web-gelistirme-sc.com

Bunun nedeni CredSSP şifrelemesi Oracle iyileştirmesi olabilir - RDP - Windows 10 pro ana makinesi

Hata

Mayıs 2018'deki Windows güvenlik güncelleştirmelerinin ardından, bir Windows 10 Pro iş istasyonuna RDP denemeye çalışırken, kullanıcı kimlik bilgilerini başarıyla girdikten sonra aşağıdaki hata iletisi görüntülenir:

Bir kimlik doğrulama hatası oluştu. İstenen işlev desteklenmiyor.

Bunun nedeni CredSSP şifrelemesi Oracle iyileştirmesi olabilir

Ekran görüntüsü

enter image description here

Hata ayıklama

  • Kullanıcı kimlik bilgilerinin doğru olduğunu onayladık.

  • İş istasyonunu yeniden başlattı.

  • Öncelikli dizin hizmetleri doğrulandı.

  • Mayıs güvenlik yamasını uygulamak için henüz izole edilmiş iş istasyonları etkilenmez.

Ancak bulut tabanlı sunucu erişimi ile ilgili olarak, izin verilen ana bilgisayarlar için bu arada yönetebilir. Sunucu 2016'da henüz gerçekleşme yok.

Teşekkür ederim

47
scott_lotus

Araştırma

Bu makaleye atıfta bulunarak:

https://blogs.technet.Microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Bir kuruluş içinde uzak Ana Bilgisayar RDP oturum bağlantıları kurma yeteneğini etkileyebilecek Mayıs 2018 geçici güncellemesi. Bu sorun, yerel istemci ve uzak Ana Bilgisayar kayıt defterinde CredSSP ile RDP oturumunun nasıl oluşturulacağını tanımlayan farklı “Şifreleme Oracle Düzeltme” ayarlarına sahipse oluşabilir. “Şifreleme Oracle Düzeltmesi” ayar seçenekleri aşağıda tanımlanmıştır ve sunucu veya istemcinin güvenli bir RDP oturumu oluşturma konusunda farklı beklentileri varsa bağlantı engellenebilir.

Geçici olarak 8 Mayıs 2018'de yayınlanması planlanan ikinci bir güncelleme, varsayılan davranışı "Hassas" olarak "Azaltılmış" olarak değiştirecektir.

Hem istemci hem de sunucunun yamalanmış olup olmadığını fark ederseniz, ancak varsayılan ilke ayarının "Güvenlik Açığı" olarak kalması durumunda, RDP bağlantısına saldırmak için "Güvenlik Açığı" dır. Varsayılan ayar “Azaltılmış” olarak değiştirildikten sonra, bağlantı varsayılan olarak “Güvenli” olur.

Çözüm

Tüm istemcilerin tam olarak yamasını sağlamaya devam ettiğim bu bilgilere dayanarak, sorunun azaltılmasını beklerim.

4
scott_lotus

Tamamen Graham Cuthbert'in cevabı Notepad'de aşağıdaki satırlarla bir metin dosyası oluşturdum ve daha sonra sadece çift tıkladım (dosyadaki parametreler Windows Kayıt Defteri'ne eklenmelidir).

İlk satırın kullandığınız Windows sürümüne bağlı olarak değiştiğini unutmayın, bu nedenle regedit 'ı açmak ve yalnızca ilk satırda ne olduğunu görmek ve aynı sürümü kullanmak için herhangi bir kuralı dışa aktarmak iyi bir fikir olabilir. dosya.

Ayrıca, şifrelenmiş bir VPN'e bağlandığım ve Ana Windows'un internete erişimi olmadığından ve bu nedenle en son güncellemeye sahip olmadığından, bu özel durumdaki güvenliği düşürmekten endişe etmiyorum.

Dosya rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Yükseltilmiş bir komuta kopyalamak/yapıştırmak kolay bir şey isteyenler için İstem:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
20
Rodriguez

Kimlik Bilgisi Güvenliği Destek Sağlayıcısı protokolü (CredSSP), diğer uygulamalar için kimlik doğrulama isteklerini işleyen bir kimlik doğrulama sağlayıcısıdır.

CredSSP'nin eşlenmemiş sürümlerinde bir uzaktan kod yürütme güvenlik açığı bulunmaktadır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sistemde kod yürütmek için kullanıcı kimlik bilgilerini geçirebilir. Kimlik doğrulaması için CredSSP'ye bağımlı olan herhangi bir uygulama bu tür saldırılara karşı savunmasız olabilir.

[...]

13 Mart 2018

13 Mart 2018'in ilk sürümü, etkilenen tüm platformlar için CredSSP kimlik doğrulama protokolünü ve Uzak Masaüstü istemcilerini güncelleştirir.

Azaltma, güncelleştirmenin tüm uygun istemci ve sunucu işletim sistemlerine yüklenmesini ve ardından istemci ve sunucu bilgisayarlardaki ayar seçeneklerini yönetmek için dahil edilen Grup İlkesi ayarlarını veya kayıt defteri tabanlı eşdeğerlerini kullanmayı içerir. Yöneticilerin politikayı uygulamasını ve istemci ve sunucu bilgisayarlarda mümkün olan en kısa sürede "Güncellenmiş istemcileri zorla" veya "Azaltılmış" olarak ayarlamasını öneririz. Bu değişiklikler, etkilenen sistemlerin yeniden başlatılmasını gerektirecektir.

