Điều này có thể là do cách khắc phục lỗi mã hóa CredSSP - RDP cho máy chủ Windows 10 pro


47

lỗi

Sau các bản cập nhật bảo mật của Windows vào tháng 5 năm 2018, khi thử RDP sang máy trạm Windows 10 Pro, thông báo lỗi sau được hiển thị sau khi nhập thành công thông tin đăng nhập của người dùng:

Xảy ra lỗi xác thực. Chức năng yêu cầu không được hỗ trợ.

Điều này có thể là do khắc phục lỗi mã hóa CredSSP

Ảnh chụp màn hình

nhập mô tả hình ảnh ở đây

Gỡ lỗi

  • Chúng tôi đã xác nhận thông tin người dùng là chính xác.

  • Khởi động lại máy trạm.

  • Xác nhận trên các dịch vụ thư mục đầu đang hoạt động.

  • Các máy trạm bị cô lập chưa áp dụng bản vá bảo mật tháng 5 không được thực hiện.

Có thể quản lý tạm thời trên các máy chủ perm, tuy nhiên lo ngại về quyền truy cập máy chủ dựa trên đám mây. Chưa có lần xuất hiện nào trên Server 2016.

Cảm ơn bạn

Câu trả lời:


20

Dựa hoàn toàn vào câu trả lời của Graham Cuthbert, tôi đã tạo một tệp văn bản trong Notepad với các dòng sau và chỉ cần nhấp đúp vào tệp đó sau đó (cần thêm vào Windows Registry bất kỳ tham số nào trong tệp).

Chỉ cần lưu ý rằng dòng đầu tiên khác nhau tùy thuộc vào phiên bản Windows bạn đang sử dụng, do đó, có thể nên mở regeditvà xuất bất kỳ quy tắc nào chỉ để xem những gì trong dòng đầu tiên và sử dụng cùng một phiên bản trong tệp của bạn.

Ngoài ra, tôi không quan tâm đến việc giảm bảo mật trong tình huống cụ thể này vì tôi đang kết nối với VPN được mã hóa và máy chủ Windows không có quyền truy cập vào internet và do đó không có bản cập nhật mới nhất.

Tập tin rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Đối với những người muốn một cái gì đó dễ dàng sao chép / dán vào một dấu nhắc lệnh nâng cao:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

1
có phiên bản gia đình của windows 10, cách tạm thời nhanh nhất để chạy và chạy.
ahmad molaie

1
Tập tin REG này nên được nhập trên máy khách hoặc máy chủ?
nivs1978

@ nivs1978, tệp này có nghĩa là được sử dụng ở phía máy khách, giả sử rằng máy khách có các bản cập nhật mới hơn và máy chủ thì không. Vì vậy, về cơ bản nó sẽ cho phép máy khách cập nhật nhất kết nối với máy chủ chưa được cập nhật gần đây.
Rodriguez

Cảm ơn! Tôi đang sử dụng Win 10 Home. Tôi đã gỡ cài đặt bản cập nhật win đã tạo ra vấn đề này 10 lần và MS tiếp tục đưa nó trở lại, mặc dù đã làm mọi cách để ngăn chặn như vậy. Cũng không có Trình chỉnh sửa chính sách (hoặc không được tôn trọng) trên phiên bản Windows này. Tôi đã tìm các khóa reg này, theo các tài liệu mà tôi đã đọc và không tồn tại, vì vậy tôi đoán rằng chúng sẽ không hoạt động. Nhưng dù sao tôi cũng đã thử chạy tệp reg của bạn, nó đã khắc phục vấn đề như một cơ duyên!
BuvinJ

16

Giao thức nhà cung cấp hỗ trợ bảo mật chứng chỉ (CredSSP) là nhà cung cấp xác thực xử lý các yêu cầu xác thực cho các ứng dụng khác.

