Це може бути пов’язано з виправленням оракулу Oracle для шифрування CredSSP - RDP на хості Windows 10 pro


47

Помилка

Після оновлень безпеки Windows у травні 2018 року при спробі RDP на робочу станцію Windows 10 Pro після успішного введення облікових даних користувачів відображається таке повідомлення про помилку:

Виникла помилка аутентифікації. Запрошена функція не підтримується.

Це може бути пов’язано з виправленням оракул-шифрування CredSSP

Знімок екрана

введіть тут опис зображення

Налагодження

  • Ми підтвердили правильність облікових даних користувачів.

  • Перезавантажили робочу станцію.

  • Підтверджені послуги служб каталогів prem працюють.

  • Ізольовані робочі станції, які ще застосовують майновий виправлення, не виконуються.

Можливо, тимчасово керувати на хазяйських колах, однак стурбовані доступом до хмарного сервера. На сервері 2016 ще жодних випадків.

Дякую

Відповіді:


20

Виходячи повністю з відповіді Ґрейма Катберта, я створив текстовий файл у Блокноті з наступними рядками і лише двічі клацнув його після цього (що має додати до Реєстру Windows будь-які параметри файлу).

Просто зауважте, що перший рядок змінюється залежно від версії Windows, яку ви використовуєте, тому може бути корисним відкрити regeditта експортувати будь-яке правило, просто щоб побачити, що знаходиться в першому рядку та використовувати ту саму версію у вашому файлі.

Крім того, я не переймаюся заниженням безпеки в цій конкретній ситуації, тому що я підключаюся до зашифрованого VPN, і хост Windows не має доступу до Інтернету і, отже, не має останнього оновлення.

Файл rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Для тих, хто хотів би щось легко скопіювати / вставити у підвищений командний рядок:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

1
маючи домашнє видання Windows 10, найшвидший тимчасовий спосіб оновлення та роботи.
ahmad molaie

1
Цей файл REG потрібно імпортувати на клієнті чи сервері?
nivs1978

@ nivs1978, цей файл призначений для використання на стороні клієнта, припускаючи, що клієнт має новіші оновлення, а сервер - ні. Таким чином, це дозволить найбільш оновленому клієнту підключитися до сервера, який останнім часом не оновлювався.
Родрігес

Дякую! Я використовую програму Win 10 Home. Я видалив оновлення win, яке створило цю проблему 10 разів, і MS продовжує відкладати її, незважаючи на те, що роблю все, що могла, щоб зупинити таке. У цій версії Windows також немає редактора політики (або його не дотримуються). Я шукав ці рег-ключі, за документами, які я прочитав, а їх не існувало, тому я зрозумів, що вони не працюватимуть. Але я все-таки спробував запустити ваш файл рег., Це вирішило проблему як шарм!
BuvinJ

16

Протокол постачальника підтримки довіреності безпеки (CredSSP) - це постачальник аутентифікації, який обробляє запити аутентифікації для інших програм.

У незахищених версіях CredSSP існує вразливість виконання віддаленого коду. Зловмисник, який успішно використовує цю вразливість, може передати облікові дані користувачів для виконання коду в цільовій системі. Будь-яка програма, яка залежить від CredSSP для аутентифікації, може бути вразлива для цього типу атаки.

[...]

13 березня 2018 року

Початковий випуск 13 березня 2018 р. Оновлює протокол автентифікації CredSSP та клієнтів віддаленого робочого столу для всіх платформ, які впливають на це.

Пом'якшення наслідків полягає у встановленні оновлення на всіх операційних системах клієнта та сервера, а потім використання включених параметрів групової політики або еквівалентів на основі реєстру для керування параметрами налаштування на клієнтських та серверних комп'ютерах. Ми рекомендуємо адміністраторам застосовувати політику та встановлювати її якнайшвидше на "Примусово оновити клієнтів" або "Пом'якшити" на клієнтських та серверних комп'ютерах. Ці зміни потребують перезавантаження постраждалих систем.

Зверніть пильну увагу на пари групових політик чи налаштувань реєстру, які призводять до "заблокованих" взаємодій між клієнтами та серверами в таблиці сумісності, що знаходиться далі у цій статті.

17 квітня 2018 року

Оновлення оновлення клієнта віддаленого робочого столу (RDP) в KB 4093120 покращить повідомлення про помилку, яке подається, коли оновлений клієнт не зможе підключитися до сервера, який не оновлювався.

8 травня 2018 року

Оновлення для зміни налаштувань за замовчуванням з Уразливого на Пом'якшене.

Джерело: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Дивіться також цю нитку reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Майкрософт:

  • Оновлення сервера та клієнта. (потрібен перезапуск, рекомендовано)

Не рекомендується вирішувати шляхи вирішення, якщо ваш сервер є загальнодоступним або якщо у вас немає жорсткого контролю трафіку у вашій внутрішній мережі, але іноді перезапуск сервера RDP у робочий час - не йде.

  • Встановіть політику виправлення CredSSP через GPO або Реєстр. (потрібен перезапуск або gpupdate / force)
  • Видаліть KB4103727 (перезапуск не потрібно)
  • Я думаю, що відключення NLA (Network Layer Authentication) може також працювати. (не потрібен перезапуск)

Не забудьте зрозуміти ризики під час використання цих даних та налагодити систему якнайшвидше.

[1] Тут описані всі описи та зміни реєстру GPO CredSSP.

[2] приклади налаштувань GPO та реєстру у випадку, якщо сайт Майкрософт знизиться.


Я так думаю, так. :) Наскільки я можу сказати, Windows 7, Windows 8.1, Windows 10 і Server 2016 впливають на моє середовище. Підсумовуючи, ми повинні виправити кожну підтримувану версію Windows.
Міхал Соколовський

3
Підтвердження відключення NLA на цільовому сервері працює як тимчасове вирішення.
Кетора

у когось підходить PS (Powershell) скрипт, як це перевірити? На сервері та клієнті?
Тіло

Це помилка через те, що RDP на сервері оновлюється, а клієнт - ні, або клієнти оновлюються, а сервер - ні?
nivs1978

@ nivs1978, AFAIR, обидва сценарії дадуть однакові симптоми.
Міхал Соколовський

7
  1. Перейдіть до "Редактора локальної групової політики> Адміністративні шаблони> Система> Делегування облікових даних> Шифрування Oracle Remediation", відредагуйте та ввімкніть її, після чого встановіть "Рівень захисту" на "Пом'якшено".
  2. Встановіть ключ реєстру (від 00000001 до 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Параметри] "AllowEncryptionOracle" = dword:
  3. Перезавантажте систему, якщо потрібно.

Я використав перший крок за винятком ввімкнення та встановлення на Вразливий. Тоді я зміг перенести свій W10 на машину W7 в мережі
seizethecarp

Я зробив так, як ви згадали і працювали! Клієнт W10 та сервер WS2012 R2. Дякую!
Пi

4

Дослідження

Посилаючись на цю статтю:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Орієнтовне оновлення травня 2018 року, яке може вплинути на можливість встановлення віддалених сеансів RDP-сеансу хоста в організації. Ця проблема може виникнути, якщо локальний клієнт та віддалений хост у реєстрі відрізняються налаштуваннями «Шифрування Oracle Remediation», які визначають, як створити сеанс RDP за допомогою CredSSP. Параметри налаштування "Шифрування Oracle Remediation" визначені нижче, і якщо сервер або клієнт мають різні очікування щодо створення безпечної сесії RDP, з'єднання може бути заблоковано.

Друге оновлення, орієнтовно заплановане до виходу на 8 травня 2018 року, змінить поведінку за замовчуванням з "Уразливого" на "Полегшеного".

Якщо ви помітили, що і клієнт, і сервер виправлені, але параметр політики за замовчуванням залишається на "Уразливий", з'єднання RDP є "Уразливим" для атаки. Як тільки налаштування за замовчуванням буде змінено на "Пом'якшено", то з'єднання за замовчуванням стає "Безпечним".

Дозвіл

Виходячи з цієї інформації, я намагаюся забезпечити повне виправлення всіх клієнтів, тоді я б очікував, що проблема буде усунена.


4

Значення реєстру не було на моїй машині Windows 10. Мені довелося перейти до наступної політики місцевої групи та застосувати зміни до свого клієнта:

Конфігурація комп'ютера -> Адміністративні шаблони -> Система -> Делегування облікових даних - Шифрування Оправлення Oracle

Увімкнути та встановити значення vulnerable.


Це працювало для мене на підключенні W10 до машини W7 в моїй мережі
seizethecarp

3

Рекомендується оновлювати клієнт замість таких сценаріїв, щоб просто обійти помилку, але на власний ризик ви можете це зробити на клієнті і не потрібно перезавантажувати клієнтський ПК. Також не потрібно змінювати будь-які речі на сервері.

  1. Відкрийте Run, введіть gpedit.mscта натисніть OK.
  2. Розгорнути Administrative Templates.
  3. Розгорнути System.
  4. Відкрити Credentials Delegation.
  5. На правій панелі двічі клацніть на Encryption Oracle Remediation.
  6. Виберіть Enable.
  7. Виберіть Vulnerableзі Protection Levelсписку.

Цей параметр політики застосовується до програм, що використовують компонент CredSSP (наприклад: Підключення до віддаленого робочого столу).

Деякі версії протоколу CredSSP вразливі до атаки оракул шифрування на клієнта. Ця політика контролює сумісність з уразливими клієнтами та серверами. Ця політика дозволяє встановити бажаний рівень захисту для вразливості Oracle для шифрування.

Якщо ввімкнути це налаштування політики, підтримка версії CredSSP буде обрана на основі таких варіантів:

Примусові оновлені клієнти: Клієнтські програми, які використовують CredSSP, не зможуть повернутися до незахищених версій, а сервіси, що використовують CredSSP, не прийматимуть незапакованих клієнтів. Примітка: цей параметр не слід розгортати, поки всі віддалені хости не підтримують найновішу версію.

Пом’якшені: клієнтські програми, які використовують CredSSP, не зможуть повернутися до незахищеної версії, але сервіси, що використовують CredSSP, прийматимуть невлаштованих клієнтів. Перейдіть за посиланням нижче, щоб отримати важливу інформацію про ризик, який створюють залишилися незавершені клієнти.

Уразливі: Клієнтські програми, які використовують CredSSP, піддаватимуть віддалених серверів атак, підтримуючи відкидання до незахищених версій, а сервіси, що використовують CredSSP, прийматимуть невлаштованих клієнтів.

  1. Клацніть Застосувати.
  2. Натисніть кнопку ОК.
  3. Зроблено.

введіть тут опис зображення Довідково


Ви рекомендуєте людям натиснути на опцію "Уразливий". ІТ було б добре пояснити, якими будуть наслідки цього, а не просто дати (хороший) сценарій для цього.
Закон29

@ Law29 Ви маєте рацію, оновлено!
AVB

0

У цього хлопця є рішення для вашої точної проблеми:

По суті - вам доведеться змінити налаштування GPO та примусити оновити. Але для цих змін потрібна перезавантаження.

  1. Скопіюйте ці два файли із щойно оновленої машини;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Did Feb 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd Feb 2018 - Ваша локальна папка може бути різною, тобто en-GB)
  2. На постійному струмі перейдіть до:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Перейменуйте поточний CredSsp.admxнаCredSsp.admx.old
    • Скопіюйте нове CredSsp.admxв цю папку.
  3. У цьому ж DC перейдіть до:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (або вашою місцевою мовою)
    • Перейменуйте поточний CredSsp.admlнаCredSsp.adml.old
    • Скопіюйте новий CredSsp.admlфайл у цю папку.
  4. Спробуйте свою групову політику ще раз.

https://www.petenetlive.com/KB/Article/0001433


0

Як говорили інші, це через мартену виправлення, яку випустила Microsoft. 8 травня вони випустили травневий патч, який фактично застосовує березень. Отже, якщо у вас є робоча станція, яка отримала травневий патч, і ви намагаєтеся підключитися до сервера, який не отримав березень-патч, ви отримаєте повідомлення про помилку на екрані екрану.

Роздільна здатність Ви дійсно хочете виправити сервери, щоб вони мали маршовий патч. В іншому випадку ви можете застосувати групову політику або редагування реєстру.

Ви можете прочитати докладні інструкції в цій статті: Як виправити помилку функції автентифікації Не підтримується помилка RDP CredSSP

Ви також можете знайти копії файлів ADMX та ADML у випадку, якщо вам потрібно їх знайти.


0

Я отримав те саме питання. Клієнти перебувають на серверах Win7, а RDS - 2012R2. Клієнти отримали "Щомісячне оновлення якості безпеки в 2018-05 роках (kb4019264)". Після цього видаліть все добре.


0

Я виявив, що деякі наші машини перестали виконувати оновлення Windows (ми працюємо на локальному WSUS в нашому домені) десь у січні. Я здогадуюсь, що попередній виправлення спричинив проблему (машина скаржиться на застарілість, але не встановила б патчі Jan, які сказали, що це потрібно). Зважаючи на оновлення 1803, ми не могли просто скористатись оновленням Windows з MS безпосередньо для її виправлення (час із затримкою буде чомусь, і оновлення не працюватимуть).

Я можу підтвердити, що якщо ви прив’язали машину до версії 1803, вона містить виправлення цього. Якщо вам потрібен швидкий шлях, щоб виправити це, я скористався помічником оновлення Windows (верхнє посилання, на якому написано оновлення), щоб безпосередньо оновити оновлення (чомусь здається більш стабільним, ніж оновлення Windows).


Це посилання пропонує мені завантажити Windows 10 ISO. Це те, що ти мав на меті пов’язати?
Майкл Хемптон

@MichaelHampton Нижня посилання призначена для інструмента ISO. Посилання «Оновити зараз» призначене для помічника оновлення
Machavity

0

Ми видалили це останнє оновлення безпеки KB410731, і нам вдалося підключитися до машин Window 10 у версії 1709 та новіших версій. Для ПК, які ми могли оновити до 1803, це вирішило проблему, не видаляючи KB4103731.


0

Просто спробуйте відключити Network Level Authenticationвіддалений робочий стіл. Чи можете ви, будь ласка, перевірте таке зображення:

введіть тут опис зображення


0

Відкрийте PowerShell як адміністратор і запустіть цю команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Спробуйте зараз підключитися до сервера. Це спрацює.


0

Я знайшов відповідь тут , так що не можу стверджувати це як самостійно, але додавши наступний ключ до мого реєстру і перезавантаження встановив її для мене.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

6
Це означає, що ваше спілкування з усіма серверами, які не застосовують виправлення розшифровки Oracle, може бути знижено і може бути розшифровано. Отже, ви ставите себе під загрозу. В даний час навіть сервери з оновленою версією CPSSP за замовчуванням не відмовляють клієнтам, що знижують програму, тому це означатиме, що практично всі ваші сеанси віддаленого робочого столу знаходяться під загрозою, навіть якщо ваш клієнт повністю оновлений у цьому питанні!
користувач188737

1
Ця зміна реєстру НЕ рекомендується.
спудер
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.