Błąd połączenia pulpitu zdalnego po aktualizacji systemu Windows 2018/05/08 - aktualizacje CredSSP dla CVE-2018-0886


90

Po aktualizacji systemu Windows pojawia się ten błąd podczas próby połączenia się z serwerem za pomocą usługi Podłączanie pulpitu zdalnego.

Po przeczytaniu linku podanego w komunikacie o błędzie wygląda na to, że nastąpiła aktualizacja w dniu 2018/05/08:

8 maja 2018 r

Aktualizacja zmieniająca ustawienie domyślne z Podatnej na Zagrożoną.

Powiązane numery bazy wiedzy Microsoft Knowledge Base są wymienione w CVE-2018-0886.

Czy jest na to rozwiązanie?

Błąd RDC


1
(Meta: aktualizacje są umieszczane na końcu postów, aby zapewnić, że są one nadal zrozumiałe dla nowych czytelników, a odpowiedzi trafiają do pola odpowiedzi, a nie łączą się w pytania. Dzięki).
halfer

Odpowiedzi:


21

(Wysłano odpowiedź w imieniu autora pytania) .

Jak w niektórych odpowiedziach, najlepszym rozwiązaniem tego błędu jest aktualizacja serwera i klientów do wersji> = aktualizacja 2018-05-08 firmy Microsoft.

Jeśli nie możesz zaktualizować obu z nich (tzn. Możesz zaktualizować tylko klienta lub serwer), możesz zastosować jedno z obejść z poniższych odpowiedzi i zmienić konfigurację z powrotem JAK NAJSZYBCIEJ, aby zminimalizować czas trwania luki wprowadzonej przez obejście.


Jest to jeden z tych rzadkich przypadków, w którym zaakceptowana odpowiedź jest również najlepszą odpowiedzią. Inne odpowiedzi narażają Cię na atak CVE-2018-0886: „W niezakończonych wersjach CredSSP istnieje luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu. Osoba atakująca, której uda się wykorzystać tę lukę, może przekazać dane uwierzytelniające użytkownika do wykonania kodu w systemie docelowym . Każda aplikacja zależna od CredSSP do uwierzytelnienia może być podatny na tego typu atak. ”
Braiam

Znaleźliśmy poręczne, nieinwazyjne obejście - byliśmy w stanie RDP za pomocą jednego z naszych serwerów jako skoku
OutstandingBill

Masz pojęcie, jak poważna jest ta luka, jeśli klient i serwer znajdują się w tej samej sieci lokalnej i są narażeni na dostęp do Internetu za routerem bez otwartych portów?
Kevkong,

@Kevkong: to jest odpowiedź wiki, którą opublikowałem dla autora pytania. Możesz pingować je pod pytaniem, jeśli chcesz.
halfer

Cześć @Peter: dzięki za zmiany. W większości się z nimi zgadzają, ale meta-wprowadzenie jest konieczne IMO, aby zachować zgodność z zasadami licencji na uznanie autorstwa. Mam ich kilkaset na Stack Overflow, a Meta uważa, że ​​nie tylko to musi pozostać, ale niektórzy ludzie uważają, że to jest niewystarczające i należy nazwać PO. Ten widok wysokościowy nie zyskał dużej trakcji, ale pokazuje szerokie zdanie na temat tego, w jaki sposób najlepiej osiągnąć atrybucję. Ale w zasadzie nie możemy wymazać autorstwa. Czy można to przywrócić?
halfer

90

Alternatywna metoda do gpedit przy użyciu cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

4
Ratownik. Dla osób korzystających z systemu Windows 10 Home powinno to działać idealnie. Pamiętaj tylko, aby uruchomić cmd jako Administrator.

1
To polecenie działa w
systemie

1
Problem polegał na tym, że aktualizacje wciąż były instalowane na serwerze, dlatego nie było możliwe połączenie. Po prostu czekałem i zadziałało. serverfault.com/questions/387593/...
tobiak777

1
@ pghcpa Zignoruj ​​to, polecenie tworzy brakujące węzły rejestru i wstawia parametr. To naprawdę ratuje życie, jeśli nie możesz zaktualizować serwera za pomocą poprawki bezpieczeństwa, która spowodowała ten problem.
Gergely Lukacsy

1
nie wiem dlaczego, ale działa Dziękuję
dian

39

Znalazłem jedno rozwiązanie. Jak opisano w linku pomocy , próbowałem wycofać się z aktualizacji 2018/05/08, zmieniając wartość tych zasad grupy:

  • Uruchom gpedit.msc

  • Konfiguracja komputera -> Szablony administracyjne -> System -> Delegacja poświadczeń -> Rozwiązanie problemu z szyfrowaniem Oracle

Zmień to na Włączone i na poziomie Ochrony, zmień z powrotem na Wrażliwe .

Nie jestem pewien, czy może to przywrócić jakiekolwiek ryzyko wykorzystania mojego połączenia przez osobę atakującą. Mam nadzieję, że Microsoft będzie rozwiązać ten problem wkrótce więc mogę przywrócić ustawienia do zalecamy ustawienie złagodzone .

Wpisz opis zdjęcia tutaj


Mój system nie ma tam opcji „Rozwiązanie problemu szyfrowania Oracle”, to serwer Windows 2012. Wygląda na to, że zastosował aktualizację zabezpieczeń 5/8.

4
Odkryłem, że dla nas klient był „problemem”. Serwery nie miały najnowszych aktualizacji. Klienci mieli najnowszą aktualizację, więc nie będą działać. Po aktualizacji serwera wszystko działało.

Jeśli nie wiesz, od czego zacząć, uruchom „gpedit.msc”, a następnie postępuj zgodnie z instrukcjami powyżej.
Glen Little

To nie działa w moim systemie Windows 10. Ręczna aktualizacja klucza rejestru CredSSP pozwala mi się połączyć - co zamierzam zrobić tylko na tyle długo, aby łatać maszynę do obecnego standardu.
Tom W

12

Innym sposobem jest instalacja klienta Microsoft Remote Desktop z MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps


2
Dziękujemy, mam nadzieję, że pewnego dnia będzie miał plik kopiuj / wklej zamiast folderu udostępniania. Mam tylko udostępniony schowek do kopiowania / wklejania tekstu
Pham X. Bach

Klientowi RDP systemu Windows App Store brakuje tak wielu wbudowanych funkcji dostosowywania i integracji, mstsc.exeże ciężko jest go traktować poważnie. Z punktu widzenia bezpieczeństwa nie pozwala nawet wyświetlić certyfikatu używanego do bezpiecznych połączeń (ostatnim razem, gdy sprawdzałem), brakuje też obsługi kart inteligentnych, łączenia wielu monitorów, przekierowywania dysków i innych. Tabela porównawcza Microsoftu ujawnia, jak anemiczny jest: docs.microsoft.com/en-us/windows-server/remote/…
Dai

6

Ten problem występuje tylko w mojej maszynie wirtualnej funkcji Hyper-V, a zdalne przenoszenie na maszyny fizyczne jest w porządku.

Przejdź do tego komputera → Ustawienia systemu → Zaawansowane ustawienia systemu na serwerze, a następnie rozwiązałem go, odznaczając docelową maszynę wirtualną „zezwalaj na połączenia tylko z komputerów z uruchomionym Pulpitem zdalnym z uwierzytelnianiem na poziomie sieci (zalecane)”.

Odznacz to


Do cholery. Włączyłem tę opcję, zapomniałem i 2 godziny później zdałem sobie sprawę, że to był problem. 😩
Shafiq al-Shaar

3

Zgodnie z odpowiedzią ac19501 utworzyłem dwa pliki rejestru, aby to ułatwić:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

2

Zaktualizuj w przykładzie GPO na ekranie drukowania.

Na podstawie odpowiedzi „reg add” HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Zrzut ekranu

Ścieżka klucza: Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parametry
Nazwa wartości: AllowEncryptionOracle
Dane wartości: 2


2

Natknąłem się na te same problemy. Lepszym rozwiązaniem byłoby zaktualizowanie komputera, z którym się łączysz, zamiast używania odpowiedzi Pham X Bach na niższy poziom bezpieczeństwa.

Jeśli jednak z jakiegoś powodu nie można zaktualizować komputera, jego obejście działa.


Przepraszamy za niezrozumienie twojej odpowiedzi. Tak, najlepszym rozwiązaniem powinien być serwer aktualizacji i wszyscy klienci do wersji> = aktualizacja 2018/05/08 od MS
Pham X. Bach

1

Musisz zainstalować Windows Update dla serwera i wszystkich klientów. Aby wyszukać aktualizację, przejdź do https://portal.msrc.microsoft.com/en-us/security-guidance , a następnie wyszukaj CVE 2018-0886 i wybierz aktualizację zabezpieczeń dla zainstalowanej wersji systemu Windows.


1

Musisz zaktualizować system Windows Server za pomocą usługi Windows Update. Wszystkie wymagane łatki zostaną zainstalowane. Następnie możesz ponownie połączyć się z serwerem za pośrednictwem pulpitu zdalnego.

Musisz zainstalować KB4103725

Czytaj więcej na: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


Dla tych, którzy stracili dostęp do swojego zdalnego serwera, nadal mogę uzyskać dostęp do moich serwerów za pomocą Remote Desktop na Androida. Następnie możesz zainstalować łatki i rozwiązać problem z połączeniami pulpitu zdalnego z klientów Windows.

1

W przypadku serwerów możemy również zmienić ustawienie za pomocą Remote PowerShell (zakładając, że WinRM jest włączony itp.)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Teraz, jeśli tym ustawieniem zarządza GPO domeny, możliwe jest, że zostanie ono przywrócone, więc musisz sprawdzić GPO. Ale dla szybkiej naprawy to działa.

Odniesienie: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell


1

Inną opcją, jeśli masz dostęp do wiersza poleceń (mamy serwer SSH działający w tym polu), jest uruchomienie „sconfig.cmd” z wiersza poleceń. Otrzymasz menu takie jak poniżej:

Wpisz opis zdjęcia tutaj

Wybierz opcję 7 i włącz ją dla wszystkich klientów, nie tylko bezpiecznych.

Gdy to zrobisz, możesz zdalnie podłączyć pulpit. Wygląda na to, że problem polegał na tym, że nasze systemy klienckie zostały zaktualizowane pod kątem nowych zabezpieczeń, ale nasze serwery były opóźnione w zakresie aktualizacji. Sugeruję pobranie aktualizacji, a następnie ponowne włączenie tego ustawienia zabezpieczeń.


1

Odinstaluj:

  • W systemie Windows 7 i 8.1: KB4103718 i / lub KB4093114 
  • W systemie Windows 10: KB4103721 i / lub serwer KB4103727 bez aktualizacji 

Ta aktualizacja zawiera poprawkę luki w zabezpieczeniach CVE-2018-0886. Na niesklepionym serwerze pozwala im wejść bez nich.


2
Witamy w Super User! Czy możesz wyjaśnić, dlaczego odinstalowanie tych plików KB pomoże?
bertieb

bo ta aktualizacja zawiera łatkę na lukę CVE-2018-0886, na serwerze bez łaty pozwala im się bez nich
EXPY
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.