Một lỗ hổng thực thi mã từ xa tồn tại trong các phiên bản chưa được vá của CredSSP. Kẻ tấn công khai thác thành công lỗ hổng này có thể chuyển tiếp thông tin đăng nhập của người dùng để thực thi mã trên hệ thống đích. Bất kỳ ứng dụng nào phụ thuộc vào CredSSP để xác thực có thể dễ bị tấn công kiểu này.

[...]

Ngày 13 tháng 3 năm 2018

Bản phát hành ban đầu ngày 13 tháng 3 năm 2018 cập nhật giao thức xác thực CredSSP và máy khách Remote Desktop cho tất cả các nền tảng bị ảnh hưởng.

Giảm thiểu bao gồm cài đặt bản cập nhật trên tất cả các hệ điều hành máy khách và máy chủ đủ điều kiện và sau đó sử dụng các cài đặt Chính sách nhóm hoặc tương đương dựa trên sổ đăng ký để quản lý các tùy chọn cài đặt trên máy khách và máy chủ. Chúng tôi khuyên các quản trị viên nên áp dụng chính sách này và thiết lập nó cho các máy khách được cập nhật của Force Force, hoặc Mit Mitatedated trên máy khách và máy chủ càng sớm càng tốt. Những thay đổi này sẽ yêu cầu khởi động lại các hệ thống bị ảnh hưởng.

Hãy chú ý đến các cặp chính sách nhóm hoặc cài đặt đăng ký dẫn đến tương tác giữa các khối và máy chủ bị chặn giữa các máy khách và máy chủ trong bảng tương thích sau trong bài viết này.

Ngày 17 tháng 4 năm 2018

Bản cập nhật cập nhật RDP (Remote Desktop Client) trong KB 4093120 sẽ tăng cường thông báo lỗi xuất hiện khi máy khách cập nhật không kết nối được với máy chủ chưa được cập nhật.

Ngày 8 tháng 5 năm 2018

Một bản cập nhật để thay đổi cài đặt mặc định từ Vulnerable thành Mitigated.

Nguồn: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Xem thêm chủ đề reddit này: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Cách giải quyết của Microsoft:

  • Cập nhật máy chủ và máy khách. (yêu cầu khởi động lại, đề nghị)

Không được đề xuất giải pháp nếu máy chủ của bạn có sẵn công khai hoặc nếu bạn KHÔNG kiểm soát lưu lượng nghiêm ngặt trong mạng nội bộ của mình, nhưng đôi khi khởi động lại máy chủ RDP trong giờ làm việc là không nên.

  • Đặt chính sách vá của CredSSP thông qua GPO hoặc Registry. (yêu cầu khởi động lại hoặc gpupdate / lực lượng)
  • Gỡ cài đặt KB4103727 (không cần khởi động lại)
  • Tôi nghĩ rằng việc vô hiệu hóa NLA (Xác thực lớp mạng) cũng có thể hoạt động. (không cần khởi động lại)

Hãy chắc chắn để hiểu những rủi ro khi sử dụng chúng và vá hệ thống của bạn càng sớm càng tốt.

[1] Tất cả các mô tả GPO CredSSP và sửa đổi sổ đăng ký được mô tả ở đây.

[2] ví dụ về cài đặt GPO và đăng ký trong trường hợp trang web của Microsoft bị sập.


Tôi nghĩ vậy, vâng. :) Theo như tôi có thể nói Windows 7, Windows 8.1, Windows 10 và Server 2016 bị ảnh hưởng trong môi trường của tôi. Kết luận chúng tôi phải vá mọi phiên bản Windows được hỗ trợ.
Michal Sokolowski

3
Xác nhận vô hiệu hóa NLA trên máy chủ mục tiêu hoạt động như một cách giải quyết tạm thời.
Ketura

Bất cứ ai cũng có một số kịch bản PS (Powershell) tiện dụng để kiểm tra điều này? Trên máy chủ và máy khách?
Tilo

Đây có phải là lỗi vì RDP trên máy chủ được cập nhật, còn máy khách thì không, hay đó là máy khách được cập nhật, còn máy chủ thì không?
nivs1978