Bu makalenin ilerisindeki uyumluluk tablosunda istemciler ve sunucular arasında "Engellenen" etkileşimlerle sonuçlanan Grup İlkesi veya kayıt defteri ayarları çiftlerine çok dikkat edin.

17 Nisan 2018

KB 4093120'deki Uzak Masaüstü İstemcisi (RDP) güncelleştirme güncelleştirmesi, güncelleştirilmiş bir istemci güncelleştirilmemiş bir sunucuya bağlanamadığında sunulan hata iletisini geliştirir.

8 Mayıs 2018

Varsayılan ayarı Güvenlik Açığı'ndan Azaltılmış olarak değiştirmek için bir güncelleştirme.

Kaynak: https://support.Microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Ayrıca bu reddit dizisine de bakın: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Microsoft'un çözümü:

  • Güncelleme sunucusu ve istemci. (yeniden başlatma gerekir, önerilir)

Sunucunuz herkese açıksa veya dahili ağınızda sıkı trafik kontrolünüz yoksa, ancak bazen çalışma saatlerinde RDP sunucusunu yeniden başlatmak bir geçici çözüm değildir.

  • CredSSP yama ilkesini GPO veya Kayıt Defteri aracılığıyla ayarlayın. (Yeniden başlatma veya gpupdate/force gerektirir)
  • KB4103727'yi kaldırın (yeniden başlatma gerekmez)
  • NLA'nın (Ağ Katmanı Kimlik Doğrulaması) devre dışı bırakılmasının da işe yarayabileceğini düşünüyorum. (yeniden başlatma gerekmez)

Bunları kullanırken riskleri anladığınızdan ve sistemlerinizi en kısa sürede yamaladığınızdan emin olun.

[1] Tüm GPO CredSSP açıklaması ve kayıt defteri değişiklikleri burada açıklanmaktadır.

[2] GPO örnekleri ve Microsoft'un sitesi kapanması durumunda kayıt defteri ayarları).

16
  1. "Yerel Grup İlkesi Düzenleyicisi> Yönetim Şablonları> Sistem> Kimlik Bilgileri Temsilcisi> Şifreleme Oracle Düzeltmesi" ne gidin, etkinleştirin ve ardından "Koruma Düzeyi" ni "Azaltılmış" olarak ayarlayın.
  2. Kayıt anahtarını ayarlayın (00000001'den 00000002'ye kadar) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle" = dword:
  3. Gerekirse sisteminizi yeniden başlatın.
7
Mohammad Lotfi

Kayıt defteri değeri Windows 10 makinemde yoktu. Aşağıdaki yerel grup politikasına gitmem ve değişikliği müşterime uygulamam gerekiyordu:

Bilgisayar Yapılandırması -> Yönetim Şablonları -> Sistem -> Kimlik Bilgileri Temsilcisi - Şifreleme Oracle Düzeltmesi

Etkinleştirin ve vulnerable.

4
Ion Cojocaru

Hatayı atlamak için bu tür komut dosyaları yerine istemciyi güncellemeniz önerilir, ancak kendi sorumluluğunuzda bunu istemcide yapabilirsiniz ve istemci bilgisayarı yeniden başlatmanıza gerek yoktur. Ayrıca sunucuda herhangi bir şeyi değiştirmeye gerek yok.

  1. Run dosyasını açın, gpedit.msc Yazın ve OK düğmesini tıklayın.
  2. Administrative Templates Öğesini genişletin.
  3. System öğesini genişletin.
  4. Credentials Delegation Dosyasını açın.
  5. Sağ panelde Encryption Oracle Remediation Üzerine çift tıklayın.
  6. Enable öğesini seçin.
  7. Protection Level Listesinden Vulnerable öğesini seçin.

Bu ilke ayarı, CredSSP bileşenini kullanan uygulamalar için geçerlidir (örneğin: Uzak Masaüstü Bağlantısı).

CredSSP protokolünün bazı sürümleri, istemciye karşı yapılan Oracle şifrelemesine karşı savunmasızdır. Bu ilke, güvenlik açığı bulunan istemciler ve sunucularla uyumluluğu kontrol eder. Bu politika, Oracle güvenlik açığı şifrelemesi için istenen koruma düzeyini ayarlamanıza olanak tanır.

Bu ilke ayarını etkinleştirirseniz, CredSSP sürüm desteği aşağıdaki seçeneklere göre seçilecektir:

Güncellenmiş İstemcileri Zorla: CredSSP kullanan istemci uygulamaları güvenli olmayan sürümlere geri dönemez ve CredSSP kullanan hizmetler eşlenmemiş istemcileri kabul etmez. Not: tüm uzak ana bilgisayarlar en yeni sürümü destekleyene kadar bu ayar konuşlandırılmamalıdır.

