Поделиться через


Советы по безопасности

Советы по безопасности Майкрософт 973811

Расширенная защита для проверки подлинности

Опубликовано: 11 августа 2009 г. | Обновлено: 08 января 2013 г.

Версия: 1.14

Корпорация Майкрософт объявляет о доступности новой функции расширенной защиты для проверки подлинности на платформе Windows. Эта функция повышает защиту и обработку учетных данных при проверке подлинности сетевых подключений с помощью встроенной проверки подлинности Windows (IWA).

Само обновление не обеспечивает прямую защиту от конкретных атак, таких как перенаправление учетных данных, но позволяет приложениям отказаться от расширенной защиты для проверки подлинности. В этом совете разработчики и системные администраторы содержат сведения об этой новой функции и о том, как ее можно развернуть для защиты учетных данных проверки подлинности.

Смягчающие факторы:

  • Приложения, использующие подписывание сеансов и шифрование (например, удаленный вызов процедур (RPC) с конфиденциальностью и целостностью, или блок сообщений сервера (S МБ) с включенной подписью) не влияют на переадресацию учетных данных.

Общие сведения

Обзор

Назначение рекомендаций. Эта рекомендация была выпущена для того, чтобы сообщить клиентам о выпуске обновления, отличного от системы безопасности, чтобы сделать новую функцию расширенной защиты для проверки подлинности на платформе Windows.

Состояние консультаций: опубликовано консультативное руководство.

Рекомендация. Просмотрите предлагаемые действия и настройте их соответствующим образом.

Ссылки Идентификация
Статья базы знаний Майкрософт Статья базы знаний Майкрософт 973811

Эта рекомендация объявляет о выпуске этой функции для следующих платформ.

Затронутого программного обеспечения
Windows XP с пакетом обновления 2 и Windows XP с пакетом обновления 3\ Windows XP для систем с x64-разрядными системами с пакетом обновления 2 и Windows XP для систем на основе x64 с пакетом обновления 3
Windows Server 2003 с пакетом обновления 2\ windows Server 2003 для систем на основе x64 с пакетом обновления 2\ Windows Server 2003 для систем на основе Itanium и Windows Server 2003 для систем на основе Itanium с пакетом обновления 2 (SP2)
Windows Vista, Windows Vista с пакетом обновления 1 (SP1) и Windows Vista с пакетом обновления 2 (SP2) windows Vista для систем x64, Windows Vista для систем с пакетом обновления 1 (SP1) и Windows Vista для систем на основе x64 с пакетом обновления 2\ (SP2)
Windows Server 2008 для 32-разрядных систем и Windows Server 2008 для 32-разрядных систем с пакетом обновления 2\ Windows Server 2008 для систем на основе x64 и Windows Server 2008 для систем на основе x64 с пакетом обновления 2\ Windows Server 2008 для систем на основе Itanium и Windows Server 2008 для систем на основе Itanium
Не затронутое программное обеспечение
Windows 7 для 32-разрядных систем\ Windows 7 для систем на основе x64
Windows Server 2008 R2 для систем на основе x64\ Windows Server 2008 R2 для систем на основе Itanium

Вопросы и ответы

Что такое область рекомендаций?
Корпорация Майкрософт выпустила эту рекомендацию, чтобы сообщить о выпуске новой функции расширенной защиты для проверки подлинности в качестве обновления SSPI Windows, чтобы помочь в переадресации учетных данных.

Это уязвимость безопасности, требующая от Майкрософт выдачи обновления безопасности?
Нет, это не уязвимость безопасности, требующая от Майкрософт выдачи обновления системы безопасности. Эта функция требует необязательной конфигурации, которую некоторые клиенты могут выбрать для развертывания. Включение этой функции не подходит для всех клиентов. Дополнительные сведения об этой функции и о том, как правильно настроить ее, см. в статье базы знаний Майкрософт 973811. Эта функция уже включена в Windows 7 и Windows Server 2008 R2.

