Vraag Dit kan te wijten zijn aan CredSSP-codering oracle-remediatie - RDP naar Windows 10 pro-host


Fout

Na Windows-beveiligingsupdates in mei 2018, bij een poging om RDP naar een Windows 10 Pro-werkstation te verplaatsen, wordt het volgende foutbericht weergegeven nadat de gebruikersreferenties met succes zijn ingevoerd:

Er is een verificatiefout opgetreden. De gevraagde functie wordt niet ondersteund.

Dit kan te wijten zijn aan CredSSP-codering oracle-sanering

screenshot

enter image description here

debugging

  • We hebben bevestigd dat gebruikersreferenties correct zijn.

  • Start het werkstation opnieuw op.

  • Bevestigd op prem directory-services zijn operationeel.

  • Geïsoleerde werkstations die de beveiligingspatch van mei nog moeten toepassen, worden niet uitgevoerd.

Kan in de tussentijd beheren voor op permanente hosts, bezorgd over cloud-gebaseerde servertoegang echter. Geen occurcesces op Server 2016.

Dank je


41
2018-05-10 08:40


oorsprong




antwoorden:


Volledig gebaseerd op Graham Cuthbert's antwoord Ik maakte een tekstbestand in Kladblok met de volgende regels en dubbelklikte het daarna (wat moet toevoegen aan het Windows-register ongeacht de parameters in het bestand).

Merk op dat de eerste regel varieert, afhankelijk van de Windows-versie die u gebruikt, dus het kan een goed idee zijn om te openen regedit en exporteer elke regel om te zien wat er op de eerste regel staat en gebruik dezelfde versie in uw bestand.

Ook maak ik me geen zorgen over het degraderen van beveiliging in deze specifieke situatie, omdat ik verbinding maak met een gecodeerde VPN en de host Windows geen toegang heeft tot internet en dus niet de laatste update heeft.

het dossier rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

17
2018-05-10 15:05



met de startpagina van Windows 10, de snelste tijdelijke manier om aan de slag te gaan. - ahmad molaie
Dit REG-bestand zou op de client of de server moeten worden geïmporteerd? - nivs1978
@ nivs1978, dit bestand is bedoeld voor gebruik aan de clientzijde, ervan uitgaande dat de client de nieuwere updates heeft en de server niet. Dus zal het in principe toestaan ​​dat de meest recente client verbinding maakt met een server die niet recent is bijgewerkt. - Rodriguez
Bedankt! Ik gebruik Win 10 Home. Ik heb de Win-update die dit probleem veroorzaakte tien keer gedeïnstalleerd, en MS blijft het terugzetten, ondanks alles te doen om dit te stoppen. Er is ook geen beleidseditor (of deze wordt niet gerespecteerd) in deze versie van Windows. Ik zocht naar deze reg-sleutels, per document dat ik las en het bestond niet, dus ik dacht dat ze niet zouden werken. Maar ik probeerde hoe dan ook je reg-bestand te draaien, het loste het probleem op als een charme! - BuvinJ


Credential Security Support Provider-protocol (CredSSP) is een   authenticatieprovider die verificatieaanvragen verwerkt voor   andere applicaties.

Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code in niet-gepandechte versies van   CredSSP. Een aanvaller die met succes misbruik maakt van dit beveiligingslek   kan gebruikersreferenties doorgeven om code uit te voeren op het doelsysteem. Ieder   applicatie die afhankelijk is van CredSSP voor authenticatie   kwetsbaar voor dit type aanval.

[...]

13 maart 2018

De eerste release van 13 maart 2018 werkt de CredSSP-authenticatie bij   protocol en de Remote Desktop-clients voor alle betrokken platforms.

Mitigatie bestaat uit het installeren van de update op alle in aanmerking komende clients   en serverbesturingssystemen en vervolgens inclusief opgenomen groepsbeleid   instellingen of register-gebaseerde equivalenten om de instellingsopties te beheren   op de client- en servercomputers. We raden beheerders aan   pas het beleid toe en stel het in op "Force updated clients" of "Mitigated"   op client- en servercomputers zo snel mogelijk. Deze veranderingen   vereist een herstart van de getroffen systemen.

Besteed veel aandacht aan Groepsbeleid of register-instellingen die dat paren   resulteren in "Geblokkeerde" interacties tussen clients en servers in de   compatibiliteitstabel verderop in dit artikel.

