Ini bisa jadi karena remediasi pemulihan enkripsi CredSSP - RDP ke Windows 10 pro host


47

Kesalahan

Mengikuti pembaruan keamanan Windows pada Mei 2018, ketika mencoba RDP ke workstation Windows 10 Pro, pesan galat berikut ini ditampilkan setelah berhasil memasukkan kredensial pengguna:

Terjadi kesalahan otentikasi. Fungsi yang diminta tidak didukung.

Ini bisa disebabkan oleh remediasi oracle enkripsi CredSSP

Tangkapan layar

masukkan deskripsi gambar di sini

Debugging

  • Kami telah mengkonfirmasi kredensial pengguna sudah benar.

  • Reboot workstation.

  • Layanan direktori utama dikonfirmasi sudah operasional.

  • Workstation yang terisolasi belum menerapkan patch keamanan Mei tidak terpengaruh.

Namun, dapat mengatur sementara untuk host perm, yang khawatir tentang akses server berbasis cloud. Belum ada kejadian di Server 2016.

Terima kasih

Jawaban:


20

Didasarkan sepenuhnya pada balasan Graham Cuthbert, saya membuat file teks di Notepad dengan baris-baris berikut, dan cukup klik dua kali setelahnya (yang seharusnya menambah Windows Registry parameter apa pun yang ada di file).

Harap perhatikan bahwa baris pertama bervariasi tergantung pada versi Windows yang Anda gunakan, jadi mungkin ide yang baik untuk membuka regeditdan mengekspor aturan apa pun hanya untuk melihat apa yang ada di baris pertama dan menggunakan versi yang sama dalam file Anda.

Juga, saya tidak khawatir tentang merendahkan keamanan dalam situasi khusus ini karena saya terhubung ke VPN terenkripsi dan tuan rumah Windows tidak memiliki akses ke internet dan karenanya tidak memiliki pembaruan terbaru.

File rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Bagi mereka yang menginginkan sesuatu yang mudah disalin / ditempelkan ke command prompt yang ditinggikan:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

1
memiliki Windows 10 edisi rumah, cara sementara tercepat untuk menjalankan dan menjalankan.
ahmad molaie

1
File REG ini harus diimpor pada klien atau server?
nivs1978

@ nivs1978, file ini dimaksudkan untuk digunakan di sisi klien, dengan asumsi bahwa klien memiliki pembaruan yang lebih baru dan server tidak. Jadi itu pada dasarnya akan memungkinkan klien yang paling baru untuk terhubung ke server yang belum diperbarui baru-baru ini.
Rodriguez

Terima kasih! Saya menggunakan Win 10 Home. Saya telah mencopot pemasangan pembaruan menang yang menciptakan masalah ini 10 kali, dan MS terus mengembalikannya, meskipun melakukan segala yang saya bisa untuk menghentikannya. Juga tidak ada Editor Kebijakan (atau tidak dihormati) pada versi Windows ini. Saya mencari kunci reg ini, per dokumen yang saya baca dan tidak ada, jadi saya pikir mereka tidak akan berfungsi. Tapi saya tetap mencoba menjalankan file reg Anda, itu memperbaiki masalah seperti pesona!
BuvinJ

16

Protokol Penyedia Dukungan Keamanan Credential (CredSSP) adalah penyedia otentikasi yang memproses permintaan otentikasi untuk aplikasi lain.

Kerentanan eksekusi kode jarak jauh ada di versi CredSSP yang belum ditambal. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menyampaikan kredensial pengguna untuk mengeksekusi kode pada sistem target. Aplikasi apa pun yang bergantung pada CredSSP untuk otentikasi mungkin rentan terhadap jenis serangan ini.

[...]

13 Maret 2018

Tanggal 13 Maret 2018 awal, pembaruan memperbarui protokol otentikasi CredSSP dan klien Remote Desktop untuk semua platform yang terpengaruh.

Mitigasi terdiri dari menginstal pembaruan pada semua sistem operasi klien dan server yang memenuhi syarat dan kemudian menggunakan pengaturan Kebijakan Grup yang disertakan atau setara berbasis registri untuk mengelola opsi pengaturan pada komputer klien dan server. Kami menyarankan agar administrator menerapkan kebijakan dan mengaturnya untuk "Memaksa klien yang diperbarui" atau "Dimitigasi" pada komputer klien dan server secepat mungkin. Perubahan ini akan membutuhkan reboot dari sistem yang terpengaruh.