Что такое расширенная защита для проверки подлинности Windows?
Обновление в статье базы знаний Майкрософт 968389 изменяет SSPI, чтобы улучшить способ работы проверка подлинности Windows, чтобы учетные данные не были легко перенаправляются при включении встроенной проверки подлинности Windows (IWA).

Если включена расширенная защита для проверки подлинности, запросы проверки подлинности привязаны как к именам субъектов-служб (SPN) сервера, так и к внешнему каналу TLS, на котором выполняется проверка подлинности IWA. Это базовое обновление, которое позволяет приложениям принять участие в новой функции.

Будущие обновления изменят отдельные системные компоненты, выполняющие проверку подлинности IWA, чтобы компоненты использовали этот механизм защиты. Клиенты должны установить как статью базы знаний Майкрософт 968389 обновление, так и соответствующие обновления для конкретных приложений для клиентских приложений и серверов, на которых должна быть активирована расширенная защита для проверки подлинности. После установки расширенная защита для проверки подлинности управляется клиентом с помощью разделов реестра. На сервере конфигурация зависит от приложения.

Какие другие действия выполняются корпорацией Майкрософт для реализации этой функции?

Изменения необходимо вносить на конкретный сервер и клиентские приложения, использующие встроенную проверку подлинности Windows (IWA), чтобы обеспечить их согласие на эту новую технологию защиты.

Обновления, выпущенные корпорацией Майкрософт 11 августа 2009 г., :

  • Статья базы знаний Майкрософт 968389 реализует расширенную защиту для проверки подлинности в интерфейсе поставщика поддержки Безопасность Windows (SSPI). Это обновление позволяет приложениям использовать расширенную защиту для проверки подлинности.
  • Бюллетень по безопасности Майкрософт MS09-042 также содержит подробное обновление, отличное от безопасности, которое позволяет клиенту и серверу Telnet принять участие в расширенной защите для проверки подлинности.

Обновление, выпущенное корпорацией Майкрософт 13 октября 2009 г., — это:

Обновления, выпущенные корпорацией Майкрософт 8 декабря 2009 г., :

  • Статья базы знаний Майкрософт 971737 содержит обновление, отличное от безопасности, которое позволяет API Windows HTTP Services (WinHTTP) принять участие в расширенной защите для проверки подлинности.
  • Статья 970430 базы знаний Майкрософт содержит обновление, отличное от безопасности, позволяющее стеку протоколов HTTP (http.sys) принять участие в расширенной защите для проверки подлинности.
  • Статья базы знаний Майкрософт 973917 содержит обновление, отличное от системы безопасности, позволяющее службы IIS (IIS) принять участие в расширенной защите для проверки подлинности. Это обновление было повторно выпущено 9 марта 2010 года. Дополнительные сведения см. в статье об известных проблемах в 973917 базы знаний Майкрософт.

Обновления, выпущенные корпорацией Майкрософт 8 июня 2010 г., :

  • Статья базы знаний Майкрософт 982532 содержит обновление, отличное от системы безопасности, которое позволяет платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) в Windows Vista с пакетом обновления 1 (SP1), чтобы включить расширенную защиту для проверки подлинности.
  • Статья базы знаний Майкрософт 982533 содержит обновление, отличное от системы безопасности, которое позволяет платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) в Windows Vista с пакетом обновления 2 (SP2), чтобы включить расширенную защиту для проверки подлинности.
  • Статья базы знаний Майкрософт 982535 содержит обновление, отличное от системы безопасности, которое позволяет платформа .NET Framework 2.0 с пакетом обновления 2 + 3.0 с пакетом обновления 2 (SP2) в Windows Vista с пакетом обновления 1 (SP1), чтобы включить расширенную защиту для проверки подлинности.
  • Статья базы знаний Майкрософт 982536 содержит обновление, отличное от безопасности, которое позволяет платформа .NET Framework 2.0 с пакетом обновления 2 и 3.0 с пакетом обновления 2 в Windows Vista с пакетом обновления 2 для расширенной защиты для проверки подлинности.
  • Статья базы знаний Майкрософт 982167 содержит обновление, которое позволяет платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) в Windows XP и Windows Server 2003, чтобы включить расширенную защиту для проверки подлинности.
  • Статья базы знаний Майкрософт 982168 содержит обновление, которое позволяет платформа .NET Framework 2.0 с пакетом обновления 2 + 3.0 с пакетом обновления 2 (SP2) в Windows XP и Windows Server 2003, чтобы включить расширенную защиту для проверки подлинности.

