【更新】CVE-2019-1040 Windows NTLM篡改漏洞分析

SANGFOR_智安全 2019-6-18 13:11 1814

2019年6月11日，Microsoft发布了六月份安全补丁更新。在该安全更新补丁中，对CVE-2019-1040漏洞进行了修复。攻击者利用该漏洞可以绕过NTLM中的MIC（Message Integrity Code）。攻击者可以修改已经协商签名的身份验证流量，然后中继到另外一台服务器，同时完全删除签名要求。通过该攻击方式可使攻击者在仅有一个普通域账号的情况下，运程控制域中任意机器（包括域控服务器）。

漏洞名称：Windows NTLM篡改漏洞预警

威胁等级：严重

影响范围：Windows 7 ;Windows 8.1;Windows 10;Windows Server 2008;Windows Server 2008 R2;Windows Server 2012;Windows Server 2012 R2;Windows Server 2016;Windows Server 2019

漏洞类型：中间人攻击漏洞

利用难度：容易

漏洞产生背景

NTLM中继是对Active Directory环境最常见的攻击方式之一。针对此攻击技术一种重要的缓解措施是进行服务器签名。当用户与服务器建立了签名会话，攻击者如果无法检索所需的会话密钥，就无法劫持会话。但是在默认情况下，只有域控服务器会强制执行SMB签名，这导致在许多情况下会使得域中其他敏感服务器容易受到攻击。

图1 NTLM中继[1]

在SMB中，通过在NTLM_NEGOTIATE消息中设置”NTLMSSP_NEGOTIATE_SIGN”标志进行协商会话签名。如果攻击者试图中继这种NTLM身份验证，他们将需要确保不协商签名。一种方法是通过中继到NTLM消息不管理会话完整性的协议，如LDAPS或者HTTPS。但是这种协议并非每一台机器都会打开。而SMB协议在局域网中是经常打开的，且存在较多漏洞容易造成代码执行。因此，NTLM中继攻击的重点就在于将SMB身份验证请求转发给其他SMB服务器。为成功执行此类中继，攻击者需要修改NTLM_NEGOTIATE消息并取消设置”NTLMSSP_NEGOTIATE_SIGN”标志。

图2 NTLM_NEGOTIATE消息指示是否协商SMB签名[2]

在SMB协议中，默认情况下，如果通信的双方都支持签名，则必须进行会话签名。为了保证在NTLM协商阶段不被攻击者篡改数据，Microsoft在最终的NTLM身份验证消息中添加了一个额外字段——MIC。但是，微软对该字段的处理方式存在纰漏：允许无MIC的验证消息。

MIC(Message Interity Code)消息完整性验证

NTLM身份验证由3种消息类型组成：NTLM_NEGOTIATIE，NTLM_CHALLENGE，NTLM_AUTHENTICATE。

为确保在传输过程中不会被恶意篡改，在NTLM_AUTHENTICATE消息中添加了一个额外的MIC字段。MIC是使用会话密钥应用于所有3个NTLM消息的串联的HMAC_MD5，该会话密钥只有启动了认证的账户和目标服务器知道。因此，任何试图篡改其中一条消息的行为都无法生成相应的MIC，保证传输的安全性。

图3 “MIC”字段可以防止NTLM消息修改[2]

MIC存在于NTLM_AUTHENTICATE消息的’msvAvFlag’字段，标志0x2表示该消息包括MIC。它应该保护MIC被删除。但是，微软Microsoft服务器无法完全执行该机制，而且允许了无MIC的NTLM_AUTHENTICATE消息。这为后续NTLM中继攻击提供了条件。

图4 'flags'字段指示NTLM_AUTHENTICATE消息包括MIC[2]

漏洞分析

1.攻击思路

前提：

由于微软允许无MIC的NTLM_AUTHENTICATE消息，攻击者可以在获取到合法的身份验证后进行中继。主要是将SMB中继到LDAP。

攻击流程：

首先向Windows服务器（如Exchange）发起身份验证，在获得合法的验证后将该身份验证通过LDAP中继到域控服务器，就可以在ActiveDirective中以中继的受害者权限执行一系列操作。

攻击场景：

在Exchange场景下，可以获得DCSync权限，该种权限是PrivExchange漏洞利用的基础。

在Resource Based Constrained Kerberos场景下，可以利用该种机制获得受害主机的权限，进而以管理员权限访问服务器。

对需要中继的身份验证的MIC的处理流程如下：

1. 取消设置NTLM_NEGOTIATE消息中的签名标志（NTLMSSP_NEGOTIATE_ALWAYS_SIGN，NTLMSSP_NEGOTIATE_SIGN）

2. 从NTLM_AUTHENTICATE消息中删除MIC

3. 从NTLM_AUTHENTICATE消息中删除版本字段（删除MIC字段而不删除版本字段将导致错误）

4. 取消设置NTLM_AUTHENTICATE消息中的以下标志：NTLMSSP_NEGOTIATE_ALWAYS_SIGN，NTLMSSP_NEGOTIATE_SIGN，NEGOTIATE_KEY_EXCHANGE，NEGOTIATE_VERSION。

2 攻击途径

途径一：

使用任意AD账户，通过SMB连接到受害主机Exchange服务器，触发SpoolService的一个bug。然后使用网上公开的ntlmrelayx.py脚本中继到LDAP。使用中继的LDAP身份验证，攻击者可以获得DCSync权限，然后使用DCSync转储AD中所有的密码哈希。