Perhatikan baik-baik pasangan Kebijakan Grup atau pengaturan registri yang menghasilkan interaksi "Diblokir" antara klien dan server dalam tabel kompatibilitas nanti di artikel ini.

17 April 2018

Pembaruan pembaruan Remote Desktop Client (RDP) di KB 4093120 akan meningkatkan pesan kesalahan yang disajikan ketika klien yang diperbarui gagal menyambung ke server yang belum diperbarui.

8 Mei 2018

Pembaruan untuk mengubah pengaturan default dari Rentan ke Dimitigasi.

Sumber: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Lihat juga utas reddit ini: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Solusi Microsoft:

  • Perbarui server dan klien. (membutuhkan restart, disarankan)

Pemecahan masalah yang tidak disarankan jika server Anda tersedia untuk umum, atau jika Anda TIDAK memiliki kontrol lalu lintas yang ketat di jaringan internal Anda, tetapi kadang-kadang memulai kembali server RDP dalam jam kerja adalah pekerjaan yang tidak perlu.

  • Tetapkan kebijakan penambalan CredSSP melalui GPO atau Registry. (membutuhkan restart atau gpupdate / force)
  • Copot KB4103727 (tidak perlu restart)
  • Saya pikir menonaktifkan NLA (Network Layer Authentication) juga dapat bekerja. (tidak perlu restart)

Pastikan untuk memahami risiko saat menggunakan itu dan tambalan sistem Anda SECEPATNYA.

[1] Semua deskripsi GPO CredSSP dan modifikasi registri dijelaskan di sini.

[2] contoh pengaturan GPO dan registri jika situs Microsoft turun.


Saya kira begitu, ya. :) Sejauh yang saya tahu Windows 7, Windows 8.1, Windows 10 dan Server 2016 terpengaruh di lingkungan saya. Kesimpulannya kita harus menambal setiap versi Windows yang didukung.
Michal Sokolowski

3
Mengkonfirmasi menonaktifkan NLA di server target berfungsi sebagai solusi sementara.
Ketura

ada yang punya beberapa script PS (Powershell) berguna bagaimana memeriksa ini? Di server dan klien?
Tilo

Apakah kesalahan ini karena RDP di server diperbarui, dan klien tidak, atau klien yang diperbarui, dan server tidak?
nivs1978

@ nivs1978, AFAIR, kedua skenario akan memberikan gejala yang sama.
Michal Sokolowski

7
  1. Pergi ke "Editor Kebijakan Grup Lokal> Template Administratif> Sistem> Delegasi Kredensial> Enkripsi Remediasi Oracle", edit dan aktifkan, kemudian atur "Level Perlindungan" ke "Dimitigasi".
  2. Setel kunci registrasi (dari 00000001 hingga 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Kebijakan \ System \ CredSSP \ Parameter] "AllowEncryptionOracle" = dword:
  3. Mulai ulang sistem Anda jika perlu.

Saya menggunakan langkah pertama dengan pengecualian mengaktifkannya dan mengaturnya ke Rentan. Kemudian saya bisa RDP W10 saya ke mesin W7 pada jaringan
seizethecarp

Saya telah melakukan apa yang Anda sebutkan dan bekerja! Klien W10 dan Server WS2012 R2. Terima kasih!
Phi

4

Penelitian

Mengacu pada artikel ini:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Mei 2018 pembaruan sementara yang dapat memengaruhi kemampuan untuk membuat koneksi sesi RDP host jarak jauh dalam suatu organisasi. Masalah ini dapat terjadi jika klien lokal dan host jarak jauh memiliki pengaturan "Enkripsi Oracle Remediasi" yang berbeda dalam registri yang menentukan cara membuat sesi RDP dengan CredSSP. Opsi pengaturan "Enkripsi Oracle Remediasi" didefinisikan di bawah ini dan jika server atau klien memiliki harapan yang berbeda pada pembentukan sesi RDP aman, koneksi dapat diblokir.

Pembaruan kedua, dijadwalkan untuk dirilis pada 8 Mei 2018, akan mengubah perilaku default dari “Rentan” menjadi “Terancam”.