@ nivs1978, AFAIR, cả hai tình huống sẽ cho cùng một triệu chứng.
Michal Sokolowski

7
  1. Chuyển đến "Trình chỉnh sửa chính sách nhóm cục bộ> Mẫu quản trị> Hệ thống> Phân quyền ủy nhiệm> Mã hóa Oracle Khắc phục", chỉnh sửa và kích hoạt nó, sau đó đặt "Cấp độ bảo vệ" thành "Giảm thiểu".
  2. Đặt khóa đăng ký (từ 00000001 đến 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Chính sách \ System \ CredSSP \ Tham số] "AllowEncryptOracle" = dword:
  3. Khởi động lại hệ thống của bạn nếu cần.

Tôi đã sử dụng bước đầu tiên ngoại trừ cho phép nó và đặt nó thành Vulnerable. Sau đó, tôi đã có thể RDP W10 của mình thành máy W7 trên mạng
seizethecarp

Tôi đã làm như bạn đã đề cập và làm việc! Máy khách W10 và Máy chủ WS2012 R2. Cảm ơn!
Phi

4

Nghiên cứu

Nhắc đến bài viết này:

https://bloss.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Cập nhật dự kiến ​​tháng 5 năm 2018 có thể ảnh hưởng đến khả năng thiết lập các kết nối phiên RDP của máy chủ từ xa trong một tổ chức. Sự cố này có thể xảy ra nếu máy khách cục bộ và máy chủ từ xa có các cài đặt Mã hóa Oracle Remediation khác nhau trong sổ đăng ký xác định cách xây dựng phiên RDP với CredSSP. Các tùy chọn cài đặt mã hóa mật mã của Oracle được xác định bên dưới và nếu máy chủ hoặc máy khách có những kỳ vọng khác nhau về việc thiết lập phiên RDP an toàn, kết nối có thể bị chặn.

Bản cập nhật thứ hai, dự kiến ​​sẽ được phát hành vào ngày 8 tháng 5 năm 2018, sẽ thay đổi hành vi mặc định từ từ Vul Vulableable đến thành Mit Mitatedated.

Nếu bạn nhận thấy nếu cả máy khách và máy chủ đều được vá, nhưng cài đặt chính sách mặc định được để lại tại Vul Vulableable, kết nối RDP là Vul Vulableable có thể tấn công. Khi cài đặt mặc định được sửa đổi thành Chế độ tối thiểu hóa, thì kết nối sẽ trở thành Chế độ bảo mật theo mặc định.

Giải pháp

Dựa trên thông tin này, tôi đang tiến hành để đảm bảo tất cả các khách hàng được vá đầy đủ, sau đó tôi sẽ hy vọng vấn đề sẽ được giảm nhẹ.


4

Giá trị đăng ký không có trên máy Windows 10 của tôi. Tôi đã phải đi đến chính sách nhóm địa phương sau đây và áp dụng thay đổi cho khách hàng của mình:

Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Ủy nhiệm chứng chỉ - Mã hóa Oracle Khắc phục

Bật và đặt thành giá trị thành vulnerable.


Điều này làm việc với tôi trên W10 kết nối với máy W7 trên mạng của tôi
seizethecarp

3

Bạn nên cập nhật máy khách thay vì các loại tập lệnh này để bỏ qua lỗi, nhưng với rủi ro của riêng bạn, bạn có thể thực hiện việc này trên máy khách và không cần phải khởi động lại máy khách. Cũng không cần phải thay đổi bất cứ điều gì trên máy chủ.

  1. Mở Run, gõ gpedit.mscvà nhấp OK.
  2. Mở rộng Administrative Templates.
  3. Mở rộng System.
  4. Mở Credentials Delegation.
  5. Trên pannel bên phải nhấp đúp chuột vào Encryption Oracle Remediation.
  6. Chọn Enable.
  7. Chọn Vulnerabletừ Protection Leveldanh sách.