途径二：

使用任意AD账户，通过SMB连接到受害主机Exchange服务器，触发SpoolService的一个bug。然后使用网上公开的ntlmrelayx.py脚本中继到LDAP。攻击者使用中继的LDAP身份验证，获取Resource Based Constrained Kerberos中的相关权限，然后攻击者以受害主机服务器上的任意用户进行身份验证。

影响范围

目前受影响的Windows版本：

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1703 for 32-bit Systems

Windows 10 Version 1703 for x64-based Systems

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows 8.1 for 32-bit systems

Windows 8.1 for x64-based systems

Windows RT 8.1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1803 (Server Core Installation)

Windows Server, version 1903 (Server Core installation)

修复建议

1. 由于针对该漏洞的poc已在网上公开流传，强烈建议广大用户及时安装微软针对该漏洞的安全更新补丁：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

2. 其他缓解措施

以下措施可以在无法及时安装安全更新补丁时作为临时解决方案，为确保安全，仍然建议广大用户在条件允许的情况下及时进行补丁安装：

1）. 开启域中所有服务器的强制SMB签名（在 Windows 域中，默认只有域控服务器开启了强制 SMB 签名）

2）. 对LDAP over TLS强制执行LDAP签名和LDAP通道绑定来阻止NTLM中继到LDAP

3）. 开启EPA，强制所有Web服务器（OWA，ADFS）只接受EPA的请求

4）. 开启所有重要服务器（比如所有 Exchange 服务器）上相关应用的Channel Binding

5）. 减少使用NTLM

6）. 如无特殊需求，禁用Printer Spooler服务

参考链接

[1].https://blog.preempt.com/drop-the-mic

[2].https://blog.preempt.com/security-advisory-critical-vulnerabilities-in-ntlm

[3].https://dirkjanm.io/worst-of-both-worlds-ntlm-relaying-and-kerberos-delegation/

时间轴

2019/6/11

Microsoft发布安全更新公告并披露漏洞

2019/6/11

某公司千里目安全实验室翻译并发布漏洞预警

2019/6/17

某公司千里目安全实验室发布漏洞分析

打赏鼓励作者，期待更多好文！

打赏

暂无人打赏

发表新帖收藏回复本帖

发表新帖

SANGFOR_智安全

技术等级：

工程师1级

242 发帖

173 粉丝

3 评论

发消息

作者其他文章

直播预告 | 如何避免业务成为攻击者下一个突破目标？防火墙部署后，就高枕无忧了吗？直播预告 | 如何快速提升安全事件处置闭环效率？

热门标签

全部标签>

每日一问

技术盲盒

技术笔记

技术咨询

干货满满

功能体验

产品连连看

新版本体验

GIF动图学习

2023技术争霸赛专题

自助服务平台操作指引

标准化排查

运维工具

通用技术

秒懂零信任

信服课堂视频

技术晨报

用户认证

安装部署配置

每日一记

安全攻防

SDP百科

设备维护

深信服技术支持平台

社区帮助指南

答题自测

玩转零信任

畅聊IT

专家问答

技术圆桌

在线直播

MVP

网络基础知识

升级

上网策略

测试报告

日志审计

问题分析处理

流量管理

云计算知识

原创分享

解决方案

sangfor周刊

VPN 对接

项目案例

SANGFOR资讯

专家分享

技术顾问

信服故事

功能咨询

终端接入

授权

资源访问

地址转换

虚拟机

存储

迁移

加速技术

排障笔记本

产品预警公告

信服圈儿

S豆商城资讯

技术争霸赛

「智能机器人」

追光者计划

答题榜单公布

纪元平台

卧龙计划

华北区拉练

天逸直播

以战代练

山东区技术晨报

文档捉虫活动

齐鲁TV

华北区交付直播

每周精选

转盘

任务

商城

勋章

成长计划

本版热帖

移动办公，SSL，VPN凭什么比HTTPS安全？

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人

更新日期：2022年 9月 22日

前言
本协议由深信服提供，与您共同签署。请您务必审慎阅读、充分理解本协议全部条款内容，特别是免除或者限制深信服责任的条款、对您的权利进行限制的条款、约定争议解决方式和司法管辖的条款等，以及针对性或专用的协议或规则。限制、免责条款或者其他涉及您重大权益的条款会以加粗、加下划线等形式提示您重点注意。
除非您已充分阅读、完全理解并接受本协议所有条款，否则请您不要使用深信服提供的产品。您点击“同意”或“下一步”，或您直接使用深信服产品，或者通过下载安装使用以及账号/账号权限获取、登录等任何明示或者默示方式表示接受本协议的，均视为您已阅读并同意签署本协议，本协议即成为对双方均具有约束力的法律文件。

重要定义
产品本协议“产品”为深信服提供的多种形态的解决方案的统称，包括但不限于软件产品、硬件产品、订阅服务、授权、其他相关服务或前述形态产品的组合。
实体用户：指已经或拟购买并使用、或试用深信服产品的客户，或与深信服合作开展业务的签约经销商或其他类型的合作伙伴，类型包括但不限于法人、政府机构、其他组织、合伙或个体工商户等。
认证用户：指通过注册或其他深信服允许的方式获得相应产品的账号/使用权限、并按照实体用户的授权/指示或基于实体用户的需求满足的目的使用产品功能的主体，该类型主体可能为实体用户内部相关管理人员，也可能为实体用户授权的其他人员。
非认证用户：指未注册账号或仅注册但未完成任何实体用户身份认证/绑定/关联、仅浏览产品相关信息或在限制范围内使用部分产品功能的主体。
用户：本协议实体用户与认证用户、非认证用户统称“用户”，也称“您”。
用户数据：是指用户在注册深信服产品账户以及使用深信服产品的过程中，由用户主动填写、或在使用产品的过程中基于本协议约定而获取或采集的数据、以及由前述数据产生的其他相关数据。用户数据的类型可能既包含网络资产相关信息，也包含个人信息。
个人信息：是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。
数据处理者：是指有权决定产品使用过程中涉及的用户数据的处理目的、方式等的组织或个人。一般而言，针对非认证用户的相关用户数据，深信服为数据处理者；针对认证用户按照实体用户授权/指示/需求使用相应产品时涉及的相关用户数据，处理者为本协议所指实体用户，深信服仅作为受托人，按照实体用户的需求、认证用户的具体操作或其他形式的指令，对相关用户数据进行收集、存储、使用、加工、传输、提供、公开、删除等受托处理。

