Hata

Mayıs 2018'deki Windows güvenlik güncellemelerini takiben, Windows 10 Pro iş istasyonuna RDP yapmaya çalışırken, kullanıcı kimlik bilgilerini başarıyla girdikten sonra aşağıdaki hata mesajı görüntüleniyor:

Bir kimlik doğrulama hatası oluştu. İstenen işlev desteklenmiyor.

Bu CredSSP şifreleme kehanet iyileştirme nedeniyle olabilir

Ekran görüntüsü

Hata ayıklama

• Kullanıcı kimlik bilgilerinin doğru olduğunu onayladık.

• İş istasyonunu yeniden başlattı.

• Ön dizin hizmetleri onaylandı.

• Henüz Mayıs güvenlik düzeltme ekini uygulamak için yalıtılmış iş istasyonları etkilenmez.

Ancak bulut tabanlı sunucuya erişim konusunda endişeli izinli ana bilgisayarlar için geçici olarak yönetebilir. Server 2016'da henüz bir olay yok.

teşekkür ederim

Tamamen Graham Cuthbert'in cevabına dayanarak Notepad'de aşağıdaki satırları içeren bir metin dosyası oluşturdum ve daha sonra onu çift tıklattım (dosyadaki parametreler ne olursa olsun Windows Kayıt Defteri'ne eklenmelidir).

İlk satırın kullandığınız Windows sürümüne bağlı olarak değiştiğine dikkat edin, bu nedenle ilk satırda regeditne olduğunu görmek ve dosyanızda aynı sürümü kullanmak için herhangi bir kuralı açıp dışa aktarmak iyi bir fikir olabilir .

Ayrıca, şifreli bir VPN'e bağlandığım ve ana bilgisayarın Windows'un internete erişimi olmadığı ve bu nedenle en son güncellemeye sahip olmadığı için bu özel durumda güvenliği düşürmekten endişe duymuyorum.

Dosya rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Yükseltilmiş bir komut istemine kopyalamak / yapıştırmak için kolay bir şey isteyenler için:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

Kimlik Bilgileri Güvenlik Desteği Sağlayıcısı protokolü (CredSSP), diğer uygulamalar için kimlik doğrulama isteklerini işleyen bir kimlik doğrulama sağlayıcısıdır.

CredSSP'nin yamalı sürümlerinde bir uzaktan kod yürütme güvenlik açığı bulunmaktadır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sistemde kod yürütmesi için kullanıcı kimlik bilgilerini iletebilir. Kimlik doğrulama için CredSSP'ye bağlı olan herhangi bir uygulama bu tür saldırılara karşı savunmasız olabilir.

[...]

13 Mart 2018

13 Mart 2018 tarihli ilk sürüm, etkilenen tüm platformlar için CredSSP kimlik doğrulama protokolünü ve Uzak Masaüstü istemcilerini günceller.

Azaltma, tüm uygun istemci ve sunucu işletim sistemlerinde güncelleştirmeyi yüklemek ve ardından istemci ve sunucu bilgisayarlardaki ayar seçeneklerini yönetmek için dahil edilen Grup İlkesi ayarlarını veya kayıt defteri tabanlı eşdeğerleri kullanmaktan oluşur. Yöneticilerin politikayı uygulamalarını ve bunu istemci ve sunucu bilgisayarlarda en kısa sürede "Güncellenmiş müşterileri zorla" veya "Azaltılmış" olarak ayarlamasını öneririz. Bu değişiklikler, etkilenen sistemlerin yeniden başlatılmasını gerektirir.

Bu makalenin ilerisindeki uyumluluk tablosundaki istemciler ve sunucular arasında "Engellenen" etkileşime neden olan Grup İlkesi veya kayıt defteri ayar çiftlerine özellikle dikkat edin.

17 Nisan 2018

KB 4093120'deki Uzak Masaüstü İstemcisi (RDP) güncelleme güncelleştirmesi, güncellenmiş bir istemci güncellenmemiş bir sunucuya bağlanamadığında ortaya çıkan hata iletisini geliştirir.

8 Mayıs 2018

Varsayılan ayarı Güvenlik Açığı'ndan Azaltılmış'a değiştiren bir güncelleştirme.

Kaynak: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Ayrıca bu reddit konusuna bakın: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Microsoft'un geçici çözümü:

• Sunucu ve istemciyi güncelleyin. (yeniden başlatma gerektirir, önerilir)

Sunucunuz herkese açıksa veya iç ağınızda sıkı trafik kontrolü bulunmuyorsa, ancak çalışma saatlerinde RDP sunucusunu yeniden başlatmanız sorun çıkarmaz.

