Błąd połączenia zdalnego pulpitu po aktualizacji Windows 2018/05/08 - Aktualizacje CredSSP dla CVE-2018-0886

Znalazłem jedno rozwiązanie. Jak opisano w link pomocy , próbowałem wycofać się z aktualizacji 2018/05/08 zmieniając wartość polityki tej grupy:

• Run gpedit. msc

• Konfiguracja komputera ->Szablony administracyjne ->System ->Depozycja danych uwierzytelniających -> Encryption Oracle Remediation

Zmień to na Włącz i w poziomie ochrony zmień z powrotem na Drażliwe.

Nie jestem pewien, czy może to cofnąć jakiekolwiek ryzyko napastnika wykorzystującego moje połączenie. Mam nadzieję, że Microsoft wkrótce to naprawi, abym mógł przywrócić ustawienie na zalecane Mitigated.

(Wysłano odpowiedź w imieniu autora pytania).

Jak w niektórych odpowiedziach, najlepszym rozwiązaniem dla tego błędu jest aktualizacja zarówno serwera jak i klientów do wersji >= aktualizacji 2018-05-08 z Microsoftu.

Jeśli nie możesz zaktualizować obu (tzn. możesz zaktualizować tylko klienta _ lub serwer) to możesz zastosować jedno z obejść z poniższych odpowiedzi i zmienić konfigurację z powrotem ASAP tak, aby zminimalizować czas trwania luki wprowadzonej przez obejście.

Innym sposobem jest instalacja klienta Microsoft Remote Desktop z MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps .

Ten problem występuje tylko w mojej maszynie wirtualnej Hyper-V, a zdalne sterowanie do maszyn fizycznych jest w porządku.

Przejdź do This PC → System Settings → Advanced System Settings on the server and then I solved it by unchecking target VM “allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)”.

Po odpowiedzi ac19501 stworzyłem dwa pliki rejestru, aby to ułatwić:

rdp\_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp\_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

Aktualizacja na przykładzie GPO na ekranie wydruku.

Na podstawie odpowiedzi “reg add "HKLM \Microsoft \CurrentVersion\Parametry” /f /v AllowEncryptionOracle /t REG _DWORD /d 2" Print Screen

Ścieżka klucza: Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters Value Name: AllowEncryptionOracle Value data: 2

Inną opcją, jeśli masz dostęp do linii poleceń (mamy uruchomiony serwer SSH) jest uruchomienie “sconfig.cmd” z linii poleceń. Otrzymujesz menu jak poniżej:

Wybierz opcję 7 i włącz ją dla wszystkich klientów, nie tylko bezpiecznych.

Gdy to zrobisz, możesz zdalnie włączyć pulpit. Wygląda na to, że problem polegał na tym, że nasze systemy klienckie zostały zaktualizowane pod kątem nowych zabezpieczeń, ale nasze skrzynki serwerowe były opóźnione w aktualizacji. Sugerowałbym, żebyśmy dokonali aktualizacji, a następnie ponownie włączyli te ustawienia bezpieczeństwa.

Dezinstalacja:

• Dla Windows 7 i 8.1: KB4103718 i/lub KB4093114 
• Dla systemu Windows 10: KB4103721 i/lub  KB4103727  serwer bez aktualizacji 

Niniejsza aktualizacja zawiera łatkę dotyczącą luki CVE-2018-0886. Na niepoprawionym serwerze wpuszcza je bez nich.

W przypadku serwerów możemy również zmienić ustawienie za pomocą Remote PowerShell (zakładając, że WinRM jest włączony itp.)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Teraz, jeśli to ustawienie jest zarządzane przez GPO domeny, możliwe jest, że się odwróci, więc trzeba sprawdzić GPO. Ale dla szybkiej poprawki, to działa.

Referencje: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell