RDP autentimise viga: CredSSP krüptimise Oracle Remediation

Pärast 2018. aasta maid välja antud Windowsi turbevärskenduste installimist võite silmitsi seista CredSSP krüptimise oraakli parandamine viga RDP-ühenduse ajal Windowsi kaugserveri või arvutiga järgmistel juhtudel:

Proovite luua ühendust hiljuti installitud vana Windowsi versiooniga arvuti kaugtöölauaga (nt Windows 10 RTM või build 1709 või vanem, Windows Server 2012 R2, Windows Server 2016), millel pole uusimaid Windowsi turbevärskendusi paigaldatud;
Üritate RDP kaudu ühendust luua arvutiga, kuhu Microsofti värskendusi pole pikka aega installitud;
Kaugarvuti blokeeris RDP-ühenduse, kuna teie arvutis puuduvad vajalikud turvavärskendused.

Proovime mõista, mis on RDP viga CredSSP krüptimise oraakli parandamine tähendab ja kuidas seda parandada.

Seega, kui proovite luua ühendust RemoteAppiga RDS-serverites, kus töötab Windows Server 2016/2012 R2/2008 R2, või teiste RDP-protokolli kasutavate kasutajate kaugtöölaudadele (Windows 10, 8.1 või 7 puhul) kuvatakse tõrge:

Kaugtöölaua ühendus
Ilmnes autentimisviga.

Funktsiooni ei toetata.
Kaugarvuti: hostinimi
Selle põhjuseks võib olla CredSSP krüptimise oraakli parandamine.

Windows 10 rdp viga CredSSP krüptimise oraakli parandamine

See tõrge tuleneb asjaolust, et Windowsi turbevärskendusi (vähemalt alates märtsist 2018) ei installitud Windowsi kaugeksemplarile, millega proovite RDP kaudu ühendust luua.

See viga võib välja näha ka selline: Ilmnes autentimisviga. Taotletud funktsiooni ei toetata.

2018. aasta märtsis andis Microsoft välja värskendused, mis blokeerivad koodi kaugkäitamise, kasutades protokolli CredSSP (Credential Security Support Provider) haavatavust (bülletään CVE-2018-0886). 2018. aasta mais avaldati täiendav värskendus, mis vaikimisi takistab Windowsi klientidel CredSSP-protokolli haavatava (paigatamata) versiooniga ühenduse loomist kaug-RDP-serveritega.

Seega, kui te pole installinud oma Windowsi RDS/RDP-serveritesse (arvutitesse) kumulatiivseid turbevärskendusi alates 2018. aasta märtsist ja 2018. aasta maist värskendused (või uuemad) installiti RDP klientidele, siis kui proovite luua ühendust RDS-serveritega CredSSP parandamata versiooniga ilmub: Selle põhjuseks võib olla CredSSP krüptimise oraakli parandamine.

RDP tõrge klientidel ilmub pärast järgmiste turvavärskenduste installimist:

Windows 7 / Windows Server 2008 R2 — KB4103718
Windows 8.1 / Windows Server 2012 R2 — KB4103725
Windows Server 2016 – KB4103723
Windows 10 1803 – KB4103721
Windows 10 1709 – KB4103727
Windows 10 1703 – KB4103731
Windows 10 1609 – KB4103723

See loend näitab KB numbreid alates 2018. aasta maist; hetkel peate oma Windowsi väljaande jaoks alla laadima ja installima uusima kumulatiivse värskenduspaketi. Uusimaid turbevärskendusi saate hankida Windows Update'i kaudu Microsofti serveritest alates kohalik WSUS-servervõi laadige käsitsi alla käigultparanduse *.msu failid Microsofti värskenduste kataloogist (https://www.catalog.update.microsoft.com/Home.aspx). Näiteks Windows 10 1803 augusti 2019 värskenduste otsimiseks peate kasutama järgmist otsingupäringut: windows 10 1803 x64 8/*/2019. Laadige alla ja installige Windowsi koondvärskendus (minu näites on see „2019-08 kumulatiivne värskendus Windows 10 versioonile 1803 x64-põhistele süsteemidele (KB4512509)). Laadige alla uusim Windowsi turvavärskendus Microsofti kataloogist

Laadige alla uusim Windowsi turvavärskendus Microsofti kataloogist

Kaugtöölauaühenduse taastamiseks saate seda teha desinstallige määratud turvavärskendus kaugarvutis (aga see ei ole soovitatav ja te ei tohiks seda teha, on olemas turvalisem ja õigem lahendus).

