Это может быть связано с исправлением оракула шифрования CredSSP - RDP в Windows 10 pro host

47

ошибка

После обновлений безопасности Windows в мае 2018 года при попытке RDP на рабочую станцию ​​Windows 10 Pro после успешного ввода учетных данных пользователя отображается следующее сообщение об ошибке:

Произошла ошибка аутентификации. Запрошенная функция не поддерживается.

Это может быть связано с исправлением оракула шифрования CredSSP

Скриншот

введите описание изображения здесь

Отладка

  • Мы подтвердили правильность учетных данных пользователя.

  • Перезагрузил рабочую станцию.

  • Подтверждено, что справочные службы находятся в рабочем состоянии.

  • Изолированные рабочие станции, для которых еще не применено исправление безопасности в мае, не применяются.

Тем временем может управлять на пермских хостах, обеспокоенных доступом к облачному серверу. На сервере 2016 пока нет событий.

Спасибо

windows authentication remote-desktop rdp windows-10 scott_lotus
источник

Ответы:

20

Основываясь исключительно на ответе Грэма Катберта, я создал текстовый файл в Блокноте со следующими строками и затем дважды щелкнул его (что должно добавить в реестр Windows все параметры, которые есть в файле).

Просто обратите внимание, что первая строка меняется в зависимости от используемой версии Windows, поэтому было бы неплохо открыть regeditи экспортировать любое правило, просто чтобы увидеть, что находится в первой строке, и использовать ту же версию в вашем файле.

Кроме того, меня не беспокоит снижение безопасности в данной конкретной ситуации, поскольку я подключаюсь к зашифрованной VPN, а на хосте Windows нет доступа к Интернету и, следовательно, не установлено последнее обновление.

Файл rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Для тех, кто хочет что-то легко скопировать / вставить в командную строку с повышенными правами:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
Родригес
источник
1
имея домашнюю редакцию windows 10, самый быстрый временный способ запустить и запустить.
Ахмад Молай
1
Этот REG-файл должен быть импортирован на клиент или сервер?
nivs1978
@ nivs1978, этот файл предназначен для использования на стороне клиента, при условии, что клиент имеет более новые обновления, а сервер - нет. Таким образом, это в основном позволит наиболее обновленному клиенту подключаться к серверу, который не был обновлен в последнее время.
Родригес
Спасибо! Я использую Win 10 Home. Я удалил обновление win, которое создало эту проблему 10 раз, и MS продолжает возвращать его обратно, несмотря на все, что я мог, чтобы остановить такое. В этой версии Windows также нет редактора политик (или он не соблюдается). Я искал эти ключи reg, в соответствии с документами, которые я прочитал, и их не было, поэтому я решил, что они не будут работать. Но я все равно попытался запустить ваш reg файл, он исправил проблему, как чудо!
BuvinJ
16

Протокол поставщика поддержки безопасности учетных данных (CredSSP) - это поставщик проверки подлинности, который обрабатывает запросы проверки подлинности для других приложений.

В незащищенных версиях CredSSP существует уязвимость удаленного выполнения кода. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может передать учетные данные пользователя для выполнения кода в целевой системе. Любое приложение, которое зависит от CredSSP для аутентификации, может быть уязвимо для этого типа атаки.

[...]

13 марта 2018 г.

В первоначальном выпуске 13 марта 2018 года обновляются протокол аутентификации CredSSP и клиенты удаленного рабочего стола для всех уязвимых платформ.

Смягчение состоит из установки обновления во всех соответствующих клиентских и серверных операционных системах и последующего использования включенных параметров групповой политики или эквивалентов на основе реестра для управления параметрами настройки на клиентских и серверных компьютерах. Мы рекомендуем администраторам применить политику и установить ее на «Принудительно обновленные клиенты» или «Снижение риска» на клиентских и серверных компьютерах как можно скорее. Эти изменения потребуют перезагрузки уязвимых систем.

Обратите особое внимание на пары групповой политики или параметров реестра, которые приводят к «заблокированным» взаимодействиям между клиентами и серверами в таблице совместимости далее в этой статье.

17 апреля 2018 г.

Обновление обновления клиента удаленного рабочего стола (RDP) в KB 4093120 улучшит сообщение об ошибке, которое появляется, когда обновленный клиент не может подключиться к серверу, который не был обновлен.

8 мая 2018 г.

Обновление, позволяющее изменить настройку по умолчанию с Уязвимые на Сниженные.

Источник: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Смотрите также эту ветку reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Обходной путь Microsoft:

  • Обновление сервера и клиента. (требуется перезагрузка, рекомендуется)

Не рекомендуется обходные пути, если ваш сервер общедоступен или если вы НЕ имеете строгого контроля трафика во внутренней сети, но иногда перезапуск RDP-сервера в рабочее время не требуется.

  • Установите политику исправления CredSSP через GPO или Реестр. (требуется перезагрузка или gpupdate / force)
  • Удалите KB4103727 (перезагрузка не требуется)
  • Я думаю, что отключение NLA (аутентификация сетевого уровня) также может работать. (перезагрузка не требуется)

Обязательно поймите риски при их использовании и исправьте свои системы как можно скорее.