Cài đặt chính sách này áp dụng cho các ứng dụng sử dụng thành phần CredSSP (ví dụ: Remote Desktop Connection).

Một số phiên bản của giao thức CredSSP dễ bị tấn công mã hóa đối với máy khách. Chính sách này kiểm soát khả năng tương thích với các máy khách và máy chủ dễ bị tổn thương. Chính sách này cho phép bạn đặt mức bảo vệ mong muốn cho lỗ hổng mã hóa orory.

Nếu bạn bật cài đặt chính sách này, hỗ trợ phiên bản CredSSP sẽ được chọn dựa trên các tùy chọn sau:

Buộc khách hàng cập nhật: Các ứng dụng khách sử dụng CredSSP sẽ không thể quay lại các phiên bản và dịch vụ không an toàn khi sử dụng CredSSP sẽ không chấp nhận các máy khách chưa được vá. Lưu ý: không nên triển khai cài đặt này cho đến khi tất cả các máy chủ từ xa hỗ trợ phiên bản mới nhất.

Giảm nhẹ: Các ứng dụng khách sử dụng CredSSP sẽ không thể quay lại phiên bản không an toàn nhưng các dịch vụ sử dụng CredSSP sẽ chấp nhận các máy khách chưa được vá. Xem liên kết dưới đây để biết thông tin quan trọng về rủi ro gây ra bởi các khách hàng chưa được vá.

Dễ bị tấn công: Các ứng dụng khách sử dụng CredSSP sẽ khiến các máy chủ từ xa bị tấn công bằng cách hỗ trợ quay lại các phiên bản và dịch vụ không an toàn bằng CredSSP sẽ chấp nhận các máy khách chưa được vá.

  1. Nhấp vào Áp dụng.
  2. Nhấn OK.
  3. Làm xong.

nhập mô tả hình ảnh ở đây Tài liệu tham khảo


Bạn đang khuyến nghị mọi người nhấp vào tùy chọn có nội dung "Dễ bị tổn thương". CNTT sẽ là tốt để giải thích những hậu quả của việc này sẽ là gì, thay vì chỉ đưa ra một kịch bản (tốt) để làm điều đó.
Luật29

@ Law29 Bạn nói đúng, Cập nhật!
AVB

0

Anh chàng này có một giải pháp cho vấn đề chính xác của bạn:

Về cơ bản - bạn sẽ phải thay đổi cài đặt GPO và Buộc cập nhật. Nhưng những thay đổi này sẽ yêu cầu khởi động lại để có hiệu lực.

  1. Sao chép hai tập tin này từ một máy mới cập nhật;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd đã làm tháng 2 năm 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd tháng 2 năm 2018 - Thư mục cục bộ của bạn có thể khác, tức là en-GB)
  2. Trên DC, điều hướng đến:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Đổi tên hiện tại CredSsp.admxthànhCredSsp.admx.old
    • Sao chép mới CredSsp.admxvào thư mục này.
  3. Trên cùng một DC điều hướng đến:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (hoặc ngôn ngữ địa phương của bạn)
    • Đổi tên hiện tại CredSsp.admlthànhCredSsp.adml.old
    • Sao chép CredSsp.admltập tin mới vào thư mục này.
  4. Hãy thử chính sách nhóm của bạn một lần nữa.

https://www.petenetlive.com/KB/Article/0001433


0

Như những người khác đã nói, điều này là do bản vá tháng ba mà Microsoft phát hành. Họ đã phát hành một bản vá tháng 5 vào ngày 8 tháng 5 thực sự thi hành bản vá tháng ba. Vì vậy, nếu bạn có một máy trạm nhận được bản vá tháng 5 và bạn đang cố gắng kết nối với máy chủ chưa nhận được bản vá tháng ba, bạn sẽ nhận được thông báo lỗi trong ảnh chụp màn hình của mình.

