策略路徑：“計算機配置”->“管理模板”->“系統(tǒng)”->“憑據(jù)分配”

設(shè)置名稱： 加密 Oracle 修正

加密 oracle 修正

此策略設(shè)置可應(yīng)用于使用 CredSSP 組件（例如，遠程桌面連接）的應(yīng)用程序。

CredSSP 協(xié)議的某些版本容易受到針對客戶端的加密 oracle 攻擊。 此策略控制與易受攻擊的客戶端和服務(wù)器的兼容性。 此策略允許你設(shè)置針對加密 oracle 漏洞的防護級別。

如果啟用此策略設(shè)置，將會基于以下選項選擇 CredSSP 版本支持：

強制更新的客戶端– 使用 CredSSP 的客戶端應(yīng)用程序?qū)o法回退到不安全的版本，且使用 CredSSP 的服務(wù)將不接受未修補的客戶端。

注意 在所有遠程主機支持最新版本之前，不應(yīng)部署此設(shè)置。

緩解– 使用 CredSSP 的客戶端應(yīng)用程序?qū)o法回退到不安全的版本，但使用 CredSSP 的服務(wù)將接受未修補的客戶端。

易受攻擊– 使用 CredSSP 的客戶端應(yīng)用程序?qū)⑼ㄟ^支持回退到不安全的版本使遠程服務(wù)器遭受攻擊，但使用 CredSSP 的服務(wù)將接受未修補的客戶端。

強制更新的客戶端

0

使用 CredSSP 的客戶端應(yīng)用程序?qū)o法回退到不安全的版本。

使用 CredSSP 的服務(wù)將不接受未修補的客戶端。

注意 在所有 Windows 和第三方 CredSSP 客戶端支持最新的 CredSSP 版本之前，不應(yīng)部署此設(shè)置。

緩解

1

使用 CredSSP 的客戶端應(yīng)用程序?qū)o法回退到不安全的版本。

使用 CredSSP 的服務(wù)將接受未修補的客戶端。

易受攻擊

2

使用 CredSSP 的客戶端應(yīng)用程序?qū)⑼ㄟ^支持回退到不安全的版本使遠程服務(wù)器遭受攻擊。

使用 CredSSP 的服務(wù)將接受未修補的客戶端。