Mayıs 2018'deki Windows güvenlik güncellemelerinin ardından, bir Windows 10 Pro iş istasyonuna RDP yapmaya çalışırken, kullanıcı kimlik bilgilerini başarıyla girdikten sonra aşağıdaki hata mesajı görüntüleniyor:
Bir kimlik doğrulama hatası oluştu. İstenen işlev desteklenmiyor.
Bu CredSSP şifreleme veya kehanet düzeltmesinden kaynaklanıyor olabilir
Kullanıcı kimlik bilgilerinin doğru olduğunu onayladık.
İş istasyonunu yeniden başlattım.
On prem dizin hizmetlerinin çalışır durumda olduğu onaylandı.
Mayıs güvenlik yamasının henüz uygulanmadığı izole iş istasyonları bu durumdan etkilenmez.
Perma ana bilgisayarları için bu arada yönetebilir, ancak bulut tabanlı sunucu erişimi konusunda endişelerim var. Server 2016'da henüz bir olay yaşanmadı.
Teşekkür ederim.
Kimlik Bilgisi Güvenlik Desteği Sağlayıcı protokolü (CredSSP) bir için kimlik doğrulama isteklerini işleyen kimlik doğrulama sağlayıcısı diğer uygulamalar.
'nin yamalanmamış sürümlerinde bir uzaktan kod yürütme güvenlik açığı bulunmaktadır. CredSSP. Bu güvenlik açığından başarıyla yararlanan bir saldırgan hedef sistemde kod çalıştırmak için kullanıcı kimlik bilgilerini aktarabilir. Herhangi bir Kimlik doğrulama için CredSSP'ye bağlı olan uygulama bu tür saldırılara karşı savunmasızdır.
[...]
13 Mart 2018
13 Mart 2018 tarihli ilk sürüm CredSSP kimlik doğrulamasını güncelliyor protokolü ve etkilenen tüm platformlar için Uzak Masaüstü istemcileri.
Hafifletme, güncellemenin tüm uygun istemcilere yüklenmesinden oluşur ve sunucu işletim sistemleri ve ardından dahil edilen Grup İlkesi kullanılarak ayar seçeneklerini yönetmek için ayarlar veya kayıt defteri tabanlı eşdeğerleri istemci ve sunucu bilgisayarlarda. Yöneticilerin şunları yapmasını öneririz ilkeyi uygulayın ve "Güncellenmiş istemcileri zorla" veya "Hafifletilmiş" olarak ayarlayın istemci ve sunucu bilgisayarlarda mümkün olan en kısa sürede. Bu değişiklikler etkilenen sistemlerin yeniden başlatılmasını gerektirecektir.
Grup İlkesi veya kayıt defteri ayarları çiftlerine çok dikkat edin 'de istemciler ve sunucular arasında "Engellenmiş" etkileşimlerle sonuçlanır. uyumluluk tablosu bu makalenin ilerleyen bölümlerinde.
17 Nisan 2018
KB 4093120'deki Uzak Masaüstü İstemcisi (RDP) güncellemesi güncellenmiş bir istemci olduğunda sunulan hata mesajını geliştirin güncellenmemiş bir sunucuya bağlanamıyor.
8 Mayıs 2018
Varsayılan ayarı Savunmasız'dan Hafifletilmiş'e değiştirmek için bir güncelleme.
Source: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]
Bu reddit başlığına da bakınız: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]
Microsoft'un geçici çözümü:
Sunucunuz herkese açıksa veya dahili ağınızda sıkı trafik kontrolünüz YOKSA geçici çözümler önerilmez, ancak bazen çalışma saatlerinde RDP sunucusunu yeniden başlatmak mümkün değildir.
Bunları kullanırken riskleri anladığınızdan ve sistemlerinizi en kısa sürede yamaladığınızdan emin olun.
[1] Tüm GPO CredSSP açıklaması ve kayıt defteri değişiklikleri burada açıklanmıştır.
Microsoft'un sitesinin çökmesi durumunda [2] GPO ve kayıt defteri ayarları örnekleri.
Bu makaleye atıfta bulunarak:
https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/
Mayıs 2018 geçici güncellemesi, bir kuruluş içinde uzak ana bilgisayar RDP oturumu bağlantıları kurma yeteneğini etkileyebilir. Bu sorun, yerel istemci ve uzak ana bilgisayarın, CredSSP ile bir RDP oturumunun nasıl oluşturulacağını tanımlayan kayıt defterinde farklı "Şifreleme Oracle İyileştirme" ayarlarına sahip olması durumunda ortaya çıkabilir. "Encryption Oracle Remediation" ayar seçenekleri aşağıda tanımlanmıştır ve sunucu veya istemcinin güvenli bir RDP oturumu kurulması konusunda farklı beklentileri varsa bağlantı engellenebilir.
Geçici olarak 8 Mayıs 2018'de yayınlanması planlanan ikinci bir güncelleme, varsayılan davranışı "Savunmasız" dan "Hafifletilmiş" e değiştirecektir.
Dikkat ederseniz, hem istemci hem de sunucu yamalıysa, ancak varsayılan ilke ayarı "Savunmasız" olarak bırakılırsa, RDP bağlantısı saldırıya karşı "Savunmasız" olur. Varsayılan ayar "Hafifletilmiş" olarak değiştirildiğinde, bağlantı varsayılan olarak "Güvenli" hale gelir.
Bu bilgilere dayanarak, tüm istemcilerin tamamen yamalandığından emin olmak için ilerliyorum, daha sonra sorunun hafifletilmesini bekliyorum.
Cevabı burada buldum, bu yüzden kendime ait olduğunu iddia edemem, ancak aşağıdaki anahtarı kayıt defterime ekleyip yeniden başlatmak benim için düzeltti.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002