[1] Все описание GPO CredSSP и изменения реестра описаны здесь.

[2] примеры настроек объекта групповой политики и реестра в случае, если сайт Microsoft не работает.

Михал Соколовский
источник
Я так думаю, да. :) Насколько я могу судить, Windows 7, Windows 8.1, Windows 10 и Server 2016 затронуты в моей среде. В заключение мы должны исправить все поддерживаемые версии Windows.
Михал Соколовский
3
Подтверждение отключения NLA на целевом сервере работает как временное решение.
Кетура
У кого-нибудь есть какой-нибудь скрипт PS (Powershell), как это проверить? На сервере и клиенте?
Тило
Является ли это ошибкой, поскольку RDP на сервере обновляется, а клиент - нет, или это клиенты, которые обновляются, а сервер - нет?
nivs1978
@ nivs1978, AFAIR, оба сценария будут давать одинаковые симптомы.
Михал Соколовский
7
  1. Перейдите в «Редактор локальной групповой политики> Административные шаблоны> Система> Делегирование учетных данных> Шифрование Oracle Remediation», отредактируйте и включите его, затем установите «Уровень защиты» на «Сниженный».
  2. Установите ключ регистрации (от 00000001 до 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters] "AllowEncryptionOracle" = dword:
  3. Перезагрузите систему, если это необходимо.
Мухаммед Лотфи
источник
Я использовал первый шаг за исключением того, что включил его и установил для него Уязвимый. Тогда я смог RDP мой W10 к машине W7 в сети
Seizethecarp
Я сделал, как вы упомянули, и работал! Клиент W10 и Сервер WS2012 R2. Спасибо!
Фи
4

Исследовательская работа

Ссылаясь на эту статью:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Май 2018 - предварительное обновление, которое может повлиять на возможность установления сеансовых RDP-соединений с удаленным хостом в организации. Эта проблема может возникнуть, если локальный клиент и удаленный хост имеют разные параметры «шифрования Oracle Remediation» в реестре, которые определяют, как создать сеанс RDP с CredSSP. Параметры настройки «Шифрование Oracle Remediation» определены ниже, и если сервер или клиент имеют разные ожидания при установлении безопасного сеанса RDP, соединение может быть заблокировано.

Второе обновление, ориентировочно запланированное на 8 мая 2018 года, изменит поведение по умолчанию с «Уязвимого» на «Сниженный».

Если вы заметили, что и клиент, и сервер исправлены, но для параметра политики по умолчанию оставлено значение «Уязвимый», соединение RDP будет «Уязвимым» для атаки. Если значение по умолчанию изменено на «Mitigated», то по умолчанию соединение становится «Безопасным».

разрешение

Основываясь на этой информации, я собираюсь убедиться, что все клиенты полностью исправлены, и тогда я ожидаю, что проблема будет устранена.

scott_lotus
источник
4

Значение реестра не было на моем компьютере с Windows 10. Мне пришлось перейти на следующую локальную групповую политику и применить изменения на моем клиенте:

Конфигурация компьютера -> Административные шаблоны -> Система -> Делегирование учетных данных - Шифрование Oracle Remediation

Включить и установить значение в vulnerable.

Ион Кожокару
источник
Это сработало для меня при подключении W10 к машине W7 в моей сети
seizethecarp
3

Рекомендуется обновить клиент вместо таких сценариев, чтобы просто обойти ошибку, но на свой страх и риск вы можете сделать это на клиенте и не нужно перезагружать клиентский ПК. Также нет необходимости менять что-либо на сервере.

  1. Откройте Run, введите gpedit.mscи нажмите OK.
  2. Expand Administrative Templates.
  3. Expand System.
  4. Open Credentials Delegation.
  5. На правой панели дважды щелкните Encryption Oracle Remediation.
  6. Выберите Enable.
  7. Выберите Vulnerableиз Protection Levelсписка.

Этот параметр политики применяется к приложениям, использующим компонент CredSSP (например, подключение к удаленному рабочему столу).

Некоторые версии протокола CredSSP уязвимы для атаки оракула шифрования на клиента. Эта политика контролирует совместимость с уязвимыми клиентами и серверами. Эта политика позволяет вам установить уровень защиты, требуемый для уязвимости шифрования Oracle.

Если вы включите этот параметр политики, поддержка версии CredSSP будет выбрана на основе следующих параметров:

Принудительное обновление клиентов: клиентские приложения, использующие CredSSP, не смогут использовать небезопасные версии, а службы, использующие CredSSP, не будут принимать непатентованные клиенты. Примечание. Этот параметр не следует развертывать до тех пор, пока все удаленные узлы не будут поддерживать новейшую версию.

Снижен: клиентские приложения, использующие CredSSP, не смогут использовать небезопасную версию, но службы, использующие CredSSP, будут принимать непатентованные клиенты. См. Ссылку ниже для получения важной информации о риске, который представляют оставшиеся непатчированными клиенты.

