Помилка підключення до віддаленого робочого столу після оновлення Windows 2018/05/08 - оновлення CredSSP для CVE-2018-0886

Після оновлення Windows я отримую цю помилку при спробі підключення до сервера за допомогою підключення до віддаленого робочого столу.

Якщо читати посилання, надане повідомленням про помилку, це здається через оновлення на 2018/05/08:

8 травня 2018 року

Оновлення для зміни налаштувань за замовчуванням з Уразливого на Пом'якшене.

Пов'язані номери бази знань Microsoft перераховані в CVE-2018-0886.

Чи є для цього рішення?

(Опублікував відповідь від імені автора питання) .

Як і в деяких відповідях, найкращим рішенням для цієї помилки є оновлення як сервера, так і клієнтів до версії> = оновлення 2018-05-08 від Microsoft.

Якщо ви не можете оновити їх обох (тобто ви можете оновити лише клієнта або сервера), ви можете застосувати одне з обхідних шляхів із відповідей нижче та змінити конфігурацію назад якнайшвидше, щоб ви мінімізували тривалість вразливості, запровадженої методом вирішення.

Альтернативний метод gpedit за допомогою cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

Я знайшов одне рішення. Як описано у посиланні довідки , я спробував відмовитись від оновлення 2018/05/08, змінивши значення цієї групової політики:

• Запустіть gpedit.msc

• Конфігурація комп'ютера -> Адміністративні шаблони -> Система -> Делегування облікових даних -> Шифрування Оправлення Oracle

Змініть його на Увімкнути та на рівні захисту, поверніть на Вразливий .

Я не впевнений, чи може це відбити будь-який ризик того, що зловмисник може використати моє з'єднання. Я сподіваюся, що Microsoft виправить це незабаром, щоб я міг відновити налаштування до рекомендованої настройки Пом'якшення .

Інший спосіб - встановити клієнт Microsoft Remote Desktop з MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Ця проблема трапляється лише в моїй машині Hyper-V VM, і видалення на фізичні машини нормально.

Перейдіть до цього ПК → Налаштування системи → Розширені системні налаштування на сервері, і тоді я вирішив це, знявши позначку цільової VM "дозволяти з'єднання лише з комп'ютерів, на яких працює віддалений робочий стіл з автентифікацією на рівні мережі (рекомендується)"

Після відповіді ac19501 я створив два файли реєстру, щоб полегшити це:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

Оновлення на прикладі GPO на екрані друку.

На підставі відповіді "reg add" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Зображення екрана

Основний шлях: Програмне забезпечення \ Microsoft \ Windows \ CurrentVersion \ Політика \ Система \ CredSSP \ Параметри
Ім'я Значення: AllowEncryptionOracle
Дані про значення: 2

Я зіткнувся з тими ж проблемами. Кращим рішенням буде оновити машину, до якої ви підключаєтесь, а не використовувати відповідь Pham X Bach для зниження рівня безпеки.

Однак якщо ви не можете оновити апарат з певних причин, його вирішення працює.

Потрібно встановити оновлення Windows для сервера та всіх клієнтів. Щоб шукати оновлення, перейдіть за посиланням https://portal.msrc.microsoft.com/en-us/security-guidance , потім знайдіть CVE 2018-0886 та виберіть оновлення безпеки для встановленої версії Windows.

Потрібно оновити свій сервер Windows за допомогою оновлення Windows. Всі необхідні виправлення будуть встановлені. Потім ви зможете знову підключитися до свого сервера через віддалений робочий стіл.

Потрібно встановити kb4103725

Детальніше читайте на сайті: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725

Для серверів ми також можемо змінити налаштування за допомогою віддаленої PowerShell (при умові, що WinRM увімкнено тощо)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Тепер, якщо цим налаштуванням керує GPO домену, можливо, він відновиться, тому вам потрібно перевірити групову групу. Але для швидкого виправлення це працює.

Довідка: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Інший варіант, якщо у вас є доступ до командного рядка (у нас на сервері працює SSH-сервер), є запустити "sconfig.cmd" з командного рядка. Ви отримуєте таке меню, як нижче:

Виберіть варіант 7 та ввімкніть його для всіх клієнтів, а не лише для безпечного.

Після цього ви можете видалити робочий стіл. Для нас виглядає проблема, коли наші клієнтські системи оновлювались для нової безпеки, але наші серверні скриньки були позаду на оновленнях. Я б запропонував отримати оновлення, а потім увімкнути цей параметр безпеки.

Видалити:

• Для Windows 7 та 8.1: KB4103718 та / або KB4093114 
• Для Windows 10: сервер KB4103721 та / або KB4103727 без оновлень 

Це оновлення містить виправлення для вразливості CVE-2018-0886. На непатч-сервері він дозволяє без них.