第一条总则
1.1 缔约主体
本协议是由用户与当前所用产品提供者之间关于产品使用共同缔结的协议。当前所用产品提供者指深信服科技股份有限公司以及其他与提供当前产品相关的关联公司，包括但不限于湖南深信服科技有限公司、长沙深信服信息科技有限公司、青岛市深信服职业技能培训学校有限责任公司，统称“深信服”或“我们”。当您以认证用户的身份使用当前产品，本协议由您所代表的实体用户与深信服共同缔结。您作为实体用户签约的授权代表，按照实体用户的授权通过点击/勾选的方式确认签署本协议，本协议条款约定的具体权利义务将由您与您所代表的实体用户单独或共同承担。当您以非认证用户的身份使用当前产品，本协议由您与深信服共同缔结。您或您所代表的实体用户与深信服在下文中单独提及时可被称作一方，一同提及时可被称作双方。
1.2 合法经营保证
缔约双方均保证已经依照国家相关规定获得了合法经营资质或政府审批等，有权依法运营各自的产品或服务等业务。双方进一步保证，在本协议有效期内持续保持具备国家相关规定要求的经营资质或审批手续。深信服依约或您的授权向您提供各类产品，但不会参与您的业务或相关网站、应用、软件、平台的运营，您的网站、应用、软件、平台等、以及所从事的业务及相关内容，均由您自行运营并承担全部责任。
1.3 法律规范的适用
深信服向您提供的产品仅向您承诺符合中华人民共和国境内（为本协议之目的，不包括香港、澳门和台湾地区，下同）法律法规、政策等的要求。若您选择在中国境外使用深信服提供的产品，您应当自行评估产品使用是否符合当地法律法规、政策等的要求，尤其是有关数据跨境传输、跨境组网等的许可或批准要求；同时，也应当确保您所进行的经营或非经营活动、相关资质/许可、以及本协议的签署和履行相关全部行为等均符合当地法律法规、政策等的要求，并自行承担全部相关责任。
1.4 协议范围和效力
1.4.1 本协议内容包括本协议正文、附件及与之相关的其他政策、规则、声明、通知、警示、提示、说明（以下简称“规则”）等。前述规则为本协议不可分割的组成部分，与本协议具有同等法律效力。
1.4.2 本协议仅适用于当前产品使用相关事宜，不适用于任何其他第三方通过深信服产品提供的产品，您在选择使用第三方产品前，应充分了解并自行确认是否接受第三方产品适用的协议或规则。
1.4.3 本协议内容无论因何种原因部分无效或不可执行，均不影响其余部分的法律效力。如本协议条款与您所使用的具体产品功能/服务所适用的专有协议或规则的有关约定不一致时，以专有协议或规则的约定为准；如本协议条款与您在具体项目中与深信服或深信服授权经销商签署的采购合同条款相冲突，将以本协议约定为准。
1.4.4 基于互联网络的实时性、复杂性、高效性等特性以及法律规范/监管要求/政策调整、用户/深信服双方业务或经营等发生重大变化、产品功能迭代更新等原因，您同意深信服可以不时对本协议正文、附件或相关规则进行更新，变更后的协议或规则将通过本产品界面重新提交给用户确认，或另行通过邮件、短信、系统消息推送、站内信等方式通知您。如您不同意协议的相关变更，则应当立即停止使用相关产品；如您继续使用，即表示您已充分阅读、理解并同意接受经修订更新后的协议。

