Защита от атак с использованием криптографического оракула

Исправление уязвимости шифрующего оракула

Этот параметр политики применяется к приложениям, в которых используется компонент CredSSP (например, к приложению "Подключение к удаленному рабочему столу").

Некоторые версии протокола CredSSP уязвимы перед атакой на шифрующего оракула, направленной против клиента. Политика управляет совместимостью с уязвимыми клиентами и серверами и позволяет задавать уровень защиты от атак с использованием криптографического оракула.

Если включить этот параметр политики, поддержка версии CredSSP выбирается на основе следующих параметров:

Принудительно применять обновленные клиенты: клиентские приложения, в которых используется CredSSP, не могут переходить в качестве резервного варианта на небезопасные версии, и службы, где применяется CredSSP, не принимают неисправленные клиенты. Примечание. Этот параметр не следует развертывать, пока новейшую версию не будут поддерживать все удаленные узлы.

Уменьшить риск: клиентские приложения, в которых используется CredSSP, не могут переходить в качестве резервного варианта на небезопасную версию, но службы, где применяется CredSSP, принимают неисправленные клиенты. Важную информацию о риске, который несут оставшиеся неисправленные клиенты, см. в статье по приведенной ниже ссылке.

Оставить уязвимость: клиентские приложения, в которых используется CredSSP, делают удаленные серверы уязвимыми перед атаками, поддерживая переход в качестве резервного варианта на небезопасные версии, и службы, где применяется CredSSP, принимают неисправленные клиенты.

Дополнительную информацию об этой уязвимости и требованиях к обслуживанию, которые нужно выполнить для обеспечения защиты, см. в статье https://go.microsoft.com/fwlink/?linkid=866660

Поддерживается: Не ниже Windows Vista

Уровень защиты:


  1. Принудительно применять обновленные клиенты
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
    Value NameAllowEncryptionOracle
    Value TypeREG_DWORD
    Value0
  2. Уменьшить риск
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
    Value NameAllowEncryptionOracle
    Value TypeREG_DWORD
    Value1
  3. Оставить уязвимость
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
    Value NameAllowEncryptionOracle
    Value TypeREG_DWORD
    Value2


credssp.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)