Windows 2018/05/08 güncellemesinden sonra uzak masaüstü bağlantısı hatası - CVE-2018-0886 için CredSSP güncellemeleri


90

Windows Update'ten sonra, Uzak Masaüstü Bağlantısı kullanarak bir sunucuya bağlanmaya çalışırken bu hatayı alıyorum.

Hata mesajı ile verilen bağlantıyı okuduğumda , 2018/05/08 tarihli güncelleme yüzünden görünüyor:

8 Mayıs 2018

Varsayılan ayarı Güvenlik Açığı'ndan Azaltılmış'a değiştiren bir güncelleştirme.

İlgili Microsoft Bilgi Bankası numaraları CVE-2018-0886'da listelenmiştir.

Bunun için bir çözüm var mı?

RDC hatası


1
(Meta: güncellemeler, yeni okuyucular için hala anlaşılabilir olmalarını sağlamak için yayınların sonuna gider ve cevaplar, sorularla birleştirilmez, cevap alanına gider. Teşekkürler).
halfer

Yanıtlar:


21

(Soru yazarı adına bir cevap gönderdi) .

Bazı cevaplarda olduğu gibi, bu hatanın en iyi çözümü hem sunucuyu hem de istemcileri Microsoft> sürümlerinden 2018-05-08 sürümüne güncellemektir.

Her ikisini de güncelleyemiyorsanız (yani yalnızca istemci veya sunucuyu güncelleyebilirsiniz ), aşağıdaki çözümlerden birini aşağıdaki yanıtlardan uygulayabilir ve geçici olarak ortaya çıkan güvenlik açığının süresini en aza indirgemek için en kısa sürede yapılandırmayı değiştirebilirsiniz.


Bu, kabul edilen cevabın aynı zamanda en iyi cevap olduğu nadir durumlardan biridir. Diğer yanıtlar, sizi CVE-2018-0886'ya karşı savunmasız bırakıyor: "CredSSP'nin ekli sürümlerinde bir uzaktan kod yürütme güvenlik açığı bulunmaktadır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, kullanıcı kimlik bilgilerini hedef sistemde kod yürütmek için yönlendirebilir . Çünkü kimlik doğrulama bu tür saldırılara karşı savunmasız olabilir. "
Braiam

Kullanışlı, istilacı olmayan bir geçici çözüm bulduk - sunucularımızdan birini bir atlama kutusu olarak kullanarak RDP yaptık
OutstandingBill

Hem istemci hem de sunucu aynı yerel ağdaysa ve yalnızca herhangi bir açık bağlantı noktası olmadan bir yönlendiricinin arkasındaki internete maruz kalıyorsa, güvenlik açığının ne kadar ciddi olduğu konusunda bir fikriniz var mı?
Kevkong

@Kevkong: Bu, soru yazarı için gönderdiğim bir wiki cevabı. İsterseniz soru altında onları ping edebilirsiniz.
halfer

Merhaba @Peter: düzenlemeleriniz için teşekkürler. Çoğunlukla onlarla aynı fikirdesiniz, ancak meta-giriş, atıf lisansı kuralları çerçevesinde kalmak için IMO’ya ihtiyaç duyuyor. Bunlardan Yığın Taşması üzerine bunlardan birkaç yüz var ve Meta'dan gelen görüş, bunun sadece kalması gerekmediği, ancak bazılarının yetersiz olduğunu düşündüğü ve OP'nin adlandırılması gerektiği yönünde. Bu alt görüş çok fazla çekiş kazanamadı, ancak atfetmenin en iyi şekilde nasıl başarıldığı konusundaki görüşün genişliğini gösteriyor. Ancak, temel olarak, yazarlığı silemiyoruz. Bu geri yüklenebilir mi lütfen?
halfer

90

Cmd kullanarak gpedit yapmanın alternatif yöntemi:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

4
Cankurtaran. Windows 10 Home kullananlar için bu mükemmel olