Błąd połączenia pulpitu zdalnego po aktualizacji systemu Windows 2018/05/08 - aktualizacje CredSSP dla CVE-2018-0886

Po aktualizacji systemu Windows pojawia się ten błąd podczas próby połączenia się z serwerem za pomocą usługi Podłączanie pulpitu zdalnego.

Po przeczytaniu linku podanego w komunikacie o błędzie wygląda na to, że nastąpiła aktualizacja w dniu 2018/05/08:

8 maja 2018 r

Aktualizacja zmieniająca ustawienie domyślne z Podatnej na Zagrożoną.

Powiązane numery bazy wiedzy Microsoft Knowledge Base są wymienione w CVE-2018-0886.

Czy jest na to rozwiązanie?

(Wysłano odpowiedź w imieniu autora pytania) .

Jak w niektórych odpowiedziach, najlepszym rozwiązaniem tego błędu jest aktualizacja serwera i klientów do wersji> = aktualizacja 2018-05-08 firmy Microsoft.

Jeśli nie możesz zaktualizować obu z nich (tzn. Możesz zaktualizować tylko klienta lub serwer), możesz zastosować jedno z obejść z poniższych odpowiedzi i zmienić konfigurację z powrotem JAK NAJSZYBCIEJ, aby zminimalizować czas trwania luki wprowadzonej przez obejście.

Alternatywna metoda do gpedit przy użyciu cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

Znalazłem jedno rozwiązanie. Jak opisano w linku pomocy , próbowałem wycofać się z aktualizacji 2018/05/08, zmieniając wartość tych zasad grupy:

• Uruchom gpedit.msc

• Konfiguracja komputera -> Szablony administracyjne -> System -> Delegacja poświadczeń -> Rozwiązanie problemu z szyfrowaniem Oracle

Zmień to na Włączone i na poziomie Ochrony, zmień z powrotem na Wrażliwe .

Nie jestem pewien, czy może to przywrócić jakiekolwiek ryzyko wykorzystania mojego połączenia przez osobę atakującą. Mam nadzieję, że Microsoft będzie rozwiązać ten problem wkrótce więc mogę przywrócić ustawienia do zalecamy ustawienie złagodzone .

Innym sposobem jest instalacja klienta Microsoft Remote Desktop z MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Ten problem występuje tylko w mojej maszynie wirtualnej funkcji Hyper-V, a zdalne przenoszenie na maszyny fizyczne jest w porządku.

Przejdź do tego komputera → Ustawienia systemu → Zaawansowane ustawienia systemu na serwerze, a następnie rozwiązałem go, odznaczając docelową maszynę wirtualną „zezwalaj na połączenia tylko z komputerów z uruchomionym Pulpitem zdalnym z uwierzytelnianiem na poziomie sieci (zalecane)”.

Zgodnie z odpowiedzią ac19501 utworzyłem dwa pliki rejestru, aby to ułatwić:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

Zaktualizuj w przykładzie GPO na ekranie drukowania.

Na podstawie odpowiedzi „reg add” HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Zrzut ekranu

Ścieżka klucza: Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parametry
Nazwa wartości: AllowEncryptionOracle
Dane wartości: 2

Natknąłem się na te same problemy. Lepszym rozwiązaniem byłoby zaktualizowanie komputera, z którym się łączysz, zamiast używania odpowiedzi Pham X Bach na niższy poziom bezpieczeństwa.

Jeśli jednak z jakiegoś powodu nie można zaktualizować komputera, jego obejście działa.

Musisz zainstalować Windows Update dla serwera i wszystkich klientów. Aby wyszukać aktualizację, przejdź do https://portal.msrc.microsoft.com/en-us/security-guidance , a następnie wyszukaj CVE 2018-0886 i wybierz aktualizację zabezpieczeń dla zainstalowanej wersji systemu Windows.

Musisz zaktualizować system Windows Server za pomocą usługi Windows Update. Wszystkie wymagane łatki zostaną zainstalowane. Następnie możesz ponownie połączyć się z serwerem za pośrednictwem pulpitu zdalnego.

Musisz zainstalować KB4103725

Czytaj więcej na: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725

W przypadku serwerów możemy również zmienić ustawienie za pomocą Remote PowerShell (zakładając, że WinRM jest włączony itp.)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Teraz, jeśli tym ustawieniem zarządza GPO domeny, możliwe jest, że zostanie ono przywrócone, więc musisz sprawdzić GPO. Ale dla szybkiej naprawy to działa.

Odniesienie: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Inną opcją, jeśli masz dostęp do wiersza poleceń (mamy serwer SSH działający w tym polu), jest uruchomienie „sconfig.cmd” z wiersza poleceń. Otrzymasz menu takie jak poniżej:

Wybierz opcję 7 i włącz ją dla wszystkich klientów, nie tylko bezpiecznych.

Gdy to zrobisz, możesz zdalnie podłączyć pulpit. Wygląda na to, że problem polegał na tym, że nasze systemy klienckie zostały zaktualizowane pod kątem nowych zabezpieczeń, ale nasze serwery były opóźnione w zakresie aktualizacji. Sugeruję pobranie aktualizacji, a następnie ponowne włączenie tego ustawienia zabezpieczeń.

Odinstaluj:

• W systemie Windows 7 i 8.1: KB4103718 i / lub KB4093114 
• W systemie Windows 10: KB4103721 i / lub serwer KB4103727 bez aktualizacji 

Ta aktualizacja zawiera poprawkę luki w zabezpieczeniach CVE-2018-0886. Na niesklepionym serwerze pozwala im wejść bez nich.