2018-05-09 03:54:35 +0000 2018-05-09 03:54:35 +0000
90
90

Ошибка подключения к удаленному рабочему столу после обновления Windows 2018/05/08 - Обновления CredSSP для CVE-2018-0886

После обновления Windows я получаю эту ошибку при попытке подключения к серверу с помощью Remote Desktop Connection.

При прочтении ссылка , предоставленного сообщением об ошибке, кажется, что это связано с обновлением на 2018/05/08:

8 мая 2018

Обновление для изменения настройки по умолчанию с Vulnerable to Mitigated.

Соответствующие номера базы знаний Microsoft перечислены в CVE-2018-0886.

Есть ли решение для этой проблемы?

Ответы (9)

39
39
39
2018-05-09 04:21:59 +0000

Я нашел одно решение. Как описано в ссылка справки , я попытался откатиться от обновления 2018/05/08, изменив значение этой групповой политики:

  • Run gpedit. msc

  • Конфигурация компьютера ->Административные шаблоны ->Система ->Делегирование полномочий ->Изменение шифрования Oracle

Измените его на Подключение, а в уровне защиты вернитесь к Уязвимому.

Я не уверен, может ли оно откатить риск взломщика, использующего мое подключение. Надеюсь, Microsoft исправит это в ближайшее время, поэтому я смогу восстановить рекомендуемый параметр Mitigated.

.

21
21
21
2018-05-10 09:43:04 +0000

Как и в некоторых ответах, лучшим решением данной ошибки является обновление сервера и клиентов до версии >=обновление 2018-05-08 от Microsoft.

Если вы не можете обновить оба из них (т.е. вы можете обновить только клиент or server), то вы можете применить одно из обходных путей из ответов ниже, и изменить конфигурацию обратно ASAP так, чтобы свести к минимуму продолжительность уязвимости, введенной обходным путем.

12
12
12
2018-05-09 07:53:32 +0000

Другой способ - установка клиента Microsoft Remote Desktop из MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps .

6
6
6
2018-05-10 06:04:59 +0000

Эта проблема возникает только в моей ВМ Hyper-V, и удаленность на физические машины нормальная.

Перейдите к This PC → System Settings → Advanced System Settings на сервере, а затем я решил ее, сняв флажок с целевой ВМ “разрешать подключения только с компьютеров, на которых запущен Remote Desktop с аутентификацией на сетевом уровне (рекомендуется)”.

3
3
3
2018-05-10 15:06:51 +0000

После ответа ac19501 я создал два файла реестра, чтобы было проще:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
```.
2
2
2
2018-05-10 15:08:41 +0000
1
1
1
2018-05-09 17:43:10 +0000

Другой вариант, если у вас есть доступ к командной строке (у нас на ящике запущен SSH-сервер), это запуск “sconfig.cmd” из командной строки. Вы получите меню, как показано ниже:

Выберите опцию 7 и включите ее для всех клиентов, а не только для защищенных.

Как только это будет сделано, вы сможете зайти на удаленный рабочий стол. Похоже, что для нас проблема заключалась в том, что наши клиентские системы были обновлены для новой безопасности, но наши серверные коробки отстали от обновлений. Я бы посоветовал получить обновления, а затем снова включить эту настройку безопасности.

1
1
1
2018-05-10 14:35:23 +0000

Удаление:

  • для Windows 7 и 8.1: KB4103718 и/или KB4093114 
  • Для Windows 10: KB4103721 и/или  KB4103727  сервер без обновлений 

Это обновление содержит патч для уязвимости CVE-2018-0886. На непатентованном сервере оно позволяет им войти без них.

1
1
1
2018-05-10 11:02:13 +0000

Для серверов мы также можем изменить эту настройку через Remote PowerShell (при условии, что WinRM включен и т.д…)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Теперь, если эта настройка управляется GPO домена, возможно, что она вернется, поэтому вам нужно проверить GPO. Но для быстрого исправления, это работает.

Ссылка: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Похожие вопросы

13
5
16
13
2