it-swarm-ru.tech

Это может быть связано с шифрованием CredSSP Oracle исправления - RDP для Windows 10 Pro Host

Ошибка

После обновлений безопасности Windows в мае 2018 года при попытке RDP на рабочую станцию ​​Windows 10 Pro после успешного ввода учетных данных пользователя отображается следующее сообщение об ошибке:

Произошла ошибка аутентификации. Запрошенная функция не поддерживается.

Это может быть связано с исправлением Oracle CredSSP шифрования

Скриншот

enter image description here

Отладка

  • Мы подтвердили правильность учетных данных пользователя.

  • Перезагрузил рабочую станцию.

  • Подтверждено, что справочные службы находятся в рабочем состоянии.

  • Изолированные рабочие станции, для которых еще не применено исправление безопасности в мае, не применяются.

Тем временем может управлять на пермских хостах, обеспокоенных доступом к облачному серверу. На сервере 2016 пока нет событий.

Спасибо

47
scott_lotus

Исследование

Ссылаясь на эту статью:

https://blogs.technet.Microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Май 2018 - предварительное обновление, которое может повлиять на возможность установления сеансовых подключений удаленного хоста RDP внутри организации. Эта проблема может возникнуть, если локальный клиент и удаленный узел имеют разные параметры "шифрования Oracle Remediation" в реестре, которые определяют, как создать сеанс RDP с CredSSP. Параметры настройки "Шифрование Oracle Remediation" определены ниже, и если сервер или клиент имеют разные ожидания при установлении безопасного сеанса RDP, соединение может быть заблокировано.

Второе обновление, ориентировочно намеченное на 8 мая 2018 года, изменит поведение по умолчанию с "Уязвимого" на "Сниженный".

Если вы заметили, что и клиент, и сервер исправлены, но для параметра политики по умолчанию оставлено значение "Уязвимый", соединение RDP будет "Уязвимым" для атаки. Если значение по умолчанию изменено на "Mitigated", то по умолчанию соединение становится "Безопасным".

Разрешение

Основываясь на этой информации, я собираюсь убедиться, что все клиенты полностью исправлены, и тогда я ожидаю, что проблема будет устранена.

4
scott_lotus

Основываясь исключительно на ответ Грэма Катберта Я создал текстовый файл в Блокноте со следующими строками и затем дважды щелкнул его (что должно добавить в реестр Windows все параметры, которые есть в файле).

Просто обратите внимание, что первая строка меняется в зависимости от используемой версии Windows, поэтому было бы неплохо открыть regedit и ​​экспортировать любое правило, просто чтобы увидеть, что находится в первой строке, и использовать ту же версию в вашем файл.

Кроме того, меня не беспокоит снижение безопасности в этой конкретной ситуации, поскольку я подключаюсь к зашифрованной VPN, а хост Windows не имеет доступа к Интернету и, следовательно, не имеет последних обновлений.

Файл rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Для тех, кто хочет что-то легко скопировать/вставить в командную строку с повышенными привилегиями:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
20
Rodriguez

Протокол поставщика поддержки безопасности учетных данных (CredSSP) - это поставщик проверки подлинности, который обрабатывает запросы проверки подлинности для других приложений.

В незащищенных версиях CredSSP существует уязвимость удаленного выполнения кода. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может передать учетные данные пользователя для выполнения кода в целевой системе. Любое приложение, которое зависит от CredSSP для аутентификации, может быть уязвимо для этого типа атаки.

[...]

13 марта 2018 года

В первоначальном выпуске 13 марта 2018 года обновляются протокол аутентификации CredSSP и клиенты удаленного рабочего стола для всех уязвимых платформ.

Смягчение состоит из установки обновления во всех соответствующих клиентских и серверных операционных системах и последующего использования включенных параметров групповой политики или эквивалентов на основе реестра для управления параметрами настройки на клиентских и серверных компьютерах. Мы рекомендуем администраторам применить политику и установить для нее "Принудительно обновленные клиенты" или "Снижение риска" на клиентских и серверных компьютерах как можно скорее. Эти изменения потребуют перезагрузки уязвимых систем.

