Berikut Windows update keamanan pada Mei 2018, ketika mencoba untuk RDP Windows 10 Pro workstation pesan kesalahan berikut akan ditampilkan setelah berhasil memasukkan kredensial pengguna:
otentikasi terjadi kesalahan. Fungsi yang diminta tidak didukung.
hal Ini bisa disebabkan CredSSP enkripsi oracle remediasi
Kami telah memastikan kredensial pengguna yang benar.
Reboot komputer.
Dikonfirmasi pada prem direktori layanan operasional.
Terisolasi workstation belum Dapat menerapkan patch keamanan tidak dipengaruhi.
Dapat mengelola sementara untuk di perm host, prihatin berbasis cloud server akses namun. Tidak ada kejadian di Server 2016 belum.
Terima kasih
Berdasarkan sepenuhnya pada Graham Cuthbert's balas saya membuat sebuah file teks di Notepad dengan baris berikut, dan hanya dua kali diklik setelah itu (yang harus menambah Registry Windows dengan parameter di file).
Hanya perhatikan bahwa baris pertama bervariasi tergantung pada versi Windows yang anda gunakan, sehingga mungkin ide yang baik untuk membuka regedit
dan ekspor setiap aturan hanya untuk melihat apa yang's pada baris pertama dan menggunakan versi yang sama di file anda.
Juga, saya tidak khawatir tentang merendahkan keamanan dalam situasi tertentu karena saya terhubung ke VPN terenkripsi dan host Windows tidak memiliki akses ke internet dan dengan demikian doesn't memiliki update terbaru.
File rd_patch.reg
:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
Bagi mereka yang ingin sesuatu yang mudah untuk copy / paste ke dalam command prompt:
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
Bukti Dukungan Keamanan Penyedia protocol (CredSSP) adalah penyedia otentikasi bahwa proses otentikasi permintaan untuk aplikasi lainnya.
kerentanan eksekusi kode jarak jauh yang ada di unpatched versi CredSSP. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menyampaikan kredensial pengguna untuk mengeksekusi kode pada sistem target. Setiap aplikasi yang tergantung pada CredSSP untuk otentikasi dapat rentan terhadap jenis serangan.
[...]
13 Maret 2018
awal Maret 13, 2018, rilis update CredSSP otentikasi protokol dan Remote Desktop klien untuk semua terpengaruh platform.
Mitigasi terdiri dari menginstal pembaruan pada semua klien yang memenuhi syarat dan sistem operasi server dan kemudian menggunakan termasuk Kebijakan Grup pengaturan registri berbasis setara untuk mengelola pengaturan pilihan pada komputer klien dan server. Kami merekomendasikan bahwa administrator menerapkan kebijakan dan set ke "Kekuatan diperbarui klien" atau "Dikurangi" pada komputer klien dan server sesegera mungkin. Perubahan ini akan memerlukan reboot sistem yang terpengaruh.
memperhatikan Kebijakan Grup atau pengaturan registri pasangan yang hasil yang di "Blocked" interaksi antara klien dan server di meja kompatibilitas nanti dalam artikel ini.
April 17, 2018
Klien Remote Desktop (RDP) update update di KB 4093120 akan meningkatkan pesan kesalahan yang ditampilkan ketika aplikasi diperbarui klien gagal untuk terhubung ke server yang telah diperbarui.
8 Mei 2018
update untuk mengubah pengaturan default dari Rentan untuk Dikurangi.
Sumber: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]
Lihat juga ini reddit thread: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]
Microsoft's solusi:
Tidak dianjurkan workarounds jika server anda adalah publik yang tersedia, atau jika anda TIDAK memiliki ketat mengontrol lalu lintas jaringan internal anda, tapi kadang-kadang restart server RDP di jam kerja adalah tidak pergi.
Pastikan untuk memahami risiko ketika menggunakan mereka dan patch sistem anda secepat mungkin.