Уязвимость: клиентские приложения, использующие CredSSP, подвергают удаленные серверы атакам, поддерживая переход к небезопасным версиям, а службы, использующие CredSSP, принимают непатентованные клиенты.

  1. Нажмите Применить.
  2. Нажмите ОК.
  3. Готово.

введите описание изображения здесь Ссылка

AVB
источник
Вы рекомендуете людям нажимать на опцию "Уязвимые". Было бы неплохо объяснить, каковы будут последствия этого, вместо того, чтобы просто (хороший) сценарий сделать это.
Law29
@ Law29 Ты прав, Обновлено!
AVB
0

У этого парня есть решение вашей проблемы:

По сути - вам придется изменить настройки объекта групповой политики и принудительно установить обновление. Но эти изменения потребуют перезагрузки для вступления в силу.

  1. Скопируйте эти два файла с недавно обновленной машины;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Did Feb 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd февраль 2018 г. - ваша локальная папка может отличаться, например en-GB)

  2. На DC перейдите к:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Переименовать текущий CredSsp.admxвCredSsp.admx.old
    • Скопируйте новый CredSsp.admxв эту папку.

  3. На том же DC перейдите к:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (или ваш местный язык)
    • Переименовать текущий CredSsp.admlвCredSsp.adml.old
    • Скопируйте новый CredSsp.admlфайл в эту папку.

  4. Попробуйте снова свою групповую политику.

https://www.petenetlive.com/KB/Article/0001433

Джастин
источник
0

Как уже говорили другие, это из-за мартовского патча, выпущенного Microsoft. Они выпустили майский патч 8-го мая, который фактически применяет мартовский патч. Поэтому, если у вас есть рабочая станция, получившая исправление за май, и вы пытаетесь подключиться к серверу, который не получил исправление за март, вы увидите сообщение об ошибке на своем скриншоте.

Разрешение Вы действительно хотите установить патчи на серверах, чтобы они имели мартовский патч. В противном случае вы можете применить групповую политику или редактирование реестра.

Вы можете прочитать подробные инструкции в этой статье: Как исправить ошибку аутентификации Функция не поддерживается CredSSP Ошибка RDP

Вы также можете найти копии файлов ADMX и ADML, если вам нужно их найти.

Роберт Рассел
источник
0

У меня та же проблема. Клиенты находятся на Win7, а серверы RDS - 2012R2. Клиенты получили «Ежемесячное обновление качества безопасности безопасности 2018-05 (kb4019264)». После того, как удалить это, все хорошо.

Корневая петля
источник
0

Я обнаружил, что некоторые из наших машин перестали выполнять обновление Windows (мы запускаем локальный WSUS по всему нашему домену) где-то в январе. Я предполагаю, что предыдущий патч вызвал проблему (машина жаловалась бы на то, что она устарела, но не устанавливала патчи от Jan, которые, по ее словам, были нужны). Из-за обновления 1803 года мы не могли просто использовать Центр обновления Windows от MS напрямую, чтобы исправить его (по какой-то причине произошел таймаут, и обновления не запустились).

Я могу подтвердить, что если вы исправите машину до версии 1803, она содержит исправление. Если вам нужен быстрый путь, чтобы исправить это, я использовал Помощник по обновлению Windows (верхняя ссылка с надписью «Обновление»), чтобы выполнить обновление напрямую (кажется, более стабильным, чем Центр обновления Windows по некоторым причинам).

Machavity
источник
По этой ссылке я могу скачать Windows 10 ISO. Это то, что вы хотели указать?
Майкл Хэмптон
@MichaelHampton Нижняя ссылка для инструмента ISO. Ссылка «Обновить сейчас» предназначена для помощника по обновлению
Machavity
0

Мы удалили это последнее обновление для системы безопасности KB410731 и смогли подключиться к компьютерам с Windows 10 в сборке 1709 и ранее. Для компьютеров, которые мы могли бы обновить до сборки 1803, это решило проблему без удаления KB4103731.

Габриэль С
источник
0

Просто попробуйте отключить Network Level Authenticationот удаленного рабочего стола. Не могли бы вы проверить следующее изображение:

введите описание изображения здесь

Майк Дарвиш
источник
0

Откройте PowerShell от имени администратора и выполните следующую команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Попробуйте сейчас подключиться к серверу. Это будет работать.

Мукеш Салария
источник
0

Я нашел ответ здесь , поэтому не могу претендовать на него как на свой, но добавив следующий ключ в мой реестр и перезапустив исправил его для меня

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
Грэм Катберт
источник
6
Это означает, что ваше общение со всеми серверами, которые не обеспечивают исправления при расшифровке оракула, может быть понижено и может быть расшифровано. Таким образом, вы подвергаете себя риску. В настоящее время даже серверы с обновленным credSSP по умолчанию не отказывают клиентам с пониженной версией, поэтому это может означать, что практически все сеансы удаленного рабочего стола находятся под угрозой, даже если ваш клиент полностью осведомлен об этой проблеме!
user188737
1
Это изменение реестра НЕ рекомендуется.
spuder