Обратите особое внимание на пары групповой политики или параметров реестра, которые приводят к "заблокированным" взаимодействиям между клиентами и серверами в таблице совместимости далее в этой статье.

17 апреля 2018 года

Обновление обновления клиента удаленного рабочего стола (RDP) в KB 4093120 улучшит сообщение об ошибке, которое появляется, когда обновленный клиент не может подключиться к серверу, который не был обновлен.

8 мая 2018 г.

Обновление, позволяющее изменить настройку по умолчанию с Уязвимые на Сниженные.

Источник: https://support.Microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Смотрите также эту ветку reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Обходной путь Microsoft:

  • Обновление сервера и клиента. (требуется перезагрузка, рекомендуется)

Не рекомендуется обходные пути, если ваш сервер общедоступен или если вы НЕ имеете строгого контроля трафика во внутренней сети, но иногда перезапуск RDP-сервера в рабочее время не требуется.

  • Установите политику исправления CredSSP через GPO или Реестр. (Требуется перезапуск или gpupdate/force)
  • Удалите KB4103727 (перезагрузка не требуется)
  • Я думаю, что отключение NLA (аутентификация сетевого уровня) также может работать. (перезагрузка не требуется)

Обязательно поймите риски при их использовании и исправьте свои системы как можно скорее.

[1] Все GPO Описание CredSSP и изменения реестра описаны здесь.

[2] примеры GPO и настроек реестра на случай, если сайт Microsoft выйдет из строя.

16
Michal Sokolowski
  1. Перейдите в "Редактор локальной групповой политики> Административные шаблоны> Система> Делегирование учетных данных> Шифрование Oracle Remediation", отредактируйте и включите его, затем установите "Уровень защиты" на "Снижен".
  2. Установите ключ регистрации (от 00000001 до 00000002) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle" = dword:
  3. Перезагрузите систему, если это необходимо.
7
Mohammad Lotfi

Значение реестра не было на моем компьютере с Windows 10. Мне пришлось перейти на следующую локальную групповую политику и применить изменения на моем клиенте:

Конфигурация компьютера -> Административные шаблоны -> Система -> Делегирование полномочий - Шифрование Oracle Remediation

Включить и установить значение на vulnerable.

4
Ion Cojocaru

Рекомендуется обновить клиент вместо таких сценариев, чтобы просто обойти ошибку, но на свой страх и риск вы можете сделать это на клиенте и не нужно перезагружать клиентский ПК. Также нет необходимости менять что-либо на сервере.

  1. Откройте Run, введите gpedit.msc и ​​нажмите OK.
  2. Развернуть Administrative Templates.
  3. Разверните System.
  4. Открыто Credentials Delegation.
  5. На правой панели дважды щелкните по Encryption Oracle Remediation.
  6. Выберите Enable.
  7. Выберите Vulnerable из Protection Level список.

Этот параметр политики применяется к приложениям, использующим компонент CredSSP (например, подключение к удаленному рабочему столу).

Некоторые версии протокола CredSSP уязвимы для шифрования атаки Oracle на клиента. Эта политика контролирует совместимость с уязвимыми клиентами и серверами. Эта политика позволяет вам установить уровень защиты, необходимый для уязвимости шифрования Oracle.

Если вы включите этот параметр политики, поддержка версии CredSSP будет выбрана на основе следующих параметров:

Принудительное обновление клиентов: клиентские приложения, использующие CredSSP, не смогут использовать небезопасные версии, а службы, использующие CredSSP, не будут принимать непатентованные клиенты. Примечание. Этот параметр не следует развертывать до тех пор, пока все удаленные узлы не будут поддерживать новейшую версию.

Снижен: клиентские приложения, использующие CredSSP, не смогут использовать небезопасную версию, но службы, использующие CredSSP, будут принимать непатентованные клиенты. См. Ссылку ниже для получения важной информации о риске, который представляют оставшиеся непатчированными клиенты.