Độ phân giải Bạn thực sự muốn vá các máy chủ để chúng có bản vá tháng ba. Mặt khác, trong thời gian chờ đợi, bạn có thể áp dụng Chính sách nhóm hoặc chỉnh sửa sổ đăng ký.

Bạn có thể đọc hướng dẫn chi tiết trong bài viết này: Cách khắc phục Chức năng lỗi xác thực Không được hỗ trợ Lỗi RSSSSP

Bạn cũng có thể tìm thấy các bản sao của tệp ADMX và ADML trong trường hợp bạn cần tìm chúng.


0

Tôi đã có cùng một vấn đề. Khách hàng đang ở trên máy chủ Win7 và RDS là 2012R2, Khách hàng nhận được "Bản cập nhật chất lượng hàng tháng bảo mật 2018-05 (kb4019264)". Sau khi loại bỏ điều đó, tất cả đều tốt.


0

Tôi thấy một số máy của chúng tôi đã ngừng thực hiện Windows Update (chúng tôi chạy WSUS cục bộ trên miền của chúng tôi) vào khoảng tháng 1. Tôi đoán một bản vá trước đó đã gây ra sự cố (máy sẽ phàn nàn về việc hết hạn, nhưng sẽ không cài đặt các bản vá tháng 1 mà nó nói là cần thiết). Do bản cập nhật 1803, chúng tôi không thể trực tiếp sử dụng Windows Update từ MS để sửa lỗi (sẽ hết thời gian vì một số lý do và các bản cập nhật sẽ không chạy).

Tôi có thể xác nhận rằng nếu bạn vá máy lên phiên bản 1803 thì nó có chứa bản sửa lỗi này. Nếu bạn cần một đường dẫn nhanh để khắc phục điều này, tôi đã sử dụng Windows Update Assistant (liên kết trên cùng có nội dung Cập nhật) để thực hiện cập nhật trực tiếp (có vẻ ổn định hơn Windows Update vì một số lý do).


Liên kết đó cung cấp cho tôi để tải xuống Windows 10 ISO. Đó có phải là những gì bạn có nghĩa là liên kết đến?
Michael Hampton

@MichaelHampton Liên kết dưới cùng dành cho công cụ ISO. Liên kết Cập nhật ngay dành cho Trợ lý cập nhật
Machavity

0

Chúng tôi đã xóa bản cập nhật bảo mật mới nhất KB410731 và chúng tôi có thể kết nối với các máy Window 10 ở bản dựng 1709 trở về trước. Đối với PC, chúng tôi có thể nâng cấp lên bản dựng 1803, điều này đã giải quyết vấn đề mà không cần gỡ cài đặt KB4103731.


0

Đơn giản, hãy thử vô hiệu hóa Network Level Authenticationtừ Remote Desktop. Bạn có thể vui lòng kiểm tra hình ảnh sau đây:

nhập mô tả hình ảnh ở đây


0

Mở PowerShell với tư cách quản trị viên và chạy lệnh này:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Hãy thử ngay bây giờ để kết nối với máy chủ. Nó sẽ làm việc.


0

Tôi đã tìm thấy câu trả lời ở đây , vì vậy không thể khẳng định nó là của riêng tôi, nhưng việc thêm khóa sau vào sổ đăng ký của tôi và khởi động lại đã sửa nó cho tôi.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

6
Điều này có nghĩa là việc liên lạc của bạn với tất cả các máy chủ không thực thi biện pháp khắc phục giải mã tiên tri được phép hạ cấp và có thể được giải mã. Vì vậy, bạn đặt mình vào nguy cơ. Hiện tại, ngay cả các máy chủ có uy tín nâng cấp mặc định không từ chối các máy khách bị hạ cấp, do đó, điều đó có nghĩa là hầu như tất cả các phiên máy tính từ xa của bạn đều gặp rủi ro, ngay cả khi khách hàng của bạn hoàn toàn cập nhật về vấn đề này!
dùng188737

1
Thay đổi đăng ký này KHÔNG được khuyến khích.
kẻ lừa đảo
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.