第二条双方的权利与义务
2.1 产品使用权利许可
2.1.1 许可声明：就深信服为用户提供的当前产品，深信服以及本协议条款及条件授予用户一项不可转让、不可转授权、非排他性、有限且可撤销的使用许可。除此之外，本协议条款及条件未明示授予用户的其他一切权利仍由深信服保留，深信服在本协议下不授予用户任何默示许可。用户在行使这些权利时须另外取得深信服的书面许可，且深信服如未行使前述任何权利，并不构成对该权利的放弃。
2.1.2 许可使用及维持：用户应在遵守本协议约定及其他相关规则限制的前提下使用产品。除非另有说明，用户对本协议项下的产品仅限于非商业用途使用，用户承诺不对当前产品或其任何部分进行复制、拷贝、出售、转售或用于包括但不限于广告及任何其它商业目的。对于用户经合法、有效的授权许可使用的产品，深信服应按照所签署的合同、本协议或相关规则、以及用户的配置或其他形式的授权/指示为用户提供产品功能及相关服务，并在用户使用过程中尽可能提供全面的支持与保障。
2.1.3 许可使用中止与终止
2.1.3.1 为了向用户提供更加完善和优质的产品，深信服有权定期或不定期地对产品本身或承载产品运行的相关基础设施/设备、系统、软件等进行检修、维护、升级及优化等（统称“常规维护”），如因常规维护造成相关产品使用在合理时间内中断或暂停的，深信服无需为此向用户承担违约或损害赔偿责任。但是，深信服应当提前就常规维护事宜通知用户。若因不可抗力因素、基础运营商过错等原因导致须进行非常规维护，深信服将尽可能及时通知用户。
2.1.3.2 为保证产品的安全性和稳定性，深信服可能进行机房/数据迁移、设备更换等重大调整，前述情况可能导致产品使用在合理时间内中断或暂停，深信服无需为此向用户承担违约或损害赔偿责任，但是，深信服将提前通知用户，用户应予以配合；如用户不配合进行调整，或深信服无法与用户取得联系，由此产生的后果将由用户自行承担。
2.1.3.3 深信服有权根据自身运营安排，随时调整或终止相关产品的部分或全部功能（包括但不限于对相关功能进行下线、迭代、整合等）。但是，深信服应尽可能提前通知用户，以便用户做好数据转移备份或业务调整等相关准备工作，尽可能避免产生不必要的成本或损失。
2.1.3.4 用户理解并同意，深信服通过本协议条款或其他方式与用户约定的产品全部或部分功能使用中止或者终止条件成就时，深信服有权以发送单方通知的方式中止或终止为用户提供本协议约定的部分或全部产品功能使用许可：
本条所指的中止条件包括但不限于：因用户拒绝同意本协议或其他相关规则更新、或用户在许可使用期限截止后未及时续费、或因用户违反本协议约定的各项义务等其他用户自身原因而导致暂时无法使用产品功能；
本条所指的终止条件包括但不限于：因用户未及时续费超过一定期间、或因用户违反本协议约定义务而导致不满足使用产品的必要条件、或因用户违反法律规定而给深信服带来实际损害。
2.2 产品使用费用约定
2.2.1 用户应当按照所签署的购销合同支付产品使用相关费用，在用户经合法、有效授权许可使用当前产品前提下，用户无需在签署本协议时单独支付费用，且用户理解并同意：深信服有权自主决定、以及按需调整用户可免费使用的产品功能或其他相关服务、以及免费使用期限或需满足的其他条件（深信服保留对任何未书面表明免费为用户提供的功能/服务收费的权利），并将仅在法律规定或深信服明确声明的范围内为用户提供相应的技术支持与保障。
2.2.2 用户理解并同意：任何产品的运维管理都需耗费一定成本，如用户超出深信服免费提供的产品功能或相关服务的范畴向深信服提出相关诉求（包括但不限于访问或导出相关使用数据），除确认该等诉求不违反相关法律规范或要求、未侵犯其他第三方主体之合法权益外，深信服有权自主评估用户诉求的合理性、以及响应用户诉求所需时限或其他必要条件，并有权要求用户自行承担满足其诉求所需的合理成本。
2.2.3 用户需注意：您应当自行支付使用产品时可能产生的上网费、流量费以及其他第三方收取的通讯费、信息费等。
2.3 产品使用规范
2.3.1 网络安全规范
在使用深信服产品期间，您承诺不自行或帮助/指使他人从事以下行为：
2.3.1.1 通过上传、公开发布或定向发送等方式传播可能干扰、破坏或限制任何计算机软件、硬件或通讯设备功能的软件病毒或其他计算机代码、程序或相关资料等；
2.3.1.2 通过技术手段非法侵入、破坏、干扰、改变或试图改变相关产品功能、软件、服务器系统、网络的运行或连接，或者修改、增加、删除、窃取、截留、替换承载产品运行的服务器系统中的数据，或者非法挤占产品运行之服务器空间，或者实施其他的使之超负荷运行的行为；
2.3.1.3 擅自通过扫描等方式挖掘/探测产品或服务器系统等可能存在的漏洞或缺陷，或违反相关法律规定发布漏洞或缺陷，或利用相关漏洞或缺陷从事损害相关产品及深信服的任何行为；
2.3.1.4 制作、发布、传播用于上述用途的软件、介质或方法等，无论相关行为是否出于商业目的。
2.3.2 信息内容规范
2在使用深信服产品期间，您承诺遵守遵守宪法法律，遵守公共秩序，尊重社会公德，不得制作、复制、发布、传播含有下列内容的信息，或者故意为制作、复制、发布、传播含有下列内容的信息提供技术支持或任何便利/帮助：
2.3.2.1 反对宪法所确定的基本原则的，或危害国家安全、荣誉和利益，泄露国家秘密，煽动颠覆国家政权，推翻社会主义制度，煽动分裂国家，破坏国家统一的；
2.3.2.2 宣扬恐怖主义、极端主义，或宣扬民族仇恨、民族歧视，破坏民族团结，煽动地域歧视、地域仇恨的，破坏国家宗教政策，宣扬邪教和封建迷信的；
2.3.2.3 编造、传播险情、疫情、警情、自然灾害、生产安全、食品药品等产品安全以及其他方面扰乱社会秩序的信息；
2.3.2.4 散布煽动非法集会、结社、游行、示威或者其他扰乱社会管理秩序、破坏社会稳定的信息；
2.3.2.5 编造、传播虚假信息，扰乱经济秩序和社会秩序、破坏社会稳定的；
2.3.2.6 传播淫秽色情、暴力、赌博、凶杀、恐怖的信息，以及教唆犯罪，传授犯罪手段、方法，制造或者交易违禁物品、管制物品，实施诈骗以及其他违法犯罪活动的信息；
2.3.2.7 危害网络安全、或利用网络从事危害国家安全、荣誉和利益或侵害他人合法权益的；
