名稱 | 加密預示修復 |
GPO | Computer Settings |
類別 | 系統管理範本\系統\認證委派 |
描述 | ▪ 此項原則設定適用於使用 CredSSP 元件之應用程式 (例如遠端桌面連線) ▪ CredSSP 通訊協定的某些版本有弱點,容易受到針對用戶端的加密 Oracle 攻擊所威脅。此項原則會控制易受攻擊的用戶端與伺服器的相容性,可設定加密預示弱點所需的保護層級 ▪ 如果啟用此項原則設定,就會依據下列選項來選取 CredSSP 版本支援: - 強制使用更新的用戶端:使用 CredSSP 的用戶端應用程式將無法回復成不安全的版本,並且使用 CredSSP 的服務將不會接受未修補的用戶端。注意:除非所有遠端主機都已支援最新的版本,否則不應該部署此項設定 - 已降低影響:使用 CredSSP 的用戶端應用程式將無法回復成不安全的版本,但使用 CredSSP 的服務可接受未修補的用戶端 - 易受攻擊:使用 CredSSP 的用戶端應用程式可支援回復成不安全的版本,且使用 CredSSP 的服務可接受未修補的用戶端,進而導致遠端伺服器容易遭受攻擊 |
設定 | 1. 執行 gpedit.msc 打開本機群組原則編輯器 2. 選擇 [電腦設定\系統管理範本\系統\認證委派] 3. 在右邊窗點擊 "加密預示修復". 4. 選擇 "已啟用,保護層級:強制使用更新的用戶端", 點擊 "確定". (GCB 設定值為 啟用:強制使用更新的用戶端) |