lỗi

Sau các bản cập nhật bảo mật của Windows vào tháng 5 năm 2018, khi thử RDP sang máy trạm Windows 10 Pro, thông báo lỗi sau được hiển thị sau khi nhập thành công thông tin đăng nhập của người dùng:

Xảy ra lỗi xác thực. Chức năng yêu cầu không được hỗ trợ.

Điều này có thể là do khắc phục lỗi mã hóa CredSSP

Ảnh chụp màn hình

Gỡ lỗi

• Chúng tôi đã xác nhận thông tin người dùng là chính xác.

• Khởi động lại máy trạm.

• Xác nhận trên các dịch vụ thư mục đầu đang hoạt động.

• Các máy trạm bị cô lập chưa áp dụng bản vá bảo mật tháng 5 không được thực hiện.

Có thể quản lý tạm thời trên các máy chủ perm, tuy nhiên lo ngại về quyền truy cập máy chủ dựa trên đám mây. Chưa có lần xuất hiện nào trên Server 2016.

Cảm ơn bạn

Dựa hoàn toàn vào câu trả lời của Graham Cuthbert, tôi đã tạo một tệp văn bản trong Notepad với các dòng sau và chỉ cần nhấp đúp vào tệp đó sau đó (cần thêm vào Windows Registry bất kỳ tham số nào trong tệp).

Chỉ cần lưu ý rằng dòng đầu tiên khác nhau tùy thuộc vào phiên bản Windows bạn đang sử dụng, do đó, có thể nên mở regeditvà xuất bất kỳ quy tắc nào chỉ để xem những gì trong dòng đầu tiên và sử dụng cùng một phiên bản trong tệp của bạn.

Ngoài ra, tôi không quan tâm đến việc giảm bảo mật trong tình huống cụ thể này vì tôi đang kết nối với VPN được mã hóa và máy chủ Windows không có quyền truy cập vào internet và do đó không có bản cập nhật mới nhất.

Tập tin rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Đối với những người muốn một cái gì đó dễ dàng sao chép / dán vào một dấu nhắc lệnh nâng cao:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

Giao thức nhà cung cấp hỗ trợ bảo mật chứng chỉ (CredSSP) là nhà cung cấp xác thực xử lý các yêu cầu xác thực cho các ứng dụng khác.

Một lỗ hổng thực thi mã từ xa tồn tại trong các phiên bản chưa được vá của CredSSP. Kẻ tấn công khai thác thành công lỗ hổng này có thể chuyển tiếp thông tin đăng nhập của người dùng để thực thi mã trên hệ thống đích. Bất kỳ ứng dụng nào phụ thuộc vào CredSSP để xác thực có thể dễ bị tấn công kiểu này.

[...]

Ngày 13 tháng 3 năm 2018

Bản phát hành ban đầu ngày 13 tháng 3 năm 2018 cập nhật giao thức xác thực CredSSP và máy khách Remote Desktop cho tất cả các nền tảng bị ảnh hưởng.

Giảm thiểu bao gồm cài đặt bản cập nhật trên tất cả các hệ điều hành máy khách và máy chủ đủ điều kiện và sau đó sử dụng các cài đặt Chính sách nhóm hoặc tương đương dựa trên sổ đăng ký để quản lý các tùy chọn cài đặt trên máy khách và máy chủ. Chúng tôi khuyên các quản trị viên nên áp dụng chính sách này và thiết lập nó cho các máy khách được cập nhật của Force Force, hoặc Mit Mitatedated trên máy khách và máy chủ càng sớm càng tốt. Những thay đổi này sẽ yêu cầu khởi động lại các hệ thống bị ảnh hưởng.

Hãy chú ý đến các cặp chính sách nhóm hoặc cài đặt đăng ký dẫn đến tương tác giữa các khối và máy chủ bị chặn giữa các máy khách và máy chủ trong bảng tương thích sau trong bài viết này.

Ngày 17 tháng 4 năm 2018

Bản cập nhật cập nhật RDP (Remote Desktop Client) trong KB 4093120 sẽ tăng cường thông báo lỗi xuất hiện khi máy khách cập nhật không kết nối được với máy chủ chưa được cập nhật.

Ngày 8 tháng 5 năm 2018

Một bản cập nhật để thay đổi cài đặt mặc định từ Vulnerable thành Mitigated.

Nguồn: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Xem thêm chủ đề reddit này: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Cách giải quyết của Microsoft:

• Cập nhật máy chủ và máy khách. (yêu cầu khởi động lại, đề nghị)

Không được đề xuất giải pháp nếu máy chủ của bạn có sẵn công khai hoặc nếu bạn KHÔNG kiểm soát lưu lượng nghiêm ngặt trong mạng nội bộ của mình, nhưng đôi khi khởi động lại máy chủ RDP trong giờ làm việc là không nên.

