Ошибка подключения к удаленному рабочему столу после обновления Windows 2018/05/08 - обновления CredSSP для CVE-2018-0886


90

После обновления Windows я получаю эту ошибку при попытке подключиться к серверу с помощью подключения к удаленному рабочему столу.

Когда читаете ссылку, представленную в сообщении об ошибке, кажется, из-за обновления на 2018/05/08:

8 мая 2018 г.

Обновление, позволяющее изменить настройку по умолчанию с Уязвимые на Сниженные.

Соответствующие номера базы знаний Майкрософт перечислены в CVE-2018-0886.

Есть ли решение для этого?

Ошибка RDC


1
(Мета: обновления идут в конце постов, чтобы гарантировать, что они все еще понятны для новых читателей, а ответы идут в пространстве ответов, а не объединяются в вопросы. Спасибо).
halfer

Ответы:


21

(Выложил ответ от имени автора вопроса) .

Как и в некоторых ответах, лучшим решением для этой ошибки является обновление как сервера, так и клиентов до версии> = обновление от 2018-05-08 от Microsoft.

Если вы не можете обновить их оба (т. Е. Вы можете обновить только клиент или сервер), вы можете применить один из обходных путей из ответов ниже и изменить конфигурацию обратно как можно скорее, чтобы минимизировать продолжительность уязвимости, вызванной обходным решением.


Это один из тех редких случаев, когда принятый ответ также является лучшим ответом. Другие ответы оставляют вас уязвимыми для CVE-2018-0886: «В незащищенных версиях CredSSP существует уязвимость удаленного выполнения кода. Злоумышленник, успешно использующий эту уязвимость, может передать учетные данные пользователя для выполнения кода в целевой системе . Любое приложение, зависящее от CredSSP. для проверки подлинности могут быть уязвимы для этого типа атаки ".
Брайам

Мы нашли удобный, неинвазивный обходной путь - мы смогли выполнить RDP, используя один из наших серверов в качестве переключателя
OutstandingBill

Любая идея, насколько серьезна уязвимость, если и клиент, и сервер находятся в одной и той же локальной сети и доступны только Интернету за маршрутизатором без каких-либо открытых портов?
Кевконг

@Kevkong: это ответ на вики, который я написал для автора вопроса. Вы можете пинговать их под вопросом, если хотите.
Полузащитник

Привет, @Peter: спасибо за твои правки. В основном с ними согласны, но мета-введение необходимо ИМО, чтобы остаться в рамках правил выдачи лицензии. У меня есть несколько сотен из них по переполнению стека, и мнение из Meta состоит в том, что не только нужно это сохранить, но некоторые люди считают, что этого недостаточно, и нужно назвать имя OP. Эта альтернативная точка зрения не завоевала большого успеха, но показывает широту мнений о том, как лучше всего добиться атрибуции. Но, в принципе, мы не можем стереть авторство. Это можно восстановить, пожалуйста?
Полузащитник

90

Альтернативный метод для gpedit с использованием cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

4
Спасатель. Для тех, кто использует Windows 10 Home, это должно работать идеально. Просто не забудьте запустить cmd от имени администратора.

1
Эта команда работает на Windows 8. Спасибо
Джайрат

1
На самом деле проблема заключалась в том, что обновления все еще устанавливались на сервере, поэтому подключение было невозможно. Просто подождал и все заработало. serverfault.com/questions/387593/…
tobiak777

1
@pghcpa Не обращайте внимания, команда создает недостающие узлы реестра и вставляет параметр для вас. Это действительно спасение жизни, если вы не можете обновить сервер с помощью исправления безопасности, вызвавшего эту проблему.
Гергели Лукачи

1
Я не знаю почему, но это работает. Спасибо
Диан,

39

Я нашел одно решение. Как описано в справочной ссылке , я попытался откатиться с обновления 2018/05/08, изменив значение этой групповой политики:

  • Запустите gpedit.msc

  • Конфигурация компьютера -> Административные шаблоны -> Система -> Делегирование учетных данных -> Шифрование Oracle Remediation

Измените его на « Включить» и на уровне защиты, верните обратно в « Уязвимый» .

Я не уверен, может ли это снизить риск того, что злоумышленник воспользуется моим соединением. Я надеюсь, что Microsoft исправит это в ближайшее время, чтобы я мог восстановить настройку на рекомендованную настройку Mitigated .

Введите описание изображения здесь


В моей системе нет этой опции для «Шифрования Oracle Remediation», это сервер Windows 2012. Похоже, оно применило обновление безопасности 5/8.

4
Я обнаружил, что для нас клиент был «проблемой». На серверах не было последних обновлений. У клиентов было последнее обновление, чтобы они не работали. Как только сервер обновился, все заработало.