Обновление, выпущенное корпорацией Майкрософт 14 сентября 2010 г., — это:

Обновление, выпущенное корпорацией Майкрософт 12 октября 2010 г., — это:

  • Статья базы знаний Майкрософт 2345886 содержит обновление, отличное от системы безопасности, позволяющее блокировать сообщения Windows Server (S МБ) для включения расширенной защиты для проверки подлинности.

Обновление, выпущенное корпорацией Майкрософт 29 декабря 2010 г.

  • Новый выпуск портала службы собраний Microsoft® Office Live позволяет поддерживать расширенную защиту для проверки подлинности.

Обновление, выпущенное корпорацией Майкрософт 12 апреля 2011 г.

  • Статья базы знаний Майкрософт 2509470 содержит обновление, отличное от системы безопасности, позволяющее Microsoft Outlook принять участие в расширенной защите для проверки подлинности.

Решения Microsoft Fix it, выпущенные корпорацией Майкрософт 8 января 2013 г., :

  • Статья базы знаний Майкрософт 2793313 содержит решения Microsoft Fix, которые устанавливают системы Windows XP и Windows Server 2003, чтобы разрешить только NTLMv2. Применение этих решений Microsoft Fix позволяет использовать параметры NTLMv2, необходимые для пользователей Windows XP и Windows Server 2003, чтобы воспользоваться преимуществами расширенной защиты для проверки подлинности.

Корпорация Майкрософт планирует расширить охват путем выпуска будущих обновлений, которые будут включать дополнительные серверные и клиентские приложения Майкрософт в эти механизмы защиты. Эти рекомендации по безопасности будут изменены, чтобы содержать обновленные сведения при выпуске таких обновлений.

Как разработчики могут внедрить эту технологию защиты в свои приложения?

Разработчики могут найти дополнительные сведения об использовании технологии расширенной защиты для проверки подлинности в следующей статье MSDN, интегрированной проверке подлинности Windows с расширенной защитой.

Разделы справки включить эту функцию?

На клиенте клиенты должны реализовать следующие параметры раздела реестра.

Подробные инструкции по включению этого раздела реестра см. в статье базы знаний Майкрософт 968389.

  • Задайте для ключа HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection значение 0, чтобы включить технологию защиты. По умолчанию этот ключ имеет значение 1 при установке, отключив защиту.
  • Задайте для ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel значение 3. Это не по умолчанию в Windows XP и Windows Server 2003. Это существующий ключ, который включает проверку подлинности NTLMv2. Расширенная защита для проверка подлинности Windows применяется только к протоколам проверки подлинности NTLMv2 и Kerberos и не применяется к NTLMv1. Дополнительные сведения о применении проверки подлинности NTLMv2 и этом ключе можно найти в статье базы знаний Майкрософт 239869.

