提供了可配置的注册表设置,用于管理凭据安全支持提供程序 (CredSSP) 的受限管理员模式。 有关此更新的详细信息(包括下载链接),请参阅 Microsoft 知识库文章2973351 和 Microsoft 知识库文章2975625。
注意
注意。 此更新更改了 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的默认受限管理员模式功能。 有关详细信息,请参阅 咨询常见问题解答 部分。
2014 年 9 月 9 日,Microsoft 发布了 Windows 7 和 Windows Server 2008 R2 受支持版本的2982378更新。 此更新通过确保凭据立即清理而不是等待 Kerberos TGT (票证授予票证) ,为登录到 Windows 7 或 Windows Server 2008 R2 系统的用户凭据添加了额外的保护。 有关此更新的详细信息(包括下载链接),请参阅 Microsoft 知识库文章2982378。
2014 年 10 月 14 日,Microsoft 发布了以下更新。 适用的更新为远程桌面连接和远程桌面协议添加了受限管理模式:
- 适用于 Windows 7 和 Windows Server 2008 R2 支持版本的2984972
- 2984976适用于安装了远程桌面 协议 (RDP) 8.0 更新2592687 (Windows 7 和 Windows Server 2008 R2 的受支持版本) 。 安装更新2984976的客户还必须安装更新2984972。
- 2984981适用于安装了远程桌面 连接 (RDC) 8.1 客户端更新 2830477 () 的 Windows 7 和 Windows Server 2008 R2 的受支持版本。 安装更新2984981的客户还必须安装更新2984972。
- 2973501支持版本的 Windows 8、Windows Server 2012 和 Windows RT。
注意
注意支持的 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 版本已包含此功能,不需要此更新。
- 2016 年 2 月 9 日,Microsoft 发布了 Windows 7、Windows Server 2008 R2、Windows 8、Windows RT 和 Windows Server 2012 支持版本的更新3126593。 默认情况下,此更新为凭据安全支持提供程序启用受限管理员模式, (CredSSP) 。 此功能将在注销后强制清除用户登录会话。 有关此更新的详细信息,请参阅 Microsoft 知识库文章2973351。
适用的软件
此公告讨论以下软件。
| 操作系统 |
|---|
| Windows 7 for 32 位系统 Service Pack 1 |
| Windows 7 for 基于 x64 的系统 Service Pack 1 |
| Windows Server 2008 R2 for x64 系统 Service Pack 1 |
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 |
| 适用于 32 位系统的 Windows 8 |
| Windows 8(适用于基于 x64 的系统) |
| 适用于 32 位系统的Windows 8.1 |
| 适用于基于 x64 的系统Windows 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Windows RT |
| Windows RT 8.1 |
| 服务器核心安装选项 |
| Windows Server 2008 R2 for x64 系统 Service Pack 1 (Server Core 安装) |
| Windows Server 2012 (Server Core 安装) |
| Windows Server 2012 R2 (Server Core 安装) |
咨询常见问题解答
咨询的范围是什么?
此公告的目的是通知客户,更新适用于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1,这些更新为凭据提供额外保护和管理。
哪些系统主要面临凭据被盗的风险?
部署 Windows 域的企业环境主要面临风险。 如果管理员允许用户登录服务器并运行程序,则服务器可能面临更大的风险。 但是,最佳做法强烈建议不要允许这样做。
对于更新2973351和更新2975625功能是否有任何更改?
是的。 受限管理员模式的默认行为在 Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 上已更改。 默认情况下,受限管理员模式现已关闭;如果要使用此功能,则需要在安装更新2973351或2975625后重新启用它。 以前,默认启用受限管理员模式。 有关如何启用受限管理员模式的信息,请参阅 Microsoft 知识库文章2973351或 Microsoft 知识库文章2975625。
更新2973351不会更改受支持的 Windows 7、Windows Server 2008 R2、Windows 8、Windows 2012 或 Windows RT 版本的默认行为。 默认情况下,这些操作系统的受限管理员模式处于关闭状态。
更新2973351还是2975625替换更新2871997?
否。 安装更新2973351或2975625需要更新2871997。 这些更新为安装更新2871997时添加的受限管理员模式提供可配置的注册表设置。
Windows 8.1 和 Windows Server 2012 R2 列出了多个更新。 是否需要安装所有更新?
否。 根据系统接收更新的配置方式,Windows 8.1或 Windows Server 2012 R2 仅应用其中一个更新。
对于运行 Windows 8.1 或 Windows Server 2012 R2 的系统:
更新2973351适用于已安装 2919355 (Windows 8.1 Update) 更新的系统。
更新2975625适用于未安装2919355更新的系统。 请注意,2975625更新仅适用于使用 Windows Server Update Services (WSUS) 、Windows Intune 或 System Center Configuration Manager 管理更新的客户。
对于Windows 8.1、Windows Server 2012 R2 或 Window RT 8.1,2973351更新是否有任何先决条件?
是的。 运行 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1 的客户必须先安装 2014 年 4 月发布的 2919355 (Windows 8.1 更新) 更新,然后才能安装2973351更新。 有关先决条件更新的详细信息,请参阅 Microsoft 知识库文章2919355。
是否需要安装已针对此公告发布的所有安全更新?
是的。 客户应应用为其系统上安装的软件提供的所有更新,以获取所有凭据保护功能。
预期的部署方案是什么?
虽然这些更改将改进所有系统上的凭据保护,但它们在部署了 Windows 域的企业环境中最有用。 其中一些更改依赖于基于 Windows Server 2012 R2 的域中提供的功能,其他更改在所有企业环境中都很有用。
什么是本地安全机构子系统服务 (LSASS) ?