17 april 2018

De update van de Remote Desktop Client (RDP) -update in KB 4093120 zal dit doen   verbeter het foutbericht dat wordt weergegeven bij een bijgewerkte client   kan geen verbinding maken met een server die niet is bijgewerkt.

8 mei 2018

Een update om de standaardinstelling te wijzigen van Kwetsbaar naar Verlaagd.

Bron: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Zie ook deze reddit-thread: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

De tussenoplossing van Microsoft:

  • Update server en client. (vereist opnieuw opstarten, aanbevolen)

Niet aanbevolen oplossingen als uw server voor het publiek beschikbaar is of als u GEEN strenge verkeerscontrole in uw interne netwerk hebt, maar soms is het opnieuw starten van de RDP-server in werktijd niet toegestaan.

  • Stel het CredSSP-patchbeleid in via GPO of het register. (vereist herstart of gp update / force)
  • KB4103727 verwijderen (geen herstart vereist)
  • Ik denk dat het uitschakelen van NLA (Network Layer Authentication) ook kan werken. (geen herstart vereist)

Zorg ervoor dat u de risico's begrijpt wanneer u deze gebruikt en maak zo snel mogelijk uw systemen aan.

[1] Alle beschrijving van het GPO CredSSP en registerwijzigingen worden hier beschreven.

[2] voorbeelden van GPO- en registerinstellingen in het geval dat de site van Microsoft uitvalt.


15
2018-05-10 09:21



Ik denk van wel, ja. :) Voor zover ik kan vertellen Windows 7, Windows 8.1, Windows 10 en Server 2016 wordt beïnvloed in mijn omgeving. Concluderend moeten we elke ondersteunde Windows-versie patchen. - Michal Sokolowski
Het bevestigen van het uitschakelen van NLA op de doelserver werkt als een tijdelijke oplossing. - Ketura
heeft iemand een PS (Powershell) script bij de hand hoe dit te controleren? Op server en client? - Tilo
Is deze fout omdat RDP op de server is bijgewerkt en de client niet, of is het de clients die is bijgewerkt, en de server niet? - nivs1978
@ nivs1978, AFAIR, beide scenario's geven dezelfde symptomen. - Michal Sokolowski


  1. Ga naar "Lokale groepsbeleid-editor> Beheersjablonen> Systeem> Legitimatie Delegation> Codering Oracle Remediation", bewerk en activeer het en stel vervolgens "Beschermingsniveau" in op "Beperkt".
  2. Set registersleutel (van 00000001 tot 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters] "AllowEncryptionOracle" = dword:
  3. Start je systeem opnieuw als dat nodig is.

7
2018-05-13 05:34



Ik gebruikte de eerste stap met uitzondering van het inschakelen en instellen op Kwetsbaar. Toen kon ik mijn W10 naar een W7-machine op het netwerk RDP - seizethecarp
Ik heb gedaan zoals je zei en gewerkt! Client W10 en Server WS2012 R2. Bedankt! - Phi


De registerwaarde was niet aanwezig op mijn Windows 10-computer. Ik moest naar het volgende lokale groepsbeleid gaan en de wijziging toepassen op mijn client:

Computerconfiguratie -> Beheersjablonen -> Systeem -> Legitimatie Delegatie - Versleuteling Oracle-remediëring

Schakel in en stel in op waarde voor vulnerable.


4
2018-05-14 12:12



Dit werkte voor mij op W10 verbinding maken met een W7-machine op mijn netwerk - seizethecarp


Onderzoek

Verwijzend naar dit artikel:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

De voorlopige update van mei 2018 die van invloed zou kunnen zijn op de mogelijkheid om externe host-RDP-sessieverbindingen tot stand te brengen binnen een organisatie. Dit probleem kan optreden als de lokale client en de externe host verschillende "Encryption Oracle Remediation" -instellingen in het register hebben die bepalen hoe een RDP-sessie met CredSSP moet worden opgebouwd. De instellingsopties voor "Codering Oracle-correctie" worden hieronder gedefinieerd en als de server of client andere verwachtingen heeft bij het opzetten van een veilige RDP-sessie, kan de verbinding worden geblokkeerd.