2.3.2.8 仿冒、假借国家机构、社会团体及其工作人员或者其他法人名义散布的信息，或者为实施违法犯罪而冒用他人名义散布的信息；
2.3.2.9 侮辱或者诽谤他人，侵害他人名誉、隐私、知识产权或者其他合法权益，以及危害未成年人身心健康，不利于未成年人健康成长的信息；
2.3.2.10 歪曲、丑化、亵渎、否定英雄烈士事迹和精神，以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉的；
2.3.2.11 其他违反法律法规、公共政策、社会治安及公序良俗、或侵犯深信服、其他用户或第三方合法权益的信息内容。
用户应当对使用深信服产品期间涉及发布或通过任何方式传播的信息内容的合法性负责，深信服对于自行运营管理的平台/网站等产品，有权对用户使用相关功能/服务的过程中涉及的信息内容进行审核。如用户违反前述信息内容规范，深信服有权不经通知随时对相关内容进行删除或屏蔽，并视行为情节对违规账号进行功能使用限制、封禁、甚至注销，由此造成的全部后果及责任均由用户自行承担，并且深信服留存的系统日志或其他相关记录数据将有可能作为用户违反法律法规的证据。
2.3.3 其他行为规范：用户在使用相关产品的整个期间，应时刻谨慎作为，严格避免从事任何违反遵守法律法规、社会主义制度、国家利益、公民合法利益、公共秩序、社会道德风尚和信息真实性等“七条底线”要求的行为，并不应从事任何侵犯其他用户或第三方合法权益、干扰深信服正常经营或产品/服务稳定运行、或其他深信服未明示授权的行为，且用户承诺将不对其他第三方从事前述行为提供任何便利或帮助。
2.3.4 违规行为处置规范
用户同意并接受深信服有权对其使用相关产品功能及其他服务的情况进行持续的监督、审查。如深信服发现您存在任何违反第2.3条前款约定的行为，或接收到来自第三方机构或个人提出的关于您实施违法或侵权行为的质疑或投诉，深信服将有权对相关行为或信息内容进行查证或核实，以及根据具体情况采取相应的处置措施，包括但不限于立即中止/终止使用相关功能/服务、删除相应信息以及向有关部门报告等，并有权视必要情况要求您于限期内提交相关说明或证明材料，对此您同意将予以配合。因深信服在前述情形下采取相应措施而给您造成的损失，深信服不承担任何法律责任，同时深信服将保留追究您的法律责任以及向您索赔所遭受的全部损失的权利（包括但不限于因维权而产生的调查费、诉讼/仲裁费、律师费，以及因此所遭受的业务损失或索赔等）。
2.4 数据合规与隐私保护
2.4.1 用户使用当前产品涉及处理的数据具体情况，包括但不限于数据类型、处理目的及方式、以及数据安全保护等，将通过本协议附件集中向用户进行说明。
2.4.2 深信服作为产品提供方，除了提供满足用户需求的产品外，还将致力于通过产品功能实现方式及相关交互设计帮助用户更好地落实数据安全及个人信息保护相关合规要求，从而更好地保障用户及相关个人主体的合法权益，但用户理解并同意，用户自身作为网络运营者/数据处理者，应履行数据合规及隐私保护的主体责任，并承担相应的法律后果。
2.5 双方保密义务
2.5.1 保密资料指由一方向另一方披露的所有技术及非技术信息(包括但不限于产品或服务的价格或营销方案等相关资料、业务规划及战略、客户名单及客户信息、财务信息、产品开发情况或相关技术方案等)。
2.5.2 本协议任何一方同意对获悉的对方之上述保密资料予以保密，并严格限制接触上述保密信息的人员遵守本条之保密义务。除非国家机关依法强制要求或上述保密资料已经进入公有领域外，接受保密资料的一方不得对外披露。
2.5.3 本协议双方明确认可各自拥有的业务数据等信息是各自的重要资产及重点保密信息，并同意尽最大的努力保护上述保密信息等不被披露。一旦发现相关保密信息泄露的风险/隐患或事件，双方应合作采取一切合理措施避免产生或减轻损害后果。
2.5.4 本条约定的双方的保密义务不因本协议的终止而失效。
2.6 知识产权保护
2.6.1 深信服作为为您提供的产品所包含的相关知识产权的权利人，依法享有相关著作权、商标权、专利权等知识产权以及商业秘密法律保护。知识产权是深信服业务赖以存续的宝贵的无形资产，既包含在用户使用的深信服产品之中，也包含在用户认准深信服的商标和标识等品牌形象中。深信服向用户承诺：用户通过合法授权的方式获取并在中国境内使用的产品，深信服均具备独立完整的知识产权，不存在任何侵害第三方知识产权的权利瑕疵情形。
2.6.2 与此同时，您理解并同意：在使用深信服的产品务的过程中，不得以任何方式侵犯深信服所拥有的知识产权及其他合法权益，包括但不限于不得在未经深信服书面同意的情况下基于商业或者非商业的目的自行或许可任何第三方实施、许可、转让上述涉所及的知识产权，不得对深信服为您提供使用的软硬件产品和/或其中的任何部分进行复制、修改、反汇编、反编译、逆向破解、反向工程等操作，或者通过任何方式试图访问或者截取深信服产品中任何源代码，不得避开或破坏深信服为保护知识产权而采取的技术措施，不得擅自修改、破坏或掩盖深信服产品或相关系统平台上标注的商标或标识等。深信服保留依法追究任何侵犯知识产权的行为的法律责任的权利
2.6.3 您理解并同意授权深信服在宣传和推广中使用相应实体用户的名称、商标、标识，但仅限于表明该实体用户属于我们的客户或合作伙伴。
2.7 特殊声明与保证
2.7.1 用户声明和保证
如您属于使用相关产品的认证用户，您应保证您使用该产品的全部相关行为均已获得实体用户的合法、有效、充分的授权，并将自觉按照本协议约定、以及实体用户的制度规范、管理需求和真实意愿履行全部职责，包括但不限于遵守账号注册及使用相关规范、切实进行账号安全保护、规范使用产品功能、在整个使用过程中均注意保护所涉及的信息系统及数据安全等。与此同时，您同意相关实体用户有权基于经营管理、人力资源管理、或内部信息安全管控等需求，对您使用产品的行为以及相关数据和权益进行管理。除法律另有规定外，深信服不就实体用户与认证用户之间的授权行为、产品使用相关权限管控及相关权益处置行为，向实体用户或认证用户承担任何责任，且深信服有理由默认您依其权限所从事的行为均代表相应的实体用户，并有权在您怠于履行本协议约定的义务时要求您所代表的实体用户承担责任。