На сервере расширенная защита для проверки подлинности должна быть включена на основе каждой службы. В следующем обзоре показано, как включить расширенную защиту для проверки подлинности в общих протоколах, для которых она доступна в настоящее время:

Telnet (КБ 960859)

Для Telnet расширенная защита для проверки подлинности может быть включена на сервере, создав раздел реестра DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection. Значением по умолчанию этого ключа является устаревшая версия. Задайте для ключа одно из следующих значений:

  • Устаревшая версия: при задании значения DWORD значение 0 расширенная защита для проверки подлинности будет отключена на сервере, а подключения, даже обновленные и правильно настроенные клиенты, будут защищены от атак пересылки учетных данных.
  • Разрешить расширенную защиту: задав значение DWORD равным 1, сервер будет защищать эти клиентские компьютеры, настроенные для использования механизма расширенной защиты для проверки подлинности от атак ретрансляции учетных данных. Клиенты, которые не были обновлены и правильно настроены, не будут защищены.
  • Требовать расширенную защиту: задав значение DWORD равным 2, сервер потребует от клиентов поддерживать расширенную защиту для проверки подлинности или в противном случае отклонить проверку подлинности. Клиенты, которые не имеют расширенной защиты, не будут проходить проверку подлинности на сервере.

Подробные инструкции по созданию этого раздела реестра можно найти в статье базы знаний Майкрософт 960859.

службы IIS (КБ 973917)

Для службы IIS расширенная защита для проверки подлинности может быть включена на сервере с помощью диспетчера конфигурации IIS или путем непосредственного редактирования файла конфигурации ApplicationHost.Config. Подробные сведения о настройке IIS можно найти в статье базы знаний Майкрософт 973917.

Что следует учитывать при развертывании расширенной защиты для проверки подлинности?

Клиенты должны установить обновление, содержащееся в статье базы знаний Майкрософт 968389, установить соответствующие обновления приложений на клиентских и серверных компьютерах, а также правильно настроить оба компьютера для использования механизма защиты от атак пересылки учетных данных.

Если расширенная защита для проверки подлинности включена на стороне клиента, она включена для всех приложений с помощью IWA. Однако на сервере его необходимо включить на основе каждого приложения.

Почему это не обновление системы безопасности, объявленное в бюллетене по безопасности?
Это обновление реализует новую функцию, которая может быть не подходит для всех клиентов для включения. Он предоставляет дополнительную функцию безопасности, которую клиенты могут выбрать для развертывания в зависимости от конкретного сценария.

Это рекомендации по безопасности для обновления, отличного от системы безопасности. Разве это не противоречие?
Рекомендации по безопасности устраняют изменения безопасности, которые могут не требовать бюллетеня по безопасности, но по-прежнему могут повлиять на общую безопасность клиента. Советы по безопасности — это способ связи корпорации Майкрософт с информацией, связанной с безопасностью, для клиентов о проблемах, которые не могут быть классифицированы как уязвимости и могут не требовать бюллетеня по безопасности или о проблемах, для которых не был выпущен бюллетень по безопасности. В этом случае мы сообщаем о доступности обновления, которое не устраняет определенную уязвимость безопасности; скорее, он отвечает за общую безопасность.

Как предлагается это обновление?
Эти обновления доступны в Центре загрузки Майкрософт. Прямые ссылки на обновления для конкретного затронутого программного обеспечения перечислены в таблице "Затронутые программы" в разделе "Обзор". Дополнительные сведения об обновлении и изменениях поведения см. в статье базы знаний Майкрософт 968389.

Распространяется ли это обновление при автоматическом обновлении?
Да. Эти обновления распределяются по механизму автоматического обновления.

Какие версии Windows связаны с этим советом?
Эта функция доступна для всех платформ, перечисленных в сводке по затронутого программного обеспечения. Эта функция присутствует во всех выпусках Windows 7 и Windows Server 2008 R2.

Известно ли майкрософт о подробных сведениях и средствах для атак на NTLMv1 (NT LAN Manager версии 1) и сетевой проверки подлинности диспетчера локальной сети (LM)?
Да. Корпорация Майкрософт знает о подробных сведениях и средствах для атак на NTLMv1 (NT LAN Manager версии 1) и сетевой проверки подлинности диспетчера локальной сети (LM). Усовершенствования в алгоритмах оборудования компьютера и программного обеспечения сделали эти протоколы уязвимыми к широко опубликованным атакам для получения паролей пользователей. Сведения и доступные наборы инструментов специально предназначены для целевых сред, которые не применяют проверку подлинности NTLMv2.

