Lỗi kết nối máy tính từ xa sau khi cập nhật Windows 2018/05/08 - Cập nhật CredSSP cho CVE-2018-0886

Sau Windows Update, tôi gặp lỗi này khi cố gắng kết nối với máy chủ bằng Remote Desktop Connection.

Khi đọc liên kết được cung cấp bởi thông báo lỗi, có vẻ như vì một bản cập nhật vào 2018/05/08:

Ngày 8 tháng 5 năm 2018

Một bản cập nhật để thay đổi cài đặt mặc định từ Vulnerable thành Mitigated.

Các số Cơ sở Kiến thức Microsoft có liên quan được liệt kê trong CVE-2018-0886.

đó có phải là cách giải quyết?

(Đăng một câu trả lời thay mặt cho tác giả câu hỏi) .

Như trong một số câu trả lời, giải pháp tốt nhất cho lỗi này là cập nhật cả máy chủ và máy khách lên phiên bản> = bản cập nhật 2018-05-08 từ Microsoft.

Nếu bạn không thể cập nhật cả hai (nghĩa là bạn chỉ có thể cập nhật máy khách hoặc máy chủ) thì bạn có thể áp dụng một trong các cách giải quyết từ các câu trả lời bên dưới và thay đổi cấu hình trở lại càng sớm càng tốt để bạn giảm thiểu thời gian của lỗ hổng do cách giải quyết.

Phương pháp thay thế cho gpedit bằng cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

Tôi tìm thấy một giải pháp. Như được mô tả trong liên kết trợ giúp , tôi đã thử quay lại từ bản cập nhật 2018/05/08 bằng cách thay đổi giá trị của chính sách nhóm này:

• Chạy gpedit.msc

• Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Phân quyền chứng chỉ -> Mã hóa Oracle Khắc phục

Thay đổi nó thành Bật và ở cấp Bảo vệ, thay đổi lại thành Lỗ hổng .

Tôi không chắc liệu nó có thể đẩy lùi mọi nguy cơ kẻ tấn công khai thác kết nối của tôi không. Tôi hy vọng Microsoft sẽ sớm khắc phục sự cố này để tôi có thể khôi phục cài đặt về cài đặt được đề xuất Giảm thiểu .

Một cách khác là cài đặt ứng dụng khách Microsoft Remote Desktop từ MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Vấn đề này chỉ xảy ra trong máy ảo Hyper-V của tôi và điều khiển từ xa cho các máy vật lý là ổn.

Truy cập PC này → Cài đặt hệ thống → Cài đặt hệ thống nâng cao trên máy chủ và sau đó tôi đã giải quyết nó bằng cách bỏ chọn VM đích "chỉ cho phép kết nối từ các máy tính chạy Remote Desktop với Xác thực cấp mạng (được khuyến nghị)".

Theo câu trả lời của ac19501, tôi đã tạo hai tệp đăng ký để làm cho việc này dễ dàng hơn:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

Cập nhật ví dụ về GPO trên màn hình in.

Dựa trên câu trả lời "reg add" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Chính sách \ System \ CredSSP \ Tham số "/ f / v AllowEncodingOracle / t REG_DWORD / d 2"

In màn hình

Đường dẫn chính: Phần mềm \ Microsoft \ Windows \ CurrentVersion \ Chính sách \ Hệ thống \ CredSSP \ Tham số
Tên giá trị: Cho phép Mã hóaOracle
Dữ liệu giá trị: 2

Tôi đã gặp những vấn đề tương tự. Giải pháp tốt hơn là cập nhật máy bạn đang kết nối thay vì sử dụng câu trả lời của Phạm X Bach để mức độ bảo mật thấp hơn.

Tuy nhiên, nếu bạn không thể cập nhật máy vì một số lý do, cách giải quyết của anh ấy hoạt động.

Bạn cần cài đặt Windows Update cho máy chủ và tất cả các máy khách. Để tìm bản cập nhật, hãy truy cập https://portal.msrc.microsoft.com/en-us/security-guidance , sau đó tìm kiếm CVE 2018-0886 và chọn Cập nhật bảo mật cho phiên bản Windows được cài đặt.

Bạn cần cập nhật Windows Server bằng Windows Update. Tất cả các bản vá cần thiết sẽ được cài đặt. Sau đó, bạn có thể kết nối với máy chủ của mình thông qua Remote Desktop một lần nữa.

Bạn cần cài đặt kb4103725

Đọc thêm tại: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725

Đối với máy chủ, chúng tôi cũng có thể thay đổi cài đặt qua Remote PowerShell (giả sử WinRM được bật, v.v ...)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Bây giờ, nếu cài đặt này được quản lý bởi GPO tên miền, có thể nó sẽ hoàn nguyên, vì vậy bạn cần kiểm tra GPO. Nhưng để khắc phục nhanh, điều này hoạt động.

Tham khảo: https://www.petri.com/disable-remote-desktop-network-level-authentication-USE-powershell

Một tùy chọn khác nếu bạn có quyền truy cập vào dòng lệnh (chúng tôi có máy chủ SSH đang chạy trên hộp) là chạy "sconfig.cmd" từ dòng lệnh. Bạn nhận được một menu như dưới đây:

Chọn tùy chọn 7 và bật nó cho tất cả khách hàng, không chỉ an toàn.

Khi đã xong, bạn có thể remote desktop trong. Dường như đối với chúng tôi vấn đề là hệ thống khách hàng của chúng tôi đã cập nhật đối với an ninh mới, nhưng hộp máy chủ của chúng tôi đứng đằng sau trên bản cập nhật. Tôi khuyên bạn nên nhận các bản cập nhật và sau đó bật lại cài đặt bảo mật này.

Gỡ cài đặt:

• Đối với Windows 7 và 8.1: KB4103718 và / hoặc KB4093114 
• Đối với máy chủ Windows 10: KB4103721 và / hoặc KB4103727 không có bản cập nhật 

Bản cập nhật này chứa một bản vá cho lỗ hổng CVE-2018-0886. Trên một máy chủ không vá, nó cho phép họ vào mà không có họ.