Ühenduse probleemi lahendamiseks peate tegema ajutiselt keelake CredSSP versioonikontroll arvutis, millest RDP kaudu ühenduse loote. Seda saab teha kohaliku rühmapoliitika redaktori abil.

Käivitage kohalik GPO redaktor: gpedit.msc;
Minge jaotisse GPO Arvuti konfiguratsioon -> Haldusmallid -> Süsteem -> Mandaatide delegeerimine;
Otsige üles poliitika nimega Krüpteerimine Oracle Remediation, lubage poliitika ja määrake kaitsetasemeks Haavatav;
Värskendage arvutis poliitikasätteid (jookse gpupdate /force käsk) ja proovige RDP kaudu kaugserveriga ühendust luua. Kui Oracle'i paranduskrüptimise poliitika on seatud väärtusele Haavatav, saavad CredSSP toega kliendirakendused luua ühenduse isegi paigatamata RDS/RDP lõpp-punktidega.

Krüptimise Oracle Remediation poliitika pakub CredSSP haavatavuse eest kaitsmiseks kolme saadaolevat väärtust.

Force Updated Clients — kõrgeim kaitsetase, kui RDP-server blokeerib ühenduse parandamata klientidelt. Tavaliselt peaks see reegel olema lubatud pärast seda, kui olete kogu infrastruktuuri täielikult värskendanud ja lisas Windowsi installipiltidele uusimad turbevärskendused serverite ja tööjaamade jaoks;
Leevendatud — selles režiimis blokeeritakse väljaminev RDP kaugühendus CredSSP haavatava versiooniga RDP serveritega. Muud CredSSP-d kasutavad teenused töötavad aga hästi;
Haavatav — CredSSP haavatava versiooniga RDP-serveriga ühenduse loomisel on lubatud madalaim kaitsetase.

Kui sa teil pole kohalikku GPO redaktorit (näiteks Windows Home väljaannetes) saate teha otse registrimuudatuse, mis võimaldab luua RDP-ühenduse CredSSP parandamata versiooniga serveritega.

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

registriparameeter AllowEncryptionOracle

Saate muuta AllowEncryptionOracle'i registriparameetrit mitmes AD arvutis kasutades domeeni GPO-d või sellise PowerShelli skriptiga (saate hankida domeeni arvutite loendi, kasutades Get-ADComputer cmdlet alates RSAT-AD-PowerShell moodul):

$computers = (Get-ADComputer -Filter *).DNSHostName Foreach ($computer in $computers) { Invoke-Command -ComputerName $computer -ScriptBlock { REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 } }

Pärast edukat ühenduse loomist kaug-RDP-serveriga (arvutiga) peate installima Windows Update'i kaudu uusimad turbevärskendused (veenduge, et wuauserv teenus on lubatud) või käsitsi. Laadige alla ja installige uusimad Windowsi kumulatiivsed värskendused Microsofti värskenduste kataloogi veebisaidilt, nagu ülal näidatud. Kui viga "Värskendus ei kehti teie arvuti jaoks” kuvatakse MSU värskenduse installimisel, lugege artiklit ülaltoodud lingi abil.

Windows XP/Windows Server 2003 puhul, mida enam ei toetata, peate installima Windows Embedded POSReady 2009 värskendused. Näiteks: https://support.microsoft.com/en-us/help/4056564.

Pärast värskenduste installimist ja serveri taaskäivitamist ärge unustage poliitikat klientidel keelata (kas lülitage see Force Updated Clients) või tagastage registriparameetri AllowEncryptionOracle väärtuseks 0. Sel juhul ei ohusta teie arvutit kaitsmata CredSSP hostidega ühenduse loomine ja haavatavuse ärakasutamine.

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

On veel üks stsenaarium, mille puhul värskendusi teie arvutisse ei installita. Näiteks värskendatakse RDP-serverit, kuid sellel on reegel, mis blokeerib RDP-ühendused arvutitest, millel on CredSSP haavatav versioon (Force Updated Clients poliitika seadmine). Sel juhul näete ka RDP-ühenduse tõrketeadet "See võib olla tingitud CredSSP krüptimise oraakli parandamisest".

Kontrollige Windowsi värskenduste viimast installimiskuupäeva oma arvutis, kasutades PSWindows Update mooduli või PowerShelli konsooli WMI-käsu kaudu:

gwmi win32_quickfixengineering |sort installedon -desc

powershell: hankige viimase turvavärskenduse installimise kuupäev
See näide näitab, et uusimad Windowsi turbevärskendused installiti 17. juunil 2018. Laadige alla ja installige oma Windowsi väljaande jaoks uuem MSU kumulatiivse värskenduse fail (vt ülal).