• CredSSP yama ilkesini GPO veya Kayıt Defteri aracılığıyla ayarlayın. (yeniden başlatma veya gpupdate / force gerektirir)
• KB4103727'yi kaldırın (yeniden başlatma gerekmez)
• NLA'yı (Ağ Katmanı Kimlik Doğrulama) devre dışı bırakmanın da işe yarayabileceğini düşünüyorum. (yeniden başlatma gerekmez)

Bunları kullanırken riskleri anladığınızdan ve sistemlerinizi en kısa sürede yamaladığınızdan emin olun.

[1] Tüm GPO CredSSP açıklamaları ve kayıt defteri değişiklikleri burada açıklanmıştır.

[2] Microsoft'un web sitesinin çökmesi durumunda GPO ve kayıt defteri ayarlarına örnekler.

1. "Yerel Grup İlkesi Düzenleyicisi> Yönetim Şablonları> Sistem> Kimlik Bilgileri Temsilcisi Seçimi> Şifreleme Oracle Düzeltmesi" seçeneğine gidin, düzenleyin ve etkinleştirin, sonra "Koruma Düzeyi" ni "Azaltılmış" olarak ayarlayın.
2. Kayıt anahtarını ayarlayın (00000001 - 00000002 arasında) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Sistem \ CredSSP \ Parametreler] "AllowEncryptionOracle" = dword:
3. Gerekirse sisteminizi yeniden başlatın.

Araştırma

Bu yazıya atıfta bulunarak:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Mayıs 2018, bir kuruluş içinde uzak ana bilgisayar RDP oturumu bağlantıları kurma yeteneğini etkileyebilecek geçici güncelleştirme olabilir. Yerel istemci ve uzak ana bilgisayar, CredSSP ile bir RDP oturumu oluşturmayı tanımlayan kayıt defterinde farklı "Şifreleme Oracle Düzeltme" ayarlarına sahipse oluşabilir. “Şifreleme Oracle İyileştirme” ayar seçenekleri aşağıda tanımlanmıştır ve eğer sunucu veya müşterinin güvenli bir RDP oturumu kurulması konusunda farklı beklentileri varsa, bağlantı engellenebilir.

Tarihsel olarak 8 Mayıs 2018'de yayınlanması planlanan ikinci bir güncelleme, varsayılan davranışı “Hassas” olarak “Azaltılmış” olarak değiştirecektir.

Hem istemcinin hem de sunucunun yamalı olup olmadığını fark ederseniz, ancak varsayılan politika ayarı “Hassas” olarak bırakılırsa, RDP bağlantısı “hassas” olarak saldırıya uğrar. Varsayılan ayar “Azaltılmış” olarak değiştirildikten sonra bağlantı varsayılan olarak “Güvenli” olur.

çözüm

Bu bilgilere dayanarak, tüm müşterilerin tamamen yamalandığından emin olmaya devam ediyorum, o zaman sorunun azaltılmasını beklerdim.

Windows 10 makinemde kayıt defteri değeri yoktu. Aşağıdaki yerel grup politikasına gitmeli ve değişikliği müşterime uygulamalıydım:

Bilgisayar Yapılandırması -> Yönetim Şablonları -> Sistem -> Kimlik Bilgileri Temsilcisi - Şifreleme Oracle Düzeltme

Etkinleştir ve değere ayarla vulnerable.

Hatayı atlamak için bu tür komut dosyaları yerine istemciyi güncellemeniz önerilir, ancak bu riski kendi istemcinizde yapabilir ve istemci bilgisayarı yeniden başlatmanıza gerek kalmaz. Ayrıca sunucudaki herhangi bir şeyi değiştirmenize gerek yoktur.

1. Aç Run, yazın gpedit.mscve tıklayın OK.
2. Genişletin Administrative Templates.
3. Genişletin System.
4. Aç Credentials Delegation.
5. Sağ panelde çift tıklayın Encryption Oracle Remediation.
6. Seçin Enable.
7. Seç Vulnerablegelen Protection Levellistede.

Bu ilke ayarı, CredSSP bileşenini kullanan uygulamalar için geçerlidir (örneğin: Uzak Masaüstü Bağlantısı).

CredSSP protokolünün bazı sürümleri, istemciye yönelik bir şifreleme gizli saldırısına karşı savunmasızdır. Bu politika, savunmasız müşteriler ve sunucularla uyumluluğu denetler. Bu politika, şifreleme güvenlik açığı güvenlik açığı için istenen koruma düzeyini ayarlamanıza olanak tanır.

Bu politika ayarını etkinleştirirseniz, aşağıdaki seçeneklere göre CredSSP sürüm desteği seçilecektir:

Güncellenen İstemcileri Zorla: CredSSP kullanan istemci uygulamaları, güvensiz sürümlere geri dönemez ve CredSSP kullanan hizmetler, ekli istemcileri kabul etmez. Not: Tüm uzak ana bilgisayarlar en yeni sürümü destekleyene kadar bu ayar kullanılmamalıdır.