第三条责任限制和免责条款
3.1 用户自主配置/管理产品相关责任承担
基于用户需求，深信服可为用户提供多样化的产品功能配置及产品管理能力，但不对因用户自主配置/管理所导致的任何问题承担责任，包括但不限于以下情形：
3.1.1 多账号管理、委托管理/代运维：用户可按照自身管理需求自行设置产品管理方式及分配产品管理权限，并在产品管理后台进行相关接口或账号权限配置。用户需自行建立健全内部管理制度，规范对产品的使用与管理，如用户需授权委托外部第三方代为进行管理/维护或执行相关操作，须自行谨慎评估第三方的相关资质及能力、以及授权的权限范围，并自主对第三方进行监督、管理及考评等。用户须对产品使用相关用户名、密码采取必要、有效的保密和安全保护措施。用户需自行对前述相关产品使用和管理方式的选择以及相应的配置和授权行为承担责任，为保障用户需求的满足，深信服将默认用户自行配置的所有账号或授权的第三方的相关操作行为均已获得所需的必要授权。
3.1.2 非正式销售类产品使用的责任承担：您理解并同意：深信服可能在一定条件下向用户提供非正式销售类产品，供用户试用或测试，该类产品仅按“现状”和“当前可用”的形态提供，本协议中相关保证条款和正式销售时配套的SLA等规则均不适用于该类产品，且对该类产品深信服可能不会提供技术支持，我们也可能会在不另行通知的情况下随时更改或者停止提供产品试用或测试；对于其中尚未正式发布或发售的相关产品，深信服并无义务且不承诺正式发布或发售。用户应自行合理规划使用深信服提供的产品，不应将此类非正式销售的产品应用/运行在正式生产系统中或用于处理真实的业务数据，否则用户须自行承担相关风险和全部可能的后果，包括但不限于因深信服未提供保证的产品功能/性能/稳定性等问题或技术支持问题而导致的任何损失、产品终止提供后需切换使用并迁移相关业务及数据所带来的成本投入等。
3.2 不可抗力等因素影响
您理解并同意，在使用产品的过程中可能会遇到以下情况使功能/服务发生中断。出现下述情况时，深信服将及时与相关单位配合进行修复，但对于由此导致您所遭受的损失深信服将无法承担：
3.2.1 受不可抗力因素影响，包括但不限于自然灾害、政府行为、法律法规颁布调整、罢工（任一方内部劳资纠纷除外）、动乱等不能预见、不能避免并不能克服的客观情况；
3.2.2 受基础运营商服务影响，包括但不限于电信部门技术调整、电信/电力线路被他人破坏、电信/电力部门对电信网络/电力资源进行安装、改造、维护等；
3.2.3 发生网络安全事故，如计算机病毒、木马或其他恶意程序、黑客攻击等；
3.2.4 您通过非深信服允许的方式使用相关产品功能或服务，或因您操作不当、账号丢失或被盗，或您的电脑软件、系统、硬件和通信线路出现故障等原因而导致的功能或服务无法正常使用；
3.2.5 其他非深信服过错、且深信服无法控制或合理预见的情形。
3.3 第三方责任
3.3.1 如因您所运营/管理的业务的特殊性，您使用产品需以第三方的授权或许可为前提，则您应保证已经满足该前提，深信服将基于您的前述保证接受您的委托为您提供本协议约定的产品或其他相关服务，且深信服对您所为的违背与第三方之间的约定、或侵犯第三方其他合法权益的行为不承担任何形式的连带责任。
3.3.2 您理解并认可深信服提供的产品及深信服均将保持与第三方产品或其他业务/内容的独立性，对于由第三方提供的软/硬件、插件、工具或发送的广告、推广或宣传信息（包括商业或非商业信息）等的合法性、可靠性、适用性或质量等问题，您应当自行判断并为自己的判断行为负责；除法律明确规的外，对于您因第三方提供的产品/服务/信息内容而遭受的损失或损害，深信服概不承担任何责任。
33.4 违法犯罪行为防范
与此同时，您应了解，如您所用的深信服产品通过任何方式被利用于实施诈骗（包括但不限于发送诈骗信息、接通远程控制以便实施诈骗相关操作等）、赌博、卖淫、非法放贷等违法犯罪行为，发生此类事件时，深信服将尽全力配合公安或其他监管机关调查取证、以及尽可能采取有利于减小损失的措施，但深信服作为产品提供方，无法预知或控制此类事件的发生，因此用户在使用产品及相关服务期间应时刻谨慎注意，防范可能利用产品从事的违法犯罪行为给自身带来的相应风险。
3.5 客观技术局限
您理解并同意，深信服为您提供的产品均是按照现有技术和条件所能达到的现状提供的。深信服将尽最大努力为您提供优质的产品，但由于受行业技术水平限制或其他客观因素影响，深信服无法保证所提供的产品毫无瑕疵或完全适用于您的业务需求。因此，除深信服在特定场景中向您作出明示保证的事项外，深信服对提供的产品所涉及的技术或信息等的有效性、完整性、准确性、可靠性、及时性等均不作承诺和保证，也无需承担任何责任。如用户在使用产品的过程中，出现超出双方承诺或认知范围的技术或其他方面的问题，双方可通过友好协作寻求共同解决。
3.6 责任限额
3.6.1 不论在何种情况下，深信服均不对任何间接性、惩戒性、突发/偶然性、特殊性的损害后果承担责任，前述损害后果的类型包括但不限于利润损失、利息损失、营业中止、数据或其他资产毁损灭失等。
3.6.2 深信服基于为您提供的产品违反所适用的协议条款或规则而应承担的违约或损失赔偿责任总额不超过提供相应产品所收取的费用总额。