Jika Anda melihat apakah klien dan server ditambal, tetapi pengaturan kebijakan default dibiarkan pada "Rentan" koneksi RDP adalah "Rentan" untuk diserang. Setelah pengaturan default diubah menjadi "Dimitigasi" maka koneksi menjadi "Aman" secara default.

Resolusi

Berdasarkan informasi ini saya melanjutkan untuk memastikan semua klien ditambal sepenuhnya, saya kemudian berharap masalah ini akan dikurangi.


4

Nilai registri tidak ada di mesin Windows 10 saya. Saya harus pergi ke kebijakan grup lokal berikut dan menerapkan perubahan pada klien saya:

Konfigurasi Komputer -> Template Administratif -> Sistem -> Delegasi Kredensial - Enkripsi Oracle Remediasi

Aktifkan dan setel ke nilai vulnerable.


Ini bekerja untuk saya di W10 yang terhubung ke mesin W7 di jaringan saya
seizethecarp

3

Dianjurkan untuk memperbarui klien, bukan skrip semacam ini untuk hanya memotong kesalahan, tetapi dengan risiko Anda sendiri, Anda dapat melakukan ini pada klien dan tidak perlu me-restart PC klien. Juga tidak perlu mengubah apa pun di server.

  1. Buka Run, ketik gpedit.mscdan klik OK.
  2. Perluas Administrative Templates.
  3. Perluas System.
  4. Terbuka Credentials Delegation.
  5. Di pannel kanan klik dua kali Encryption Oracle Remediation.
  6. Pilih Enable.
  7. Pilih Vulnerabledari Protection Leveldaftar.

Pengaturan kebijakan ini berlaku untuk aplikasi yang menggunakan komponen CredSSP (misalnya: Koneksi Desktop Jarak Jauh).

Beberapa versi protokol CredSSP rentan terhadap serangan oracle terhadap klien. Kebijakan ini mengontrol kompatibilitas dengan klien dan server yang rentan. Kebijakan ini memungkinkan Anda untuk mengatur tingkat perlindungan yang diinginkan untuk kerentanan enkripsi oracle.

Jika Anda mengaktifkan pengaturan kebijakan ini, dukungan versi CredSSP akan dipilih berdasarkan opsi berikut:

Paksa Klien Diperbarui: Aplikasi Klien yang menggunakan CredSSP tidak akan dapat kembali ke versi tidak aman dan layanan menggunakan CredSSP tidak akan menerima klien yang belum ditambal. Catatan: pengaturan ini tidak boleh digunakan sampai semua host jarak jauh mendukung versi terbaru.

Dimitigasi: Aplikasi Klien yang menggunakan CredSSP tidak akan dapat kembali ke versi tidak aman tetapi layanan menggunakan CredSSP akan menerima klien yang belum ditambal. Lihat tautan di bawah untuk informasi penting tentang risiko yang ditimbulkan oleh klien yang belum ditelusuri yang tersisa.

Rentan: Aplikasi Klien yang menggunakan CredSSP akan mengekspos server jarak jauh terhadap serangan dengan mendukung kembali ke versi tidak aman dan layanan yang menggunakan CredSSP akan menerima klien yang belum ditonton.

  1. Klik Terapkan.
  2. Klik OK.
  3. Selesai.

masukkan deskripsi gambar di sini Referensi


Anda merekomendasikan agar orang mengklik opsi yang mengatakan "Rentan". Akan lebih baik untuk menjelaskan apa konsekuensi dari ini, daripada hanya memberikan skrip (baik) untuk melakukannya.
Law29

@ Law29 Anda benar, Diperbarui!
AVB

0

Orang ini memiliki solusi untuk masalah Anda:

Intinya - Anda harus mengubah pengaturan GPO dan Memaksa pembaruan. Tetapi perubahan ini akan membutuhkan reboot untuk berlaku.