Een tweede update, voorlopig gepland om te worden vrijgegeven op 8 mei 2018, zal het standaardgedrag veranderen van "Kwetsbaar" naar "Verlaagd".

Als u merkt dat zowel de client als de server zijn gepatcht, maar de standaardinstelling voor het beleid blijft staan ​​op "Kwetsbaar", is de RDP-verbinding "kwetsbaar" om aan te vallen. Zodra de standaardinstelling is gewijzigd in "Gematigd", wordt de verbinding standaard "Beveiligd".

Resolutie

Op basis van deze informatie ga ik er vervolgens voor zorgen dat alle klanten volledig zijn gepatcht. Ik zou dan verwachten dat het probleem wordt afgezwakt.


3
2018-05-10 09:21





Het wordt aanbevolen om de client bij te werken in plaats van dit soort scripts om de fout te omzeilen, maar op eigen risico kunt u dit op de client doen en hoeft u de client-pc niet opnieuw op te starten. Het is ook niet nodig om iets op de server te veranderen.

  1. Open Run, type gpedit.msc en klik OK.
  2. Uitbreiden Administrative Templates.
  3. Uitbreiden System.
  4. Open Credentials Delegation.
  5. Op het rechterpaneel dubbelklik op Encryption Oracle Remediation.
  6. kiezen Enable.
  7. kiezen Vulnerable van Protection Level lijst.

Deze beleidsinstelling is van toepassing op toepassingen die gebruikmaken van de CredSSP   component (bijvoorbeeld: Verbinding met extern bureaublad).

Sommige versies van het CredSSP-protocol zijn kwetsbaar voor een codering   orakelaanval tegen de klant. Dit beleid regelt de compatibiliteit   met kwetsbare clients en servers. Met dit beleid kunt u instellen   het gewenste beveiligingsniveau voor het coderingsoracle   kwetsbaarheid.

Als u deze beleidsinstelling inschakelt, wordt ondersteuning voor de CredSSP-versie geboden   geselecteerd op basis van de volgende opties:

Geforceerde clients dwingen: Client-applicaties die CredSSP gebruiken zullen dat niet   in staat zijn terug te vallen op de onveilige versies en services die gebruikmaken van   CredSSP accepteert geen niet-gepatchte clients. Opmerking: deze instelling zou moeten   niet worden gebruikt totdat alle externe hosts de nieuwste versie ondersteunen.

Matig: Client-applicaties die CredSSP gebruiken, zullen dit niet kunnen   terugvallen op de onveilige versie, maar services die gebruikmaken van CredSSP zullen dat wel zijn   accepteer niet-gecpatte clients. Zie de onderstaande link voor belangrijke informatie   over het risico van resterende niet-gecachte clients.

Kwetsbaar: Client-applicaties die CredSSP gebruiken, zullen de   externe servers voor aanvallen door ondersteuning vallen terug naar het onzekere   versies en services die CredSSP gebruiken, accepteren niet-gecpatte clients.

  1. Klik op Toepassen.
  2. Klik OK.
  3. Gedaan.

enter image description here Referentie


2
2017-07-08 17:46



U beveelt mensen aan op een optie te klikken met de melding 'Kwetsbaar'. Het zou goed zijn om uit te leggen wat de gevolgen hiervan zullen zijn, in plaats van alleen een (goed) script te geven om het te doen. - Law29
@ Law29 Je hebt gelijk, geüpdatet! - AVB


Deze gast heeft een oplossing voor uw exacte probleem:

In wezen - u moet de GPO-instellingen wijzigen en Een update forceren. Maar voor deze wijzigingen moet een herstart worden uitgevoerd.

  1. Kopieer deze twee bestanden van een pas bijgewerkte machine;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd deed februari 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd feb 2018 - Uw lokale map kan verschillen, d.w.z. en-GB)
  2. Navigeer op een DC naar:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Hernoem de stroom CredSsp.admx naar CredSsp.admx.old
    • Kopieer de nieuwe CredSsp.admx naar deze map.
  3. Op dezelfde DC navigeer naar:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (of uw lokale taal)
    • Hernoem de stroom CredSsp.adml naar CredSsp.adml.old
    • Kopieer de nieuwe CredSsp.adml bestand naar deze map.
  4. Probeer je groepsbeleid opnieuw.

https://www.petenetlive.com/KB/Article/0001433


0
2018-05-10 13:14