[1] Semua GPO CredSSP deskripsi dan modifikasi registry yang dijelaskan di sini.
[2] contoh GPO dan pengaturan registri dalam kasus Microsoft's situs turun.
Mengacu pada artikel ini:
https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/
Mei 2018 tentatif update yang dapat mempengaruhi kemampuan untuk membangun host remote RDP sesi koneksi dalam sebuah organisasi. Masalah ini dapat terjadi jika klien lokal dan remote host berbeda "Enkripsi Oracle Remediasi" pengaturan dalam registri yang menentukan bagaimana untuk membangun sebuah sesi RDP dengan CredSSP. "Enkripsi Oracle Remediasi" pilihan pengaturan yang didefinisikan di bawah ini dan jika server atau klien memiliki harapan yang berbeda tentang pembentukan aman RDP sesi koneksi bisa diblokir.
update kedua, dijadwalkan akan dirilis pada 8 Mei 2018, akan mengubah perilaku default dari "Rentan" untuk "Dikurangi".
Jika anda melihat jika kedua klien dan server yang ditambal, tapi default pengaturan kebijakan yang tersisa di "Rentan" koneksi RDP adalah "Rentan" untuk menyerang. Setelah pengaturan default dimodifikasi untuk "Dikurangi" maka koneksi menjadi "Aman" secara default.
Berdasarkan informasi ini saya melanjutkan untuk memastikan semua klien sepenuhnya ditambal, saya kemudian akan mengharapkan masalah untuk diatasi.
Nilai registri tidak ada di Windows 10 mesin. Aku harus pergi untuk mengikuti kebijakan grup lokal dan menerapkan perubahan pada klien saya:
Konfigurasi Komputer -> Administrative Templates -> System -> Mandat, Delegasi--Enkripsi Oracle Remediasi
Mengaktifkan dan mengatur untuk nilai untuk rentan.
It's dianjurkan untuk memperbarui klien bukan dari jenis script untuk hanya memotong kesalahan, tapi pada risiko anda sendiri anda dapat melakukan hal ini pada klien dan tidak perlu restart PC client. Juga tidak perlu mengubah apapun pada server.
Run
, ketik gpedit.msc
dan klik OK
.Administrative Templates
.Sistem
.Mandat, Delegasi
.Enkripsi Oracle Remediasi
.Enable
.Rentan
dari Tingkat Perlindungan
daftar.pengaturan kebijakan Ini berlaku untuk aplikasi yang menggunakan CredSSP komponen (misalnya: Remote Desktop Connection).
Beberapa versi dari protokol CredSSP rentan untuk enkripsi oracle serangan terhadap klien. Kebijakan ini mengontrol kompatibilitas dengan rentan klien dan server. Kebijakan ini memungkinkan anda untuk mengatur tingkat perlindungan yang diinginkan untuk enkripsi oracle kerentanan.
Jika anda mengaktifkan pengaturan kebijakan ini, CredSSP versi dukungan akan dipilih berdasarkan opsi-opsi berikut:
Kekuatan Diperbarui Klien: Klien aplikasi yang menggunakan CredSSP tidak akan dapat jatuh kembali ke tidak aman versi dan jasa dengan menggunakan CredSSP tidak akan menerima unpatched klien. Catatan: pengaturan ini harus tidak dapat digunakan sampai semua remote host mendukung versi terbaru.
Dikurangi: aplikasi-aplikasi Client yang menggunakan CredSSP tidak akan mampu jatuh kembali ke tidak aman versi tapi jasa dengan menggunakan CredSSP akan menerima unpatched klien. Lihat link di bawah ini untuk informasi penting tentang risiko yang ditimbulkan oleh sisa unpatched klien.
Rentan: aplikasi-aplikasi Client yang menggunakan CredSSP akan mengekspos server remote untuk serangan oleh pendukung jatuh kembali ke tidak aman versi dan jasa dengan menggunakan CredSSP akan menerima unpatched klien.