Azaltılmış: CredSSP kullanan istemci uygulamaları güvensiz sürüme geri dönemez, ancak CredSSP kullanan hizmetler yamaları geçilmez istemcileri kabul eder. Yamasız kalan müşterilerden kaynaklanan riskler hakkında önemli bilgiler için aşağıdaki bağlantıya bakın.

Güvenlik Açığı: CredSSP kullanan istemci uygulamaları, uzak sunucuları, güvenli olmayan sürümlere dönmeyi destekleyerek saldırılara maruz bırakır ve CredSSP kullanan hizmetler, ekli istemcileri kabul eder.

8. Uygula'yı tıklayın.
9. Tamam'a tıklayın.
10. Bitti.

Referans

Bu adamın senin sorununun çözümü için bir çözümü var:

Temel olarak - GPO ayarlarını değiştirmeniz ve bir güncellemeyi zorlamanız gerekir. Ancak bu değişikliklerin etkin olması için yeniden başlatma gerektirecektir.

1. Bu iki dosyayı yeni güncellenen bir makineden kopyalayın;

   • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd, Şubat 2018 mi?)
   • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Şubat 2018 - Yerel klasörünüz farklı olabilir, yani en-TR)

2. Bir DC’de şuraya gidin:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
   • Geçerli yeniden adlandırma CredSsp.admxToCredSsp.admx.old
   • Yenisini CredSsp.admxbu klasöre kopyalayın.

3. Aynı DC’de şuraya gidin:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (veya yerel diliniz)
   • Geçerli yeniden adlandırma CredSsp.admlToCredSsp.adml.old
   • Yeni CredSsp.admldosyayı bu klasöre kopyalayın.

4. Grup politikanızı tekrar deneyin.

https://www.petenetlive.com/KB/Article/0001433

Diğerlerinin de söylediği gibi, bunun nedeni Microsoft’un yayınladığı bir Mart yaması. 8 Mayıs'ta, Mart ayını gerçekten zorlayan bir Mayıs yamasını çıkardılar. Bu nedenle, Mayıs yamasını alan bir iş istasyonunuz varsa ve Mart düzeltme ekini almayan bir sunucuya bağlanmaya çalışıyorsanız, ekran resminizde hata iletisini alırsınız.

Çözünürlük Gerçekten, yamaları Mart yamasının olmasını sağlayacak şekilde yamalamak istiyorsunuz. Aksi takdirde, bu arada bir Grup İlkesi veya kayıt defteri düzenlemesi uygulayabilirsiniz.

Bu makaledeki ayrıntılı talimatları okuyabilirsiniz: Doğrulama Hatası İşlevini Desteklemeyen CredSSP Hatası RDP Nasıl Onarılır

Ayrıca ADMX ve ADML dosyalarının kopyalarını da bulmanız gerekebilir.

Ben de aynı sorunu anladım. Müşteriler Win7'de ve RDS sunucuları 2012R2, Müşteriler "2018-05 güvenlik aylık kalite toplama güncellemesi (kb4019264)" aldı. Çıkardıktan sonra, her şey yolunda.

Makinelerimizden bazılarının Ocak ayında bir süre Windows Güncellemesi yapmayı bıraktığını (etki alanımızdaki yerel WSUS'yi kullanıyoruz) buldum. Sorunun neden olduğu eski bir düzeltme ekinin tahmin edildiğini tahmin ediyorum (makine güncel olmadığından şikayet eder, ancak gerekli gördüğü Jan eklerini yüklemez). 1803 güncellemesi nedeniyle, yalnızca MS'den Windows Update'i düzeltmek için kullanamadık (nedense zaman aşımına uğrar ve güncellemeler çalışmaz).

Makineyi 1803 sürümüne bağlarsanız, düzeltmeyi içerdiğini onaylayabilirim. Bunu düzeltmek için hızlı bir yola ihtiyacınız varsa, doğrudan güncellemeyi gerçekleştirmek için Windows Update Assistant'ı ( Güncelleme yazan üst bağlantı) kullandım (nedense Windows Update'ten daha kararlı görünüyor).

Bu son güvenlik güncelleştirmesi KB410731'i kaldırdık ve 1709 ve önceki sürümlerde Windows 10 makinelerine bağlanmayı başardık. PC'ler için 1803 oluşturmak üzere yükseltme yapabiliriz, bu KB4103731'i kaldırmadan sorunu çözdü.

Basitçe, Network Level AuthenticationUzak Masaüstünden Devre Dışı Bırakmayı deneyin . Lütfen aşağıdaki görüntüyü kontrol edebilir misiniz?

PowerShell'i yönetici olarak açın ve şu komutu çalıştırın:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Sunucuya bağlanmayı şimdi deneyin. Çalışacak.

Cevabı burada buldum , bu yüzden kendim olarak iddia edemiyorum, ancak kayıt defterime aşağıdaki anahtarı ekleyip yeniden başlatmak benim için düzeltti.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002