• Đặt chính sách vá của CredSSP thông qua GPO hoặc Registry. (yêu cầu khởi động lại hoặc gpupdate / lực lượng)
• Gỡ cài đặt KB4103727 (không cần khởi động lại)
• Tôi nghĩ rằng việc vô hiệu hóa NLA (Xác thực lớp mạng) cũng có thể hoạt động. (không cần khởi động lại)

Hãy chắc chắn để hiểu những rủi ro khi sử dụng chúng và vá hệ thống của bạn càng sớm càng tốt.

[1] Tất cả các mô tả GPO CredSSP và sửa đổi sổ đăng ký được mô tả ở đây.

[2] ví dụ về cài đặt GPO và đăng ký trong trường hợp trang web của Microsoft bị sập.

1. Chuyển đến "Trình chỉnh sửa chính sách nhóm cục bộ> Mẫu quản trị> Hệ thống> Phân quyền ủy nhiệm> Mã hóa Oracle Khắc phục", chỉnh sửa và kích hoạt nó, sau đó đặt "Cấp độ bảo vệ" thành "Giảm thiểu".
2. Đặt khóa đăng ký (từ 00000001 đến 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Chính sách \ System \ CredSSP \ Tham số] "AllowEncryptOracle" = dword:
3. Khởi động lại hệ thống của bạn nếu cần.

Nghiên cứu

Nhắc đến bài viết này:

https://bloss.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Cập nhật dự kiến ​​tháng 5 năm 2018 có thể ảnh hưởng đến khả năng thiết lập các kết nối phiên RDP của máy chủ từ xa trong một tổ chức. Sự cố này có thể xảy ra nếu máy khách cục bộ và máy chủ từ xa có các cài đặt Mã hóa Oracle Remediation khác nhau trong sổ đăng ký xác định cách xây dựng phiên RDP với CredSSP. Các tùy chọn cài đặt mã hóa mật mã của Oracle được xác định bên dưới và nếu máy chủ hoặc máy khách có những kỳ vọng khác nhau về việc thiết lập phiên RDP an toàn, kết nối có thể bị chặn.

Bản cập nhật thứ hai, dự kiến ​​sẽ được phát hành vào ngày 8 tháng 5 năm 2018, sẽ thay đổi hành vi mặc định từ từ Vul Vulableable đến thành Mit Mitatedated.

Nếu bạn nhận thấy nếu cả máy khách và máy chủ đều được vá, nhưng cài đặt chính sách mặc định được để lại tại Vul Vulableable, kết nối RDP là Vul Vulableable có thể tấn công. Khi cài đặt mặc định được sửa đổi thành Chế độ tối thiểu hóa, thì kết nối sẽ trở thành Chế độ bảo mật theo mặc định.

Giải pháp

Dựa trên thông tin này, tôi đang tiến hành để đảm bảo tất cả các khách hàng được vá đầy đủ, sau đó tôi sẽ hy vọng vấn đề sẽ được giảm nhẹ.

Giá trị đăng ký không có trên máy Windows 10 của tôi. Tôi đã phải đi đến chính sách nhóm địa phương sau đây và áp dụng thay đổi cho khách hàng của mình:

Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Ủy nhiệm chứng chỉ - Mã hóa Oracle Khắc phục

Bật và đặt thành giá trị thành vulnerable.

Bạn nên cập nhật máy khách thay vì các loại tập lệnh này để bỏ qua lỗi, nhưng với rủi ro của riêng bạn, bạn có thể thực hiện việc này trên máy khách và không cần phải khởi động lại máy khách. Cũng không cần phải thay đổi bất cứ điều gì trên máy chủ.

1. Mở Run, gõ gpedit.mscvà nhấp OK.
2. Mở rộng Administrative Templates.
3. Mở rộng System.
4. Mở Credentials Delegation.
5. Trên pannel bên phải nhấp đúp chuột vào Encryption Oracle Remediation.
6. Chọn Enable.
7. Chọn Vulnerabletừ Protection Leveldanh sách.

Cài đặt chính sách này áp dụng cho các ứng dụng sử dụng thành phần CredSSP (ví dụ: Remote Desktop Connection).

Một số phiên bản của giao thức CredSSP dễ bị tấn công mã hóa đối với máy khách. Chính sách này kiểm soát khả năng tương thích với các máy khách và máy chủ dễ bị tổn thương. Chính sách này cho phép bạn đặt mức bảo vệ mong muốn cho lỗ hổng mã hóa orory.

Nếu bạn bật cài đặt chính sách này, hỗ trợ phiên bản CredSSP sẽ được chọn dựa trên các tùy chọn sau:

Buộc khách hàng cập nhật: Các ứng dụng khách sử dụng CredSSP sẽ không thể quay lại các phiên bản và dịch vụ không an toàn khi sử dụng CredSSP sẽ không chấp nhận các máy khách chưa được vá. Lưu ý: không nên triển khai cài đặt này cho đến khi tất cả các máy chủ từ xa hỗ trợ phiên bản mới nhất.

Giảm nhẹ: Các ứng dụng khách sử dụng CredSSP sẽ không thể quay lại phiên bản không an toàn nhưng các dịch vụ sử dụng CredSSP sẽ chấp nhận các máy khách chưa được vá. Xem liên kết dưới đây để biết thông tin quan trọng về rủi ro gây ra bởi các khách hàng chưa được vá.

