Kesalahan koneksi desktop jarak jauh setelah memperbarui Windows 2018/05/08 - Pembaruan CredSSP untuk CVE-2018-0886

Setelah Pembaruan Windows, saya mendapatkan kesalahan ini ketika mencoba terhubung ke server menggunakan Remote Desktop Connection.

Saat membaca tautan yang disediakan oleh pesan kesalahan, sepertinya karena pembaruan di 2018/05/08:

8 Mei 2018

Pembaruan untuk mengubah pengaturan default dari Rentan ke Dimitigasi.

Nomor Pangkalan Pengetahuan Microsoft terkait tercantum di CVE-2018-0886.

Apakah ada solusi untuk ini?

(Diposting jawaban atas nama penulis pertanyaan) .

Seperti dalam beberapa jawaban, solusi terbaik untuk kesalahan ini adalah memperbarui server dan klien ke versi> = pembaruan 2018-05-08 dari Microsoft.

Jika Anda tidak dapat memperbarui keduanya (yaitu, Anda hanya dapat memperbarui klien atau server) maka Anda dapat menerapkan salah satu solusi dari jawaban di bawah ini, dan mengubah kembali konfigurasi ASAP sehingga Anda meminimalkan durasi kerentanan yang diperkenalkan oleh solusi.

Metode alternatif untuk gpedit menggunakan cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

Saya menemukan satu solusi. Seperti yang dijelaskan dalam tautan bantuan , saya mencoba memutar mundur dari pembaruan 2018/05/08 dengan mengubah nilai kebijakan grup ini:

• Jalankan gpedit.msc

• Konfigurasi Komputer -> Template Administratif -> Sistem -> Delegasi Kredensial -> Enkripsi Remediasi Oracle

Ubah ke Aktifkan dan di tingkat Perlindungan, ubah kembali ke Rentan .

Saya tidak yakin apakah itu dapat mengembalikan risiko penyerang mengeksploitasi koneksi saya. Saya harap Microsoft akan segera memperbaikinya sehingga saya dapat mengembalikan pengaturan ke pengaturan rekomendasi yang Dimitigasi .

Cara lain adalah menginstal klien Remote Desktop Microsoft dari MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Masalah ini hanya terjadi di Hyper-V VM saya, dan mengirim ulang ke mesin fisik tidak masalah.

Buka PC ini → Pengaturan Sistem → Pengaturan Sistem Lanjut di server dan kemudian saya menyelesaikannya dengan menghapus centang pada target VM "izinkan koneksi hanya dari komputer yang menjalankan Remote Desktop dengan Otentikasi Level Jaringan (disarankan)".

Mengikuti jawaban ac19501, saya telah membuat dua file registri untuk mempermudah ini:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

Pembaruan pada contoh GPO di layar cetak.

Berdasarkan jawaban "reg tambahkan" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Kebijakan \ Sistem \ CredSSP \ Parameter "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Layar Cetak

Jalur Utama: Perangkat Lunak \ Microsoft \ Windows \ CurrentVersion \ Kebijakan \ System \ CredSSP \ Parameter
Nilai Nama: AllowEncryptionOracle
Nilai data: 2

Saya menemukan masalah yang sama. Solusi yang lebih baik adalah memperbarui mesin yang Anda hubungkan daripada menggunakan Pham X Bach untuk memberikan tingkat keamanan yang lebih rendah.

Namun, jika Anda tidak dapat memperbarui mesin karena suatu alasan solusinya bekerja.

Anda perlu menginstal Pembaruan Windows untuk server dan semua klien. Untuk mencari pembaruan, buka https://portal.msrc.microsoft.com/en-us/security-guidance , lalu cari CVE 2018-0886 dan pilih Pembaruan Keamanan untuk versi Windows yang diinstal.

Anda perlu memperbarui Server Windows Anda menggunakan Pembaruan Windows. Semua tambalan yang diperlukan akan diinstal. Kemudian Anda dapat terhubung ke server Anda melalui Remote Desktop lagi.

Anda harus menginstal kb4103725

Baca lebih lanjut di: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725

Untuk server, kami juga dapat mengubah pengaturan melalui Remote PowerShell (dengan anggapan WinRM diaktifkan, dll ...)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Sekarang, jika pengaturan ini dikelola oleh GPO domain, ada kemungkinan itu akan dikembalikan, jadi Anda perlu memeriksa GPO. Tetapi untuk perbaikan cepat, ini berfungsi.

Referensi: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Opsi lain jika Anda memiliki akses ke baris perintah (kami memiliki server SSH yang berjalan di kotak) adalah menjalankan "sconfig.cmd" dari baris perintah. Anda mendapatkan menu seperti di bawah ini:

Pilih opsi 7, dan nyalakan untuk semua klien, bukan hanya aman.

Setelah itu selesai, Anda dapat remote desktop masuk. Sepertinya bagi kami masalahnya adalah sistem klien kami mendapat pembaruan untuk keamanan baru, tetapi kotak server kami ketinggalan pada pembaruan. Saya sarankan untuk mendapatkan pembaruan dan kemudian mengaktifkan kembali pengaturan keamanan ini.

Copot pemasangan:

• Untuk Windows 7 dan 8.1: KB4103718 dan / atau KB4093114 
• Untuk Windows 10: KB4103721 dan / atau server KB4103727 tanpa pembaruan 

Pembaruan ini berisi tambalan untuk kerentanan CVE-2018-0886. Pada server yang tidak ditambal itu memungkinkan mereka masuk tanpa mereka.