在2018年5月的Windows安全更新后,当尝试RDP到Windows 10 Pro工作站时,在成功输入用户凭证后显示以下错误信息。
发生了一个认证错误。所请求的功能不被支持。
这可能是由于CredSSP加密或acle的补救措施。
我们已经确认用户凭证是正确的。
重新启动了工作站。
确认预置的目录服务正在运行。
尚未应用5月安全补丁的孤立工作站不受影响。
可以临时管理perm主机,但担心基于云的服务器访问问题。在服务器2016上还没有发生过。
谢谢你
凭证安全支持提供商协议(CredSSP)是一个 认证提供者,为其他应用程序处理认证请求。 其他应用程序。
的未修补版本中存在一个远程代码执行漏洞。 CredSSP。成功利用该漏洞的攻击者 可以转发用户凭证,在目标系统上执行代码。任何 依赖于CredSSP进行认证的应用程序可能是 容易受到这种类型的攻击。
[...]
2018年3月13日
2018年3月13日的初始版本更新了CredSSP认证 协议和所有受影响平台的远程桌面客户端。
缓解措施包括在所有符合条件的客户端 和服务器操作系统上安装该更新,然后使用包括组策略 设置或基于注册表的等价物来管理客户端和服务器上的设置选项 在客户端和服务器计算机上。我们建议管理员 应用该策略,并将其设置为 "强制更新客户端 "或 "缓解" 在客户机和服务器计算机上尽快应用。 这些变化 将需要重新启动受影响的系统。
密切注意组策略或注册表设置对 导致客户机和服务器之间的互动被 "阻止 "的组策略或注册表。 本文后面的兼容性表。
2018年4月17日。
KB 4093120中的远程桌面客户端(RDP)升级更新将 增强了在更新的客户端出现的错误信息 未能连接到未更新的服务器。
2018年5月8日
一个更新,将默认设置从易受攻击改为缓解。
Source: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]
也请看这个reddit线程。 https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]
微软的解决方法。
如果你的服务器是公开的,或者你的内部网络没有严格的流量控制,则不建议采用这种解决方法,但有时在工作时间重启RDP服务器是不可能的。
请务必了解使用这些东西时的风险,并尽快给你的系统打上补丁。
[1] 所有GPO CredSSP的描述和注册表的修改都在这里描述。
[2] GPO和注册表设置的例子,以备微软'的网站宕机。
参照这篇文章。
https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/
2018年5月的暂定更新,可能会影响到在组织内建立远程主机RDP会话连接的能力。如果本地客户端和远程主机在注册表内有不同的 "加密Oracle补救 "设置,定义如何用CredSSP建立RDP会话,就会出现这个问题。Encryption Oracle Remediation "设置选项定义如下,如果服务器或客户端对建立安全的RDP会话有不同的期望,连接可能被阻止。
第二次更新,暂定于2018年5月8日发布,将把默认行为从 "易受攻击 "改为 "已缓解"。
如果你注意到,如果客户端和服务器都打了补丁,但默认策略设置仍为 "易受攻击",那么RDP连接就 "易受攻击"。一旦默认设置被修改为 "缓解",那么连接就默认为 "安全 "了。
基于这些信息,我正在着手确保所有的客户端都打上了补丁,然后我希望这个问题能够得到缓解。
我找到了答案这里,所以不能说是我自己的答案,但在我的注册表中添加以下键,并重新启动,就能解决这个问题。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002