Dễ bị tấn công: Các ứng dụng khách sử dụng CredSSP sẽ khiến các máy chủ từ xa bị tấn công bằng cách hỗ trợ quay lại các phiên bản và dịch vụ không an toàn bằng CredSSP sẽ chấp nhận các máy khách chưa được vá.

8. Nhấp vào Áp dụng.
9. Nhấn OK.
10. Làm xong.

Tài liệu tham khảo

Anh chàng này có một giải pháp cho vấn đề chính xác của bạn:

Về cơ bản - bạn sẽ phải thay đổi cài đặt GPO và Buộc cập nhật. Nhưng những thay đổi này sẽ yêu cầu khởi động lại để có hiệu lực.

1. Sao chép hai tập tin này từ một máy mới cập nhật;

   • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd đã làm tháng 2 năm 2018)
   • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd tháng 2 năm 2018 - Thư mục cục bộ của bạn có thể khác, tức là en-GB)

2. Trên DC, điều hướng đến:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
   • Đổi tên hiện tại CredSsp.admxthànhCredSsp.admx.old
   • Sao chép mới CredSsp.admxvào thư mục này.

3. Trên cùng một DC điều hướng đến:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (hoặc ngôn ngữ địa phương của bạn)
   • Đổi tên hiện tại CredSsp.admlthànhCredSsp.adml.old
   • Sao chép CredSsp.admltập tin mới vào thư mục này.

4. Hãy thử chính sách nhóm của bạn một lần nữa.

https://www.petenetlive.com/KB/Article/0001433

Như những người khác đã nói, điều này là do bản vá tháng ba mà Microsoft phát hành. Họ đã phát hành một bản vá tháng 5 vào ngày 8 tháng 5 thực sự thi hành bản vá tháng ba. Vì vậy, nếu bạn có một máy trạm nhận được bản vá tháng 5 và bạn đang cố gắng kết nối với máy chủ chưa nhận được bản vá tháng ba, bạn sẽ nhận được thông báo lỗi trong ảnh chụp màn hình của mình.

Độ phân giải Bạn thực sự muốn vá các máy chủ để chúng có bản vá tháng ba. Mặt khác, trong thời gian chờ đợi, bạn có thể áp dụng Chính sách nhóm hoặc chỉnh sửa sổ đăng ký.

Bạn có thể đọc hướng dẫn chi tiết trong bài viết này: Cách khắc phục Chức năng lỗi xác thực Không được hỗ trợ Lỗi RSSSSP

Bạn cũng có thể tìm thấy các bản sao của tệp ADMX và ADML trong trường hợp bạn cần tìm chúng.

Tôi đã có cùng một vấn đề. Khách hàng đang ở trên máy chủ Win7 và RDS là 2012R2, Khách hàng nhận được "Bản cập nhật chất lượng hàng tháng bảo mật 2018-05 (kb4019264)". Sau khi loại bỏ điều đó, tất cả đều tốt.

Tôi thấy một số máy của chúng tôi đã ngừng thực hiện Windows Update (chúng tôi chạy WSUS cục bộ trên miền của chúng tôi) vào khoảng tháng 1. Tôi đoán một bản vá trước đó đã gây ra sự cố (máy sẽ phàn nàn về việc hết hạn, nhưng sẽ không cài đặt các bản vá tháng 1 mà nó nói là cần thiết). Do bản cập nhật 1803, chúng tôi không thể trực tiếp sử dụng Windows Update từ MS để sửa lỗi (sẽ hết thời gian vì một số lý do và các bản cập nhật sẽ không chạy).

Tôi có thể xác nhận rằng nếu bạn vá máy lên phiên bản 1803 thì nó có chứa bản sửa lỗi này. Nếu bạn cần một đường dẫn nhanh để khắc phục điều này, tôi đã sử dụng Windows Update Assistant (liên kết trên cùng có nội dung Cập nhật) để thực hiện cập nhật trực tiếp (có vẻ ổn định hơn Windows Update vì một số lý do).

Chúng tôi đã xóa bản cập nhật bảo mật mới nhất KB410731 và chúng tôi có thể kết nối với các máy Window 10 ở bản dựng 1709 trở về trước. Đối với PC, chúng tôi có thể nâng cấp lên bản dựng 1803, điều này đã giải quyết vấn đề mà không cần gỡ cài đặt KB4103731.

Đơn giản, hãy thử vô hiệu hóa Network Level Authenticationtừ Remote Desktop. Bạn có thể vui lòng kiểm tra hình ảnh sau đây:

Mở PowerShell với tư cách quản trị viên và chạy lệnh này:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Hãy thử ngay bây giờ để kết nối với máy chủ. Nó sẽ làm việc.

Tôi đã tìm thấy câu trả lời ở đây , vì vậy không thể khẳng định nó là của riêng tôi, nhưng việc thêm khóa sau vào sổ đăng ký của tôi và khởi động lại đã sửa nó cho tôi.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002