  1. Salin kedua file ini dari mesin yang baru diperbarui;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd, Feb 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd Feb 2018 - Folder lokal Anda mungkin berbeda yaitu en-GB)
  2. Di DC, navigasikan ke:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Ubah nama saat ini CredSsp.admxmenjadiCredSsp.admx.old
    • Salin yang baru CredSsp.admxke folder ini.
  3. Pada DC navigasi yang sama ke:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (atau bahasa lokal Anda)
    • Ubah nama saat ini CredSsp.admlmenjadiCredSsp.adml.old
    • Salin CredSsp.admlfile baru ke folder ini.
  4. Coba kebijakan grup Anda lagi.

https://www.petenetlive.com/KB/Article/0001433


0

Seperti yang orang lain katakan, ini karena patch Maret yang dirilis Microsoft. Mereka merilis patch Mei pada 8 Mei yang benar-benar memberlakukan patch Maret. Jadi jika Anda memiliki workstation yang menerima patch Mei dan Anda mencoba untuk terhubung ke server yang belum menerima patch Maret, Anda akan mendapatkan pesan kesalahan di screenshot Anda.

Resolusi Anda benar-benar ingin menambal server sehingga mereka memiliki tambalan Maret. Jika tidak, sementara itu Anda dapat menerapkan Kebijakan Grup atau pengeditan registri.

Anda dapat membaca petunjuk terperinci dalam artikel ini: Cara Memperbaiki Fungsi Kesalahan Otentikasi Tidak Didukung RDP Kesalahan CredSSP

Anda juga dapat menemukan salinan file ADMX dan ADML jika Anda perlu menemukannya.


0

Saya mendapat masalah yang sama. Klien ada di Win7 dan RDS server 2012R2, Klien menerima "2018-05 keamanan perbaruan kualitas bulanan roll up (kb4019264)". Setelah menghapus itu, semuanya baik-baik saja.


0

Saya menemukan beberapa mesin kami berhenti melakukan Pembaruan Windows (kami menjalankan WSUS lokal di seluruh domain kami) sekitar bulan Januari. Saya menduga tambalan sebelumnya yang menyebabkan masalah (mesin akan mengeluh karena ketinggalan zaman, tetapi tidak akan menginstal tambalan Jan yang dibutuhkannya). Karena pembaruan 1803, kami tidak bisa hanya menggunakan Pembaruan Windows dari MS secara langsung untuk memperbaikinya (akan habis karena beberapa alasan dan pembaruan tidak akan berjalan).

Saya dapat mengkonfirmasi bahwa jika Anda menambal mesin ke versi 1803 itu berisi perbaikan untuk ini. Jika Anda memerlukan jalur cepat untuk memperbaikinya, saya menggunakan Pembaruan Pembaruan Windows (tautan teratas yang bertuliskan Pembaruan) untuk melakukan pembaruan secara langsung (tampaknya lebih stabil daripada Pembaruan Windows karena suatu alasan).


Tautan itu menawarkan saya untuk mengunduh Windows 10 ISO. Apakah itu yang Anda maksudkan dengan tautan?
Michael Hampton

@MichaelHampton Tautan bawah adalah untuk alat ISO. Tautan Pembaruan Sekarang adalah untuk Pembantu Pembaruan
Machavity

0

Kami menghapus pembaruan keamanan terbaru KB410731 dan kami dapat terhubung dengan mesin Window 10 di build 1709 dan sebelumnya. Untuk PC, kami dapat memutakhirkan ke build 1803, ini menyelesaikan masalah tanpa mencopot KB4103731.


0

Cukup, coba Nonaktifkan Network Level AuthenticationDari Remote Desktop. Bisakah Anda Periksa gambar berikut:

masukkan deskripsi gambar di sini


0

Buka PowerShell sebagai admin dan jalankan perintah ini:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Coba sekarang untuk terhubung ke server. Itu akan berhasil.


0

Saya menemukan jawabannya di sini , jadi tidak dapat mengklaimnya sebagai milik saya, tetapi menambahkan kunci berikut ke registri saya dan memulai ulang memperbaikinya untuk saya.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

6
Ini berarti bahwa komunikasi Anda dengan semua server yang tidak menerapkan remediasi dekripsi oracle diizinkan untuk diturunkan dan dapat didekripsi. Jadi Anda menempatkan diri Anda dalam risiko. Saat ini bahkan server dengan peningkatan kredSSP tidak menolak klien yang diturunkan peringkat secara default, sehingga itu berarti hampir semua sesi desktop jarak jauh Anda dalam risiko, bahkan jika klien Anda sepenuhnya mutakhir tentang masalah ini!
user188737

1
Perubahan registri ini TIDAK dianjurkan.
Pengamen
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.