Подробные сведения об угрозах и счетчиках для безопасности сети Windows и уровне проверки подлинности LAN Manager доступны в Microsoft TechNet в руководстве по угрозам и счетчикам.

Корпорация Майкрософт настоятельно рекомендует клиентам оценивать свои среды и обновлять параметры проверки подлинности сети. Корпорация Майкрософт рекомендует реализовать NTLMv2 и реализовать параметры для уменьшения или устранения использования сетевой проверки подлинности NTLMv1 и LM.

Предлагаемые действия

  • Ознакомьтесь со статьей базы знаний Майкрософт, связанной с этим рекомендацией
    Клиенты, заинтересованные в изучении этой функции, должны ознакомиться со статьей базы знаний Майкрософт 973811.

  • Применение и включение обновлений, не относящихся к безопасности, перечисленных в этом руководстве по безопасности
    Клиенты должны ознакомиться со списком обновлений, не относящихся к безопасности и безопасности, выпущенных корпорацией Майкрософт в рамках этого обновления безопасности, а также, где это необходимо, реализовать и настроить эти механизмы. Список доступных обновлений можно найти в разделе "Какие другие действия майкрософт принимает для реализации этой функции?" В разделе "Часто задаваемые вопросы" этого рекомендации.

  • Применение решений Microsoft Fix it, описанных в статье базы знаний Майкрософт 2793313
    Корпорация Майкрософт рекомендует использовать только среды с Windows XP и Windows Server 2003, разрешающие только NTLMv2. Это можно сделать, установив для локального диспетчера подлинности уровень проверки подлинности 3 или более поздней версии. Дополнительные сведения см. в статье базы знаний Майкрософт 2793313 и использовании автоматизированных решений Microsoft Fix , которые задают эти системы, чтобы разрешить только NTLMv2. Применение этих решений Microsoft Fix также позволяет использовать параметры NTLMv2, необходимые пользователям для использования расширенной защиты для проверки подлинности.

  • Защита компьютера
    Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Клиенты могут узнать больше об этих шагах, перейдя на страницу "Защита компьютера". Для получения дополнительных сведений о безопасности в Интернете клиенты должны посетить Центр безопасности Майкрософт.

  • Сохранение Обновл. Windows
    Все пользователи Windows должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно больше. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Обновл. Windows, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если у вас включена автоматическая Обновления, обновления доставляются вам при их выпуске, но их необходимо установить.

Методы обхода проблемы

Существует ряд обходных решений, которые помогают защитить системы от отражения учетных данных или пересылки учетных данных. Корпорация Майкрософт проверила следующие обходные пути. Хотя эти обходные пути не исправляют базовую уязвимость, они помогают блокировать известные векторы атак. Если обходное решение сокращает функциональные возможности, оно определяется в следующем разделе.

Включение подписывания SMB

Включение S МБ подписывания на сервере предотвращает доступ злоумышленника к серверу в контексте пользователя, вошедшего в систему. Это помогает защитить учетные данные, перенаправляемые в службу S МБ. Корпорация Майкрософт рекомендует использовать групповые политики для настройки подписи S МБ.

Подробные инструкции по использованию групповых политик для включения и отключения подписывания S МБ для Microsoft Windows 2000, Windows XP и Windows Server 2003 см. в статье базы знаний Майкрософт 887429. Инструкции в статье базы знаний Майкрософт 887429 для Windows XP и Windows Server 2003 также применяются к Windows Vista и Windows Server 2008.

Влияние обходного решения. Использование подписывания пакетов S МБ может снизить производительность с помощью S МБ v1 в транзакциях службы файлов. Компьютеры с этим набором политик не будут взаимодействовать с компьютерами, которые не имеют подписывания пакетов на стороне клиента. Дополнительные сведения о подписи S МБ и потенциальных последствиях см. в статье MSDN "Сетевой сервер Майкрософт: обмен данными с цифровой подписью (всегда)".