本地安全机构子系统服务 (LSASS) 提供用于管理本地安全性、域身份验证和 Active Directory 进程的接口。 它处理客户端和服务器的身份验证。 它还包含用于支持 Active Directory 实用工具的功能。
什么是本地安全机构 (LSA) ?
本地安全机构 (LSA) 包含在本地安全机构安全服务 (LSASS) 进程中,它可以验证用户的本地和远程登录,并且可以强制执行本地安全策略。
此更新的作用是什么?
此更新通过改进四个方面来增强凭据保护和域身份验证控制,以减少凭据被盗:
凭据安全支持提供程序 (CredSSP) 的受限管理员模式
可以将应用程序编写为使用此更改,以便连接到远程服务器,而无需将凭据传输到主机服务器。 这可以防止凭据在初始连接期间被截获(如果服务器已泄露)。
如果主机验证连接到它的用户帐户具有管理员权限且支持受限管理模式,则连接已成功。 否则,连接尝试失败。 受限管理模式从不将纯文本或其他可重用形式的凭据发送给远程计算机。
可以将两个注册表项设置配置为管理受限管理员模式。 DisableRestrictedAdmin 键用于启用或禁用受限管理员模式。 如果启用了受限管理员模式,则 DisableRestrictedAdminOutboundCreds 用于启用或禁用使用具有受限管理员模式的远程桌面连接到系统的用户使用本地计算机帐户自动对远程资源进行身份验证的功能。
LSA 中的凭据清理
此功能可减少 LSA 中域凭据的攻击面。 此功能的更改包括:防止使用本地帐户进行网络登录和远程交互式登录到已加入域的计算机,将登录凭据缓存限制为登录生存期,限制 Kerberos/NTLM/Digest/CredSSP 提供的凭据缓存,限制 Kerberos 缓存纯文本密码,除非凭据委派策略允许,否则不要在 CredSSP 中缓存登录凭据,以及限制使用摘要登录凭据。
受保护的用户安全组
此功能添加了对 Windows 8.1 和 Windows Server 2012 R2 中引入的受保护用户安全组的支持。 此支持适用于基于 Windows Server 2012 R2 的域中的域成员计算机。
受保护的用户组的成员将受到以下身份限制方法的进一步限制:
- 受保护的用户组成员仅可通过 Kerberos 协议进行登录。 该帐户无法使用 NTLM、摘要式身份验证或 CredSSP 进行身份验证。 在运行 Windows 8 的设备上,不会缓存密码,因此,当帐户是受保护用户组的成员时,使用这些安全支持提供程序 (SSP) 的设备将无法向域进行身份验证。
- Kerberos 协议不会在预身份验证过程中使用不够安全的 DES 或 RC4 加密类型。 这意味着必须将域配置为至少支持 AES 加密套件。
- 无法通过 Kerberos 约束委派或不受约束的委派对用户帐户进行委派。 这意味着,如果用户是受保护的用户组的成员,则之前对其他系统的连接可能会失败。
用于远程桌面连接的受限管理模式
此功能为 Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012 上引入的远程桌面连接和远程桌面协议添加了对受限管理员模式的支持,这些支持是在 Windows 8.1 和 Windows Server 2012 R2 中引入的。
- 受限管理模式提供了一种以交互方式登录到远程主机服务器而无需将凭据传输到该服务器的方法。 这可以防止凭据在初始连接期间被截获(如果服务器已泄露)。
- 在此模式下使用管理员凭据时,远程桌面客户端将尝试以交互方式登录到主机,该主机同样也支持此模式且无需发送凭据。 如果主机验证连接到它的用户帐户具有管理员权限且支持受限管理模式,则连接已成功。 否则,连接尝试失败。 受限管理模式从不将纯文本或其他可重用形式的凭据发送给远程计算机。
- 有关详细信息,请参阅 Windows Server 中远程桌面服务的新增功能。
其他信息
Microsoft 主动保护计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每个每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(例如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站列在 Microsoft Active Protections Program (MAPP) 合作伙伴中。
反馈
- 可以通过填写 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息,请参阅 国际支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品中安全性的其他信息。
免责声明
本公告中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不承担所有明示或默示的担保,包括适销性和针对特定用途的适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商均不对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商已被告知发生此类损害的可能性。 某些州不允许排除或限制后果性或附带损害的责任,因此上述限制可能不适用。
修订
- V1.0 (2014 年 5 月 13 日) :已发布公告。
- V2.0 (2014 年 7 月 8 日) :重新发布公告,宣布发布更新2973351,并2919355提供对受限管理员设置的进一步控制。 根据系统上安装的软件,客户应立即应用2973351或2919355。 有关详细信息,请参阅汇报与此公告和咨询常见问题解答相关。
- V3.0 (2014 年 9 月 9 日) :重新发布公告,宣布发布更新2982378,以便在登录到 Windows 7 或 Windows Server 2008 R2 系统时为用户的凭据提供额外保护。 有关详细信息,请参阅汇报与此公告相关。
- V4.0 (2014 年 10 月 14 日) :重新发布公告,宣布发布更新,在登录到远程主机服务器时为用户的凭据提供额外保护。 有关详细信息,请参阅汇报与此公告和咨询常见问题解答相关。
- V5.0 (2016 年 2 月 9 日) :重新发布公告,宣布发布更新3126593,默认启用凭据安全支持提供程序 (CredSSP) 受限管理员模式。 有关详细信息,请参阅汇报与此公告相关。
页面生成:2016-02-04 14:22Z-08:00。