Помилка підключення до віддаленого робочого столу після оновлення Windows 2018/05/08 - оновлення CredSSP для CVE-2018-0886


90

Після оновлення Windows я отримую цю помилку при спробі підключення до сервера за допомогою підключення до віддаленого робочого столу.

Якщо читати посилання, надане повідомленням про помилку, це здається через оновлення на 2018/05/08:

8 травня 2018 року

Оновлення для зміни налаштувань за замовчуванням з Уразливого на Пом'якшене.

Пов'язані номери бази знань Microsoft перераховані в CVE-2018-0886.

Чи є для цього рішення?

Помилка RDC


1
(Мета: оновлення йдуть в кінці публікацій, щоб переконатися, що вони ще зрозумілі для нових читачів, а відповіді йдуть у просторі відповідей, а не об'єднуються у питання. Дякую).
півзахисник

Відповіді:


21

(Опублікував відповідь від імені автора питання) .

Як і в деяких відповідях, найкращим рішенням для цієї помилки є оновлення як сервера, так і клієнтів до версії> = оновлення 2018-05-08 від Microsoft.

Якщо ви не можете оновити їх обох (тобто ви можете оновити лише клієнта або сервера), ви можете застосувати одне з обхідних шляхів із відповідей нижче та змінити конфігурацію назад якнайшвидше, щоб ви мінімізували тривалість вразливості, запровадженої методом вирішення.


Це один з тих рідкісних випадків, коли прийнята відповідь є також найкращою відповіддю. Інші відповіді залишають вас вразливими до CVE-2018-0886: "Уразливість виконання віддаленого коду існує в непатч-версіях CredSSP. Зловмисник, який успішно використовує цю вразливість, може передати облікові дані користувачів для виконання коду в цільовій системі . Будь-яка програма, яка залежить від CredSSP для автентифікації може бути вразливим для цього типу атаки. "
Брайам

Ми знайшли зручний неінвазивний спосіб вирішення - нам вдалося виконати RDP, використовуючи один із наших серверів у якості перемикання
OutstandingBill

Будь-яка ідея, наскільки серйозною є вразливість, якщо і клієнт, і сервер знаходяться в одній локальній мережі і піддаються лише Інтернет за маршрутизатором без відкритих портів?
Кевконг

@Kevkong: це відповідь на вікі, яку я опублікував для автора запитання. Ви можете надіслати їх під запитання, якщо хочете.
півзахисник

Привіт @Peter: дякую за внесені зміни Переважно з ними згодні, але мета-введення необхідне IMO, щоб залишатися в межах ліцензійних правил атрибуції. У мене є декілька сотень таких на Stack Overflow, і думка від Meta полягає в тому, що не тільки це потрібно залишатись, але деякі люди вважають, що це недостатньо, і ОП слід назвати. Цей погляд на інший вигляд не здобув великої тяги, але показує широту думок про те, як атрибуцію найкраще досягти. Але, в основному, ми не можемо стерти авторство. Чи можна це відновити, будь ласка?
півзахисник

90

Альтернативний метод gpedit за допомогою cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

4
Рятувальник. Для тих, хто використовує Windows 10 Home, це повинно працювати ідеально. Просто не забудьте запустити cmd як адміністратор.

1
Ця команда працює на Windows 8. Дякую
Джайрат

1
Власне проблема полягала в тому, що оновлення все ще встановлюються на сервер, тому підключення не було можливим. Тільки чекали, і це спрацювало. serverfault.com/questions/387593/…
tobiak777

1
@pghcpa Ігноруйте це, команда створює відсутні вузли реєстру та вставляє для вас параметр. Це дійсно економія життя, якщо ви не можете оновити сервер із патчем безпеки, який спричинив цю проблему.
Гергелі Лукачсі

1
Я не знаю чому, але його робочий Дякую
dian

39

Я знайшов одне рішення. Як описано у посиланні довідки , я спробував відмовитись від оновлення 2018/05/08, змінивши значення цієї групової політики:

  • Запустіть gpedit.msc

  • Конфігурація комп'ютера -> Адміністративні шаблони -> Система -> Делегування облікових даних -> Шифрування Оправлення Oracle

Змініть його на Увімкнути та на рівні захисту, поверніть на Вразливий .

Я не впевнений, чи може це відбити будь-який ризик того, що зловмисник може використати моє з'єднання. Я сподіваюся, що Microsoft виправить це незабаром, щоб я міг відновити налаштування до рекомендованої настройки Пом'якшення .

Введіть тут опис зображення


У моїй системі немає такої опції для "Шифрування Oracle Remediation" там, це сервер Windows 2012. Схоже, застосовано оновлення безпеки 5/8.

4
Я виявив, що для нас клієнт був «питанням». На серверах не було останніх оновлень. У клієнтів було останнє оновлення, щоб вони не працювали. Після оновлення сервера все працювало.