Уязвимость: клиентские приложения, использующие CredSSP, подвергают удаленные серверы атакам, поддерживая переход к небезопасным версиям, а службы, использующие CredSSP, принимают непатентованные клиенты.

  1. Нажмите Применить.
  2. Нажмите ОК.
  3. Выполнено.

enter image description hereСсылка

3
AVB

У этого парня есть решение вашей проблемы:

По сути - вам придется изменить настройки GPO и принудительно обновить. Но для вступления этих изменений в силу потребуется перезагрузка.

  1. Скопируйте эти два файла с недавно обновленной машины;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Did Feb 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd февраль 2018 г. - ваша локальная папка может отличаться, т. Е. En-GB)
  2. На DC перейдите к:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Переименовать текущий CredSsp.admx до CredSsp.admx.old
    • Скопируйте новый CredSsp.admx в эту папку.
  3. На том же DC перейдите к:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (или ваш местный язык)
    • Переименовать текущий CredSsp.adml до CredSsp.adml.old
    • Скопируйте новый CredSsp.adml файл в эту папку.
  4. Попробуйте снова свою групповую политику.

https://www.petenetlive.com/KB/Article/00014

0
Justin

RUN POWERSHELL КАК АДМИНИСТРАЦИЯ И ВЫПОЛНИТЬ СЛЕДУЮЩУЮ КОМАНДУ

REG  ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2
0
Hayk Jomardyan

Как уже говорили другие, это из-за мартовского патча, выпущенного Microsoft. Они выпустили майский патч 8-го мая, который фактически применяет мартовский патч. Поэтому, если у вас есть рабочая станция, получившая исправление за май, и вы пытаетесь подключиться к серверу, который не получил исправление за март, вы увидите сообщение об ошибке на своем скриншоте.

Разрешение Вы действительно хотите установить патчи на серверах, чтобы они имели мартовский патч. В противном случае вы можете применить групповую политику или редактирование реестра.

Вы можете прочитать подробные инструкции в этой статье: Как исправить функцию ошибки аутентификации не поддерживается CredSSP Error RDP

Вы также можете найти копии файлов ADMX и ADML, если вам нужно их найти.

0
Robert Russell

Просто попробуйте отключить Network Level Authentication С удаленного рабочего стола. Не могли бы вы проверить следующее изображение:

enter image description here

0
Mike Darwish

У меня та же проблема. Клиенты находятся на Win7, а серверы RDS - 2012R2. Клиенты получают "Ежемесячное обновление качества безопасности безопасности 2018-05 (kb4019264)". После того, как удалить это, все хорошо.

0
Root Loop

Откройте PowerShell от имени администратора и выполните следующую команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Попробуйте сейчас подключиться к серверу. Это будет работать.

0
Mukesh Salaria

Я обнаружил, что некоторые из наших машин перестали выполнять обновление Windows (мы запускаем локальный WSUS по всему нашему домену) где-то в январе. Я предполагаю, что предыдущий патч вызвал проблему (машина жаловалась бы на то, что она устарела, но не установила бы патчи Jan, которые, по ее словам, требовались) Из-за обновления 1803 года мы не могли просто использовать Центр обновления Windows от MS напрямую, чтобы исправить его (по какой-то причине произошел таймаут, и обновления не запустились).

Я могу подтвердить, что если вы исправите машину до версии 1803, она содержит исправление. Если вам нужен быстрый путь, чтобы исправить это, я использовал Помощник по обновлению Windows (верхняя ссылка с надписью "Обновление"), чтобы выполнить обновление напрямую (кажется, более стабильным, чем Центр обновления Windows по некоторым причинам).

0
Machavity

Мы удалили это последнее обновление безопасности KB410731 и смогли подключиться к компьютерам с Windows 10 в сборке 1709 и более ранних версиях. Для компьютеров, которые мы могли бы обновить до сборки 1803, это решило проблему без удаления KB4103731.

0
Gabriel C

Я нашел ответ здесь , поэтому не могу претендовать на него как на свой, но добавив следующий ключ в мой реестр и перезапустив исправил его для меня.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
0
Graham Cuthbert