Hanya, cobalah untuk Menonaktifkan Jaringan Tingkat Otentikasi` Dari Remote Desktop. Bisa tolong Cek gambar berikut:
Buka PowerShell sebagai admin dan jalankan perintah ini:
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2
Cobalah sekarang untuk terhubung ke server. Ia akan bekerja.
Saya menemukan beberapa mesin kami telah berhenti melakukan Windows Update (kita menjalankan lokal WSUS di domain kita) kadang-kadang pada bulan januari. I'm menebak sebelum patch disebabkan masalah (mesin akan mengeluh tentang menjadi out of date, tapi tidak't menginstal Jan patch itu mengatakan dibutuhkan). Karena 1803 update, kita tidak't hanya menggunakan Windows Update dari MS langsung untuk memperbaikinya (akan timeout untuk beberapa alasan dan update tidak't run).
Saya dapat mengkonfirmasi bahwa jika anda patch mesin untuk versi 1803 ini berisi perbaikan untuk hal ini. Jika anda membutuhkan jalur cepat untuk memperbaiki hal ini, saya menggunakan Windows Update Asisten (top link yang mengatakan Update) untuk melakukan update secara langsung (tampaknya lebih stabil dari Windows Update untuk beberapa alasan).
Orang ini memiliki solusi tepat masalah:
Pada dasarnya anda'll harus mengubah pengaturan GPO dan Kekuatan pembaruan. Tapi perubahan ini akan memerlukan reboot yang akan berlaku.
- Copy kedua file dari baru diperbarui mesin;
C:\Windows\PolicyDefinitions\CredSsp.admx
(Dtd Tidak Feb 2018)C:\Windows\PolicyDefinitions\en-US\CredSsp.adml
(Dtd Feb 2018 – folder lokal Anda mungkin berbeda, yaitu en-GB)
- Di DC, arahkan ke:
C:\Windows\SYSVOL\sysvol\<domain anda>\Policies\PolicyDefinitions
- ganti Nama saat ini
CredSsp.admx
untukCredSsp.admx.tua
- Copy baru
CredSsp.admx
ke folder ini.
- Pada saat yang sama DC arahkan ke:
C:\Windows\SYSVOL\sysvol\<domain anda>\Policies\PolicyDefinitions\en-US
(atau bahasa lokal anda)- ganti Nama saat ini
CredSsp.adml
untukCredSsp.adml.tua
- Copy baru
CredSsp.adml
file ke folder ini.
- Coba anda kebijakan grup lagi.
Seperti yang dikatakan orang lain, hal ini karena bulan Maret patch Microsoft yang dirilis. Mereka merilis Mei patch pada tanggal 8 Mei yang benar-benar memberlakukan Maret patch. Jadi jika anda memiliki komputer yang Dapat menerima patch dan anda're mencoba untuk terhubung ke server yang sudah't menerima Maret patch, anda'll mendapatkan pesan error di layar.
Resolusi Anda benar-benar ingin patch server sehingga mereka memiliki bulan Maret patch. Jika tidak, sementara itu anda dapat menerapkan Kebijakan Grup atau registry edit.
Anda dapat membaca petunjuk rinci di artikel ini: Cara untuk Memperbaiki Kesalahan Autentikasi Fungsi Tidak Didukung CredSSP Kesalahan RDP
Anda juga dapat menemukan salinan ADMX dan ADML dalam kasus anda perlu untuk menemukan mereka.
Saya menemukan jawabannya here, agar bisa't mengklaim itu sebagai saya sendiri, tetapi menambahkan tombol berikut untuk saya registry dan restart tetap untuk saya.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
Kami dihapus yang update keamanan terbaru KB410731 dan kami mampu untuk terhubung dengan Jendela 10 mesin pada membangun 1709 dan sebelumnya. Untuk PC's kita bisa meng-upgrade untuk membangun 1803, ini menyelesaikan masalah tanpa menghapus KB4103731.