Ошибка подключения к удаленному рабочему столу после обновления Windows 2018/05/08 - обновления CredSSP для CVE-2018-0886

После обновления Windows я получаю эту ошибку при попытке подключиться к серверу с помощью подключения к удаленному рабочему столу.

Когда читаете ссылку, представленную в сообщении об ошибке, кажется, из-за обновления на 2018/05/08:

8 мая 2018 г.

Обновление, позволяющее изменить настройку по умолчанию с Уязвимые на Сниженные.

Соответствующие номера базы знаний Майкрософт перечислены в CVE-2018-0886.

Есть ли решение для этого?

(Выложил ответ от имени автора вопроса) .

Как и в некоторых ответах, лучшим решением для этой ошибки является обновление как сервера, так и клиентов до версии> = обновление от 2018-05-08 от Microsoft.

Если вы не можете обновить их оба (т. Е. Вы можете обновить только клиент или сервер), вы можете применить один из обходных путей из ответов ниже и изменить конфигурацию обратно как можно скорее, чтобы минимизировать продолжительность уязвимости, вызванной обходным решением.

Альтернативный метод для gpedit с использованием cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

Я нашел одно решение. Как описано в справочной ссылке , я попытался откатиться с обновления 2018/05/08, изменив значение этой групповой политики:

• Запустите gpedit.msc

• Конфигурация компьютера -> Административные шаблоны -> Система -> Делегирование учетных данных -> Шифрование Oracle Remediation

Измените его на « Включить» и на уровне защиты, верните обратно в « Уязвимый» .

Я не уверен, может ли это снизить риск того, что злоумышленник воспользуется моим соединением. Я надеюсь, что Microsoft исправит это в ближайшее время, чтобы я мог восстановить настройку на рекомендованную настройку Mitigated .

Другой способ - установить клиент Microsoft Remote Desktop из магазина MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps.

Эта проблема возникает только в моей виртуальной машине Hyper-V, и удаленное взаимодействие с физическими машинами в порядке.

Перейдите в раздел « Этот ПК» → «Параметры системы» → «Дополнительные параметры системы» на сервере, а затем я решил эту проблему, сняв флажок с целевой виртуальной машины «разрешать подключения только с компьютеров, работающих под управлением удаленного рабочего стола с аутентификацией на уровне сети (рекомендуется)».

После ответа ac19501 я создал два файла реестра, чтобы сделать это проще:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

Обновление примера GPO на экране печати.

Основываясь на ответе "reg add", HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters "/ f / v Разрешить шифрованиеOracle / t REG_DWORD / d 2"

Снимок экрана

Путь к файлу: Программное обеспечение \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Параметры
Имя значения: AllowEncryptionOracle
Значение данных: 2

Я сталкивался с такими же проблемами. Лучшим решением было бы обновить компьютер, к которому вы подключаетесь, вместо использования ответа Pham X Bach до более низкого уровня безопасности.

Однако, если вы не можете обновить машину по какой-то причине, его обходной путь работает.

Вам необходимо установить Центр обновления Windows для сервера и всех клиентов. Чтобы найти обновление, перейдите по адресу https://portal.msrc.microsoft.com/en-us/security-guidance , затем найдите CVE 2018-0886 и выберите Обновление безопасности для установленной версии Windows.

Вам необходимо обновить Windows Server с помощью Центра обновления Windows. Все необходимые патчи будут установлены. Затем вы можете снова подключиться к серверу через удаленный рабочий стол.

Вам необходимо установить kb4103725

Узнайте больше по адресу: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725

Для серверов мы также можем изменить настройку через Remote PowerShell (при условии, что WinRM включен и т. Д.)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Теперь, если этот параметр управляется доменным объектом групповой политики, возможно, он вернется, поэтому вам нужно проверить объекты групповой политики. Но для быстрого исправления это работает.

Ссылка: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Другой вариант, если у вас есть доступ к командной строке (у нас на сервере работает SSH-сервер), это запустить «sconfig.cmd» из командной строки. Вы получаете меню, как показано ниже:

Выберите опцию 7 и включите ее для всех клиентов, а не только для безопасности.

Как только это будет сделано, вы сможете подключиться к удаленному рабочему столу. Похоже, для нас проблема заключалась в том, что наши клиентские системы были обновлены для обеспечения новой безопасности, но наши серверные блоки отставали от обновлений. Я бы посоветовал получить обновления, а затем снова включить эту настройку безопасности.

Удаление:

• Для Windows 7 и 8.1: KB4103718 и / или KB4093114 
• Для Windows 10: сервер KB4103721 и / или KB4103727 без обновлений 

Это обновление содержит патч для уязвимости CVE-2018-0886. На непатчированном сервере это позволяет им без них.