Для тех, кто не знает, с чего начать, запустите «gpedit.msc» и следуйте инструкциям выше.
Глен Литтл

Это не работает в моей системе Windows 10. Обновление раздела реестра CredSSP вручную позволяет мне подключиться, что я собираюсь сделать достаточно долго, чтобы установить исправление машины до текущего стандарта.
Том

12

Другой способ - установить клиент Microsoft Remote Desktop из магазина MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps.


2
Спасибо, надеюсь, что в один прекрасный день у него будет файл для копирования / вставки вместо общей папки. Есть только общий буфер обмена для копирования / вставки текста
Фам Х. Бах

RDP-клиенту Windows App Store не хватает многих встроенных функций настройки и интеграции, mstsc.exeк которым трудно отнестись серьезно. С точки зрения безопасности, он даже не позволяет просматривать сертификат, используемый для безопасных соединений (в прошлый раз, когда я проверял), ему также не хватает поддержки смарт-карт, охвата нескольких мониторов, перенаправления дисков и других. Собственная таблица сравнения Microsoft показывает, насколько она анемична
Дай

6

Эта проблема возникает только в моей виртуальной машине Hyper-V, и удаленное взаимодействие с физическими машинами в порядке.

Перейдите в раздел « Этот ПК» → «Параметры системы» → «Дополнительные параметры системы» на сервере, а затем я решил эту проблему, сняв флажок с целевой виртуальной машины «разрешать подключения только с компьютеров, работающих под управлением удаленного рабочего стола с аутентификацией на уровне сети (рекомендуется)».

Снимите этот флажок


Проклятье. Я включил эту опцию, забыл о, и через 2 часа я понял, что это была проблема. 😩
Шафик аш-Шаар

3

После ответа ac19501 я создал два файла реестра, чтобы сделать это проще:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

2

Обновление примера GPO на экране печати.

Основываясь на ответе "reg add", HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters "/ f / v Разрешить шифрованиеOracle / t REG_DWORD / d 2"

Снимок экрана

Путь к файлу: Программное обеспечение \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Параметры
Имя значения: AllowEncryptionOracle
Значение данных: 2


2

Я сталкивался с такими же проблемами. Лучшим решением было бы обновить компьютер, к которому вы подключаетесь, вместо использования ответа Pham X Bach до более низкого уровня безопасности.

Однако, если вы не можете обновить машину по какой-то причине, его обходной путь работает.


Извините за неправильное понимание вашего ответа. Да, лучшим решением должно быть обновление сервера и всех клиентов до версии> = обновление от 2018/05/08 от MS
Pham X. Бах

1

Вам необходимо установить Центр обновления Windows для сервера и всех клиентов. Чтобы найти обновление, перейдите по адресу https://portal.msrc.microsoft.com/en-us/security-guidance , затем найдите CVE 2018-0886 и выберите Обновление безопасности для установленной версии Windows.


1

Вам необходимо обновить Windows Server с помощью Центра обновления Windows. Все необходимые патчи будут установлены. Затем вы можете снова подключиться к серверу через удаленный рабочий стол.

Вам необходимо установить kb4103725

Узнайте больше по адресу: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


Для тех парней, которые потеряли доступ к своему удаленному серверу, я все еще могу получить доступ к своим серверам с помощью удаленного рабочего стола для Android. Затем вы можете установить исправления и решить проблему с подключениями к удаленному рабочему столу от клиентов Windows.

1

Для серверов мы также можем изменить настройку через Remote PowerShell (при условии, что WinRM включен и т. Д.)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Теперь, если этот параметр управляется доменным объектом групповой политики, возможно, он вернется, поэтому вам нужно проверить объекты групповой политики. Но для быстрого исправления это работает.

Ссылка: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell


1

Другой вариант, если у вас есть доступ к командной строке (у нас на сервере работает SSH-сервер), это запустить «sconfig.cmd» из командной строки. Вы получаете меню, как показано ниже:

Введите описание изображения здесь

Выберите опцию 7 и включите ее для всех клиентов, а не только для безопасности.

Как только это будет сделано, вы сможете подключиться к удаленному рабочему столу. Похоже, для нас проблема заключалась в том, что наши клиентские системы были обновлены для обеспечения новой безопасности, но наши серверные блоки отставали от обновлений. Я бы посоветовал получить обновления, а затем снова включить эту настройку безопасности.


1

Удаление:

  • Для Windows 7 и 8.1: KB4103718 и / или KB4093114 
  • Для Windows 10: сервер KB4103721 и / или KB4103727 без обновлений 

Это обновление содержит патч для уязвимости CVE-2018-0886. На непатчированном сервере это позволяет им без них.


2
Добро пожаловать в Супер пользователя! Можете ли вы объяснить, почему удаление этих КБ поможет?
bertieb

Так как в этом обновлении содержится исправление для уязвимости CVE-2018-0886, на сервере без исправлений пропускает их без них
EXPY
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.