Azaltılmış: CredSSP kullanan istemci uygulamaları güvenli olmayan sürüme geri dönemez, ancak CredSSP kullanan hizmetler eşlenmemiş istemcileri kabul eder. Kalan dağıtılmamış istemcilerin oluşturduğu risk hakkında önemli bilgi için aşağıdaki bağlantıya bakın.

Güvenlik Açığı: CredSSP kullanan istemci uygulamaları, güvenli olmayan sürümlere geri dönüşü destekleyerek uzak sunucuları saldırılara maruz bırakacak ve CredSSP kullanan hizmetler eşlenmemiş istemcileri kabul edecektir.

  1. Uygula'yı tıklayın.
  2. Tamam'ı tıklayın.
  3. Bitti.

enter image description hereReferans

3
AVB

Bu adamın tam sorununuz için bir çözümü var:

Temel olarak - GPO ayarlarını değiştirmeniz ve bir güncellemeyi zorlamanız gerekir.) Ancak bu değişikliklerin yeniden başlatılması gerekir.

  1. Bu iki dosyayı yeni güncellenmiş bir makineden kopyalayın;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Şub 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd Şub 2018 - Yerel klasörünüz farklı olabilir, yani en-GB)
  2. DC'de şuraya gidin:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Geçerli CredSsp.admx ila CredSsp.admx.old
    • Yeni CredSsp.admx bu klasöre.
  3. Aynı DC adresine gidin:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (veya yerel diliniz)
    • Geçerli CredSsp.adml ila CredSsp.adml.old
    • Yeni CredSsp.adml dosya bu klasöre.
  4. Grup politikanızı tekrar deneyin.

https://www.petenetlive.com/KB/Article/00014

0
Justin

YÖNETİCİ OLARAK RUN POWERSHELL VE ROL FOLOWING COMMAND

REG  ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2
0
Hayk Jomardyan

Diğerlerinin söylediği gibi, bunun nedeni Microsoft'un yayınladığı bir Mart yaması. 8 Mayıs'ta aslında Mart yamasını uygulayan bir Mayıs yaması yayınladılar. Bu nedenle, Mayıs düzeltme ekini alan bir iş istasyonunuz varsa ve Mart düzeltme ekini almayan bir sunucuya bağlanmaya çalışıyorsanız, ekran görüntünüzdeki hata iletisini alırsınız.

Çözünürlük Sunucuları Mart düzeltme ekine sahip olacak şekilde düzeltmek istiyorsunuz. Aksi takdirde, bir Grup İlkesi veya kayıt defteri düzenlemesi uygulayabilirsiniz.

Bu makaledeki ayrıntılı talimatları okuyabilirsiniz: Desteklenmeyen Kimlik Doğrulama Hatası İşlevini Düzeltme CredSSP Hatası RDP Nasıl Yapılır

Bulmanız gerektiğinde ADMX ve ADML dosyalarının kopyalarını da bulabilirsiniz.

0
Robert Russell

Basitçe, Devre Dışı Bırakmayı deneyin Network Level Authentication Uzak Masaüstü'nden. Lütfen aşağıdaki resmi kontrol edin:

enter image description here

0
Mike Darwish

Ben de aynı sorunu yaşadım. İstemciler Win7'de ve RDS sunucuları 2012R2, Müşteriler "2018-05 aylık güvenlik güncellemesi güncellemesi (kb4019264)" aldı. Bunu kaldırdıktan sonra, her şey yolunda.

0
Root Loop

PowerShell'i yönetici olarak açın ve şu komutu çalıştırın:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Şimdi sunucuya bağlanmayı deneyin. Çalışacak.

0
Mukesh Salaria

Bazı makinelerimizin Ocak ayında Windows Update'i (etki alanımızda yerel WSUS çalıştırıyoruz) durdurduğunu gördüm. Önceki bir yamanın soruna neden olduğunu tahmin ediyorum (makine güncelliğini kaybetmekten şikayetçi olurdu, ancak gerekli olduğunu söyleyen Jan yamaları yüklemez). 1803 güncelleştirmesi nedeniyle, yalnızca Windows Update'i MS'den doğrudan düzeltmek için kullanamadık (bir nedenle zaman aşımı olur ve güncellemeler çalışmaz).

Makineyi 1803 sürümüne yapıştırırsanız, bunun düzeltmesini içerdiğini onaylayabilirim. Bunu düzeltmek için hızlı bir yola ihtiyacınız varsa, güncelleştirmeyi doğrudan gerçekleştirmek için Windows Update Assistant (Güncelleştirme yazan üst bağlantı) kullandım (bir nedenle Windows Update'ten daha kararlı görünüyor).

0
Machavity

En son güvenlik güncelleştirmesi KB410731'i kaldırdık ve 1709 ve önceki sürümlerde Windows 10 makineleriyle bağlantı kurabildik. PC'ler için 1803'ü inşa etmek için yükseltebiliriz, bu KB4103731'i kaldırmadan sorunu çözdü.

0
Gabriel C

Ben cevabı buldum burada , bu yüzden kendi olarak iddia edemez, ancak kayıt defterine aşağıdaki anahtarı ekleyerek ve yeniden başlatma benim için düzeltildi.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
0
Graham Cuthbert