Для тих, хто не впевнений, з чого почати, запустіть "gpedit.msc", після чого дотримуйтесь вказівок вище.
Глен Малий

Це не працює в моїй системі Windows 10. Оновлення ключа реєстру CredSSP вручну дозволяє мені підключитися - що я маю намір зробити досить довго, щоб виправити машину до поточного стандарту.
Том Ш

12

Інший спосіб - встановити клієнт Microsoft Remote Desktop з MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps


2
Дякую, сподіваємось, що одного разу буде замість папки спільного використання копіювати / вставити файл. Майте лише обмінний буфер обміну, щоб скопіювати / вставити текст
Pham X. Бах

У клієнта RDP для додатків Windows App Store бракує стільки функцій налаштування та інтеграції вбудованого mstsc.exe, що важко сприймати серйозно. З точки зору безпеки, він навіть не дозволяє переглядати сертифікат, який використовується для захищених з'єднань (востаннє я перевіряв), йому також не вистачає підтримки смарт-карт, розблокування декількох моніторів, переадресації диска тощо. Власна таблиця порівняння Microsoft розкриває, наскільки це анемія: docs.microsoft.com/en-us/windows-server/remote/…
Дай

6

Ця проблема трапляється лише в моїй машині Hyper-V VM, і видалення на фізичні машини нормально.

Перейдіть до цього ПК → Налаштування системи → Розширені системні налаштування на сервері, і тоді я вирішив це, знявши позначку цільової VM "дозволяти з'єднання лише з комп'ютерів, на яких працює віддалений робочий стіл з автентифікацією на рівні мережі (рекомендується)"

Зніміть цей прапорець


Чорт забирай. Я включив цей варіант, забув про це, і через 2 години я зрозумів, що це проблема. 😩
Шафік аль-Шаар

3

Після відповіді ac19501 я створив два файли реєстру, щоб полегшити це:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

2

Оновлення на прикладі GPO на екрані друку.

На підставі відповіді "reg add" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Зображення екрана

Основний шлях: Програмне забезпечення \ Microsoft \ Windows \ CurrentVersion \ Політика \ Система \ CredSSP \ Параметри
Ім'я Значення: AllowEncryptionOracle
Дані про значення: 2


2

Я зіткнувся з тими ж проблемами. Кращим рішенням буде оновити машину, до якої ви підключаєтесь, а не використовувати відповідь Pham X Bach для зниження рівня безпеки.

Однак якщо ви не можете оновити апарат з певних причин, його вирішення працює.


Вибачте за нерозуміння вашої відповіді. Так, найкращим рішенням повинно бути сервер оновлення та всі клієнти до версії> = оновлення 2018/05/08 від MS
Pham X. Бах

1

Потрібно встановити оновлення Windows для сервера та всіх клієнтів. Щоб шукати оновлення, перейдіть за посиланням https://portal.msrc.microsoft.com/en-us/security-guidance , потім знайдіть CVE 2018-0886 та виберіть оновлення безпеки для встановленої версії Windows.


1

Потрібно оновити свій сервер Windows за допомогою оновлення Windows. Всі необхідні виправлення будуть встановлені. Потім ви зможете знову підключитися до свого сервера через віддалений робочий стіл.

Потрібно встановити kb4103725

Детальніше читайте на сайті: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


Для тих хлопців, які втратили доступ до віддаленого сервера, я все ще можу отримати доступ до своїх серверів за допомогою віддаленого робочого столу для Android. Потім ви можете встановити виправлення та вирішити проблему з підключеннями до віддаленого робочого столу від клієнтів Windows.

1

Для серверів ми також можемо змінити налаштування за допомогою віддаленої PowerShell (при умові, що WinRM увімкнено тощо)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Тепер, якщо цим налаштуванням керує GPO домену, можливо, він відновиться, тому вам потрібно перевірити групову групу. Але для швидкого виправлення це працює.

Довідка: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell


1

Інший варіант, якщо у вас є доступ до командного рядка (у нас на сервері працює SSH-сервер), є запустити "sconfig.cmd" з командного рядка. Ви отримуєте таке меню, як нижче:

Введіть тут опис зображення

Виберіть варіант 7 та ввімкніть його для всіх клієнтів, а не лише для безпечного.

Після цього ви можете видалити робочий стіл. Для нас виглядає проблема, коли наші клієнтські системи оновлювались для нової безпеки, але наші серверні скриньки були позаду на оновленнях. Я б запропонував отримати оновлення, а потім увімкнути цей параметр безпеки.


1

Видалити:

  • Для Windows 7 та 8.1: KB4103718 та / або KB4093114 
  • Для Windows 10: сервер KB4103721 та / або KB4103727 без оновлень 

Це оновлення містить виправлення для вразливості CVE-2018-0886. На непатч-сервері він дозволяє без них.


2
Ласкаво просимо до Супер Користувача! Чи можете ви пояснити, чому допоможе видалення цих КБ?
bertieb

coz це оновлення містить патч для вразливості CVE-2018-0886, на не патч-сервері пускають їх без них
EXPY
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.