第四条有效通知和推送授权
4.1 联系方式的真实有效性
您应当保证和维持使用相关产品期间需提价的相关资料（包括但不限于电话号码、电子邮箱等联系方式）的真实有效性，如您提交的相关资料存在虚假、无效等任何可能导致您无法及时获悉业务通知、功能/服务提示、技术支持、纠纷协调、违规处罚等信息的，由您自行承担相应责任。
4.2 有效通知方式
4.2.1 您应当根据本协议或深信服官方网站公布的联系方式向深信服发送通知，双方另有约定除外。
4.2.2 深信服可通过网页公告、系统通知、站内信、电子邮件、手机短信、即时通讯工具、函件等方式中的一种或多种向您发送与产品/服务有关的通知、提示、验证消息、营销信息等各种信息（包括但不限于更新后的用户协议、相关规则、产品/服务升级、机房裁撤、广告等）。前述信息在以下情况下视为已送达（如果送达时间为法定节假日的，则以送达后首个工作日为送达日）：
4.2.2.1 交专人递送的，在收件人签收时视为已送达。
4.2.2.2 以网页公告等形式公布的，一经公布即生效（另有说明除外）。
4.2.2.3 以电子形式（包括系统通知、站内信、电子邮件、手机短信、即时通讯工具等）发送的，在发送成功后视为已送达。
4.2.2.4 以邮资预付的快递公司递送或以挂号信递送的，以投邮后的第3个自然日视为已送达。
4.3 推送授权
为更好地向您交付所需产品或提供与产品使用配套的其他相关服务，对于您申请或开通使用（包含试用）产品或具体功能时主动提供的手机号码及电子邮箱等联系方式，您同意深信服在您使用期间向您发送短信或邮件推送产品使用的实时情况信息或与之相关的产品发布/更新信息，深信服会为您提供退订途径，或者您也可以主动联系深信服的客服人员为您解决相关问题。

