Телекоммуникационные услуги Облачные сервисы Информационная безопасность Клиентам Onlinebank Smartcloud
Техническая поддержка IaaS Инфраструктурные решения
Аналитика Контакты Профиль
5151 Бесплатно с мобильного по РК info@kazteleport.kz +7 727 364 5151 Международные звонки
5151 Бесплатно с мобильного по РК
+7 727 364 5151 Международные звонки
Блог

Как поддерживать безопасность учетных данных: CredSSP — эффективное решение от провайдера

23.06.2023

CredSSP — это протокол безопасности, разработанный инженерами компании Microsoft, который на сегодняшний день доступен в операционных системах Windows и используется развернутым на платформе программным обеспечением для того, чтобы безопасно послать предоставленные учетные данные с клиентского оборудования на конечный сервер. Примером такого взаимодействия может послужить сервер терминалов Microsoft, который для успешной аутентификации и последующего установления сеанса служб терминалов использует данный протокол для обеспечения безопасной доставки данных с личной информацией клиента, в том числе pin-кодом смарт-карты или личным паролем, на сервер.

pasted image 0 (11).png

Служба CredSSP является составной, так как ее работа основана на использовании ранее установленных соглашений о безопасности. Первый этап в алгоритме передачи данных заключается в установке зашифрованного канала связи между сервером и клиентом, который опирается на стандартизованный протокол TLS. В момент установления соединения сервер может не обладать никакой информацией о пользователе.

В дальнейшем установленный на первом этапе канал связи используется для обмена информационными сообщениями. Для проведения аутентификации участников соединения в действующем сеансе TLS используется механизм SPNEGO, который характеризуется своей универсальностью, простотой и высоким уровнем защищенности.

С технической точки зрения, работа данного механизма заключается в предоставлении платформы участникам сеанса связи, которая открывает список возможных вариантов распознавания подлинности предоставленной информации для аутентификации. При выборе одного из вариантов, для использующего SPNEGO прикладного протокола сохраняется непрозрачность протоколов безопасности. В описанной модели CredSSP выступает в роли протокола программного обеспечения, использующего более фундаментальное соглашение SPNEGO.

После положительного выполнения процесса аутентификации на основе механизма GSS-API наступает следующий этап — привязка к TLS-сеансу при помощи ключа шифрования, регламентированного в SPNEGO. Данный процесс выглядит следующим образом:

  1. Протокол SPNEGO предоставляет клиенту ключ шифрования, который используется последним для кодирования хэша открытого ключа сервера.

  2. Зашифрованный ключ передается на сторону сервера.

  3. На сервере запускается проверка полученного ключа на предмет соответствия с тем, который был использован в процессе «рукопожатия» TLS. Если проверка пройдена успешно, в обратную сторону направляется подтверждение, зашифрованное аналогичным образом.

  4. При успешном прохождении всего процесса, зашифрованные учетные данные отправляются серверу для дальнейшей обработки.

Дальнейшая транспортировка информации между двумя приложениями осуществляется при помощи протокола CredSSP, для шифрования данных используется протокол TLS. К новым соглашениям, которые вносит в процесс передачи CredSSP можно отнести:

  • формат клиентских учетных данных;

  • привязка CredSSP и GSS-API;

  • инкапсуляция токенов SPNEGO, которые транспортируются по установленному каналу связи TLS.

Исправление шифрования CredSSP: 2 решения

Пять лет назад разработчиками было выпущено CredSSP обновление, которое было призвано улучшить уровень безопасности подключений клиентам серверной и клиентской операционной системы Windows при использовании протокола RDP для установки удаленной связи. После того как библиотеки с обновлениями были установлены системными администраторами, многие из специалистов столкнулись с ошибкой, которая не позволяла разрешить проверку подлинности CredSSP и установить соединения с компьютерами по соглашению удаленного рабочего стола. В сообщении об ошибке указывалось, что основная причина возникшей проблемы заключается в шифровании.

Решение о выпуске обновления было принято специалистами Microsoft после обнаружения уязвимости протокола, по причине которой было возможно удаленно выполнить произвольный программный код, в том числе вредоносный. Проблемы с подключением начались после того, как разработчиками была изменена константа безопасности с Vulnerable на Mitigated. Существует несколько способов исправления ошибки, которые можно отнести как ко временным, так и к рекомендуемым. Рассмотрим некоторые из них.

Отключение CredSSP в панели управления Windows

Данное решение относится к временным. Для его реализации необходимо выполнить следующий алгоритм:

1. Перейти в подменю «Настройки удаленного доступа» и убрать утвердительную отметку с пункта «Разрешить подключение только с компьютеров…»

pasted image 0 (12).png

pasted image 0 (13).png

2. После выполнения описанных действий, машина будет готова к подключению.

Если по какой-либо причине воспользоваться панелью управления не представляется возможным, все действия можно произвести через реестр.

Включение минимального уровня защиты в реестре

Для начала необходимо зайти в реестр, введя в поиске или в панели «Выполнить» команду regedit.exe. Далее необходимо подключить сетевой реестр, как показано на скриншоте:

pasted image 0 (14).png

В результате должна получиться дополнительная директория с двумя ответвлениями. Далее следует перейти в директорию или создать ее, в случае отсутствия.  pasted image 0 (15).png

В директории следует создать файл конфигурации AllowEncryptionOracle и в соответствующем поле установить ему значение, равное двум:

pasted image 0 (16).png

Таким образом сервер будет защищен минимально, что чревато возможными последствиями в виде кибератак. Однако данный способ поможет установить временное подключение к серверу.

Резюме

В данном материале был дан ответ на вопрос: «Credssp — что это?», а также рассмотрены временные меры по устранению ошибки шифрования в процессе подключения. Чтобы максимально обезопасить соединения, рекомендуется установить последние обновления операционной системы на все машины, которые планируется использовать для передачи данных.  



Поделиться статьей
Другие новости
и статьи
Смотреть все
 «Казтелепорт» получил международную сертификацию Tier III Facility, в очередной раз подтвердив надежность услуг
09.08.2024
«Казтелепорт» получил международную сертификацию Tier III Facility, в очередной раз подтвердив надежность услуг
Прочитать
Jelastic на SmartCloud прекращает свою работу
30.01.2024
Jelastic на SmartCloud прекращает свою работу
Прочитать
Как определить скрытый майнинг
29.01.2024
Как определить скрытый майнинг
Прочитать
Ботнеты: что это и как они влияют на кибербезопасность
22.01.2024
Ботнеты: что это и как они влияют на кибербезопасность
Прочитать
Кейлоггер (клавиатурный шпион) и методы защиты данных
15.01.2024
Кейлоггер (клавиатурный шпион) и методы защиты данных
Прочитать
Фишинг и фарминг: сходства и различия
09.01.2024
Фишинг и фарминг: сходства и различия
Прочитать
Что такое троянский вирус и методы удаления?
04.01.2024
Что такое троянский вирус и методы удаления?
Прочитать
Что такое лжеантивирусы?
25.12.2023
Что такое лжеантивирусы?
Прочитать
«Казтелепорт» запустит солнечную электростанцию на территории ЦОД «Сайрам»
21.12.2023
«Казтелепорт» запустит солнечную электростанцию на территории ЦОД «Сайрам»
Прочитать
Программы-вымогатели: как распознать и предотвратить атаку
18.12.2023
Программы-вымогатели: как распознать и предотвратить атаку
Прочитать
/news/statii/kak-podderzhivat-bezopasnost-uchetnykh-dannykh-credssp-effektivnoe-reshenie-ot-provaydera/