Другие сведения

Благодарности

Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:

  • Марк Gamache T-Mobile США для работы с нами для защиты клиентов от атак NTLMv1 (NT LAN Manager версии 1) и сетевой проверки подлинности lan Manager (LM)

Ресурсы

Заявление об отказе

Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

  • Версия 1.0 (11 августа 2009 г.): рекомендации, опубликованные.
  • Версия 1.1 (14 октября 2009 г.): обновлены вопросы и ответы с информацией о обновлении, отличном от системы безопасности, включенной в MS09-054, относящейся к WinINET.
  • Версия 1.2 (8 декабря 2009 г.): обновлены вопросы и ответы о трех небезопасных обновлениях, связанных со службами Windows HTTP, стеком протокола HTTP и службы IIS.
  • Версия 1.3 (9 марта 2010 г.): обновлены вопросы и ответы, чтобы сообщить о повторном выпуске обновления, которое позволяет службы IIS принять участие в расширенной защите для проверки подлинности. Дополнительные сведения см. в статье об известных проблемах в 973917 базы знаний Майкрософт.
  • Версия 1.4 (14 апреля 2010 г.): обновлен раздел предлагаемых действий , чтобы направить клиентов на запись "Какие другие действия майкрософт принимает для реализации этой функции?" в разделе " Часто задаваемые вопросы".
  • Версия 1.5 (8 июня 2010 г.): обновлены вопросы и ответы о шести обновлениях, не относящихся к безопасности, что позволяет платформа .NET Framework принять участие в расширенной защите для проверки подлинности.
  • Версия 1.6 (14 сентября 2010 г.): обновлены вопросы и ответы о обновлении, отличном от системы безопасности, что позволяет Outlook Express и Windows Mail принять участие в расширенной защите для проверки подлинности.
  • Версия 1.7 (12 октября 2010 г.): обновлены вопросы и ответы с информацией о обновлении, отличном от системы безопасности, включающей блокировку сообщений Windows Server (S МБ), чтобы включить расширенную защиту для проверки подлинности.
  • Версия 1.8 (14 декабря 2010 г.): обновлены вопросы и ответы о обновлении, отличном от системы безопасности, что позволяет Microsoft Outlook принять участие в расширенной защите для проверки подлинности.
  • Версия 1.9 (17 декабря 2010 г.): удалена запись часто задаваемых вопросов, первоначально добавленная 14 декабря 2010 г., о обновлении, отличном от безопасности, что позволяет Microsoft Outlook принять участие в расширенной защите для проверки подлинности.
  • Версия 1.10 (11 января 2011 г.): обновлены вопросы и ответы о новом выпуске, позволяющем Microsoft® Office Live портале службы собраний принять участие в расширенной защите для проверки подлинности.
  • Версия 1.11 (12 января 2011 г.): исправлена ссылка на заметки о выпуске для портала службы собраний Microsoft® Office Live на странице часто задаваемых вопросов.
  • Версия 1.12 (12 апреля 2011 г.): обновлены вопросы и ответы о обновлении, отличном от системы безопасности, что позволяет Microsoft Outlook принять участие в расширенной защите для проверки подлинности.
  • Версия 1.13 (31 октября 2012 г.): исправлены смягчающие факторы.
  • Версия 1.14 (8 января 2013 г.): обновлены часто задаваемые вопросы и предлагаемые действия с информацией о атаках на NTLMv1 (NT LAN Manager версии 1) и сетевой проверки подлинности lan Manager (LM). Microsoft Fix it solutions for Windows XP и Windows Server 2003 доступны для защиты от этих атак. Применение этих решений Microsoft Fix позволяет параметрам NTLMv2, необходимым для пользователей использовать расширенную защиту для проверки подлинности.

Построено в 2014-04-18T13:49:36Z-07:00