第五条争议解决条款
5.1 协议签订地
本协议签订地为广东省深圳市南山区。
5.2 争议解决
协议的成立、生效、履行、解释及纠纷解决等相关事宜，均适用中华人民共和国法律（不包括法律适用法，为本协议之目的，不包含香港、澳门和台湾地区）；如无相关法律规定的，则可参照适用商业实践惯例。若您和深信服之间发生任何纠纷或争议，首先应友好协商解决；协商不成的，您同意将纠纷或争议提交协议签订地有管辖权的人民法院管辖。

第六条其他
6.1 本协议所有条款的标题仅为内容概述，目的在于方便阅读，标题本身不能单独作为本协议条款内容解释的依据。
6.2 本协议以中文书就，如有其他语言仅作为参考，不同语言版本间如有冲突，以中文版为准。
6.3 用户在使用当前平台的过程中，可通过电话0755-86725929或在线客服与深信服联系，以获取平台使用相关技术支持或进行权益保障方面的咨询。

协议附件：
附件一：隐私保护政策
您可通过登录界面或平台底部对应位置点击查看政策内容
附件二：账号使用协议
1.账号注册
1.1 任何使用本平台的用户依法均应具备必要、适当的权利能力和行为能力，并按照实名认证等要求完成注册或通过其他深信服允许的方式获得本平台账号的使用权，以及应在账号注册时自觉遵守相关规范及限制，包括但不限于不得恶意注册使用本平台账号（本条所指恶意注册行为包括但不限于频繁注册、批量注册账号、滥用多个账号、买卖账号等行为）。
1.2您了解并同意，本平台所有类型的注册账号的所有权均归属于深信服，注册完成后，您仅获得账号使用权。本平台账号使用权仅归属于初始申请注册人，除非法律规定或司法裁定或征得深信服的书面同意，您的账号、密码不得以任何方式出租、转让、赠与或继承（与账号相关的财产权益除外）或被提供予他人使用，否则，深信服有权立即收回该账号，由此导致的您使用本平台产生的全部数据、信息等被清空或丢失等损失，您应自行承担。
1.3 基于深信服主营业务及本平台的定位和功能，我们将主要面向已成年用户提供账号注册和相关功能/服务，任何主体在指示/授权未成年人注册本平台账号或通过其他任何方式使用本平台前，应负责取得其监护人的同意、并通过身份证号码核验其授权的未成年人及其监护人的真实身份，以及应在整个使用期间均注重对该未成年用户的个人信息等合法权益予以特殊保护。
2. 用户资料
2.1 用户应当按照要求填写、提交真实、合法、有效的资料，包括但不限于用户名称、联系人、电子邮箱、联系电话，且您同意按照深信服的要求提交您所代表的实体用户相关资料，包括但不限于营业执照、资质许可文件、业务相关说明等资料，以便深信服自行或委托第三方按照相关法律法规的要求对相关主体的身份进行实名认证，或在必要时用于核实相关主体利用本平台或深信服提供的其他产品/服务所开展的业务的真实性、合法性。如前述资料发生变更的，您应及时书面通知深信服或根据本平台的规则自行进行更新。
2.2 用户应保证其注册的账号名称、设置的头像和简介等信息中均不会出现任何违反法律规范、公共政策、社会治安及公序良俗、或侵犯任何第三方合法权益的信息内容，包括但不限于：不得假冒、仿冒捏造政党、党政军机关、企事业单位、人民团体和社会组织、国家（地区）、国际组织、新闻媒体的名称或标识、以及重要空间的地理名称、标识等；不得冒充他人（包括但不限于管理员）身份或擅自使用他人的姓名、肖像或商标/标识；不得故意夹带二维码、网址、邮箱、联系方式等；不得含有名不副实、夸大其词等可能使公众受骗或者产生误解的内容等。
3. 账号使用行为规范：用户在登录本平台账号并使用相关功能/服务期间应自觉承担账号主体相关的法律义务，包括但不限于不得利用本平台账号或任何功能/服务实施违反法律法规或政策要求的行为、不得采取各种技术手段干扰本平台运行或深信服对本平台的运营管理、或恶意绕开或者对抗相关功能/服务的规则、不得发布或通过任何方式传播违法违规或虚假的信息内容或发布广告、不得通过刷帖/注水/虚假打赏等方式干扰其他用户对本平台的正常使用或通过其他任何方式侵害他人的合法权益等。
4. 账号安全保护
4.1 账号将作为用户使用本平台的身份识别依据，您应当对账号名称、密码等信息及账号的安全性采取必要、有效的保护措施（包括但不限于进行有效的权限控制、设置高强度密码并定期更换等）。
4.2 如您发现有他人盗用您的账号及密码、或任何其他未经您合法授权即获取您的账号使用权限的情形时，您应立即以有效方式通知深信服并提供必要资料（如情况说明、证明材料、具体诉求及联系方式等）。深信服收到您的有效通知并核实身份、确认事实情况后，会依据法律法规及协议/规则的约定进行处理。深信服依据本条进行处理产生的相关责任和后果由您承担。若您提供的资料存在瑕疵，导致深信服因无法核实您的身份或无法判断您的需求而未能及时处理，由此导致您遭受损失应由您自行承担。同时，您理解，深信服对您的请求进行处理需要合理期限，对于深信服采取措施前您已经遭受的损失以及采取措施后因不可归责于深信服的原因导致的损失，深信服不承担任何责任。
5. 账号管理
5.1 除对账号的安全保护外，您还应建立健全内部管理制度，规范对账号的使用管理。如任何用户实际违反了本协议或其他相关规则或约定，您有义务立即通知我们，同时应采取适当的行动来制止并纠正相关违规/违约行为，并负责承担全部相关责任。
5.2 您理解并同意：深信服作为本平台的运营方，将有权依旧相关法律规定或本协议及其他相关约定，在任何用户存在违反本协议或其他相关规则/约定的行为或发生账号权限相关的纠纷时，采取包括但不限于限制、暂停或终止访问/使用本平台或其他相关服务等必要措施，以便尽可能确保本平台的安全、有效运行；且深信服有权自主评估建立用户账号的信用管理体系，并按照用户账号使用期间的信用评价情况为用户提供服务或其他相关权益保障。
6 账号权限限制及终止
6.1 账号注销
拥有本平台使用账号的用户可联系管理员注销账号，通过本协议第十条中的联系方式向深信服申请账号注销，但如您作为认证用户，您所代表的实体用户在授权您使用本平台时设置了相应的限制或审批程序的除外，且任何账号注销还需满足以下条件：
6.1.1 账号处于正常状态，不涉及任何争议纠纷（包括投诉举报或被投诉举报），且未被有权机关采取限制措施；
6.1.2 账号内无未完成的交易；
6.1.3 账号内不存在其他未了结的权利义务或可能因注销账号而产生纠纷的情况；
6.1.4 无其他可能影响账号注销的情况。
深信服将停止为已正式注销账号的用户提供本平台的相关功能及服务。账号注销后，我们将根据相关法律法规的要求以及与您或您所代表的实体用户的相关约定（如有）对相关数据进行妥善处理。
6.2 为了保护用户账号安全，深信服有权对访问异常的行为进行独立检测判断并采取相应处理措施。例如，对于注册后长期不登录或登录后长期无任何访问或操作记录的账号，为保护用户账号安全，深信服有权限制其登录功能，用户需重新激活账号或重新登录后才能正常使用。
6.3 在用户违反本协议相关约定或其他双方约定的账号使用许可权限中止或终止条件成就时，深信服有权收回或终止对您所用账号的使用许可。

疑问解答

精华分享

签到天王

转盘

任务

商城

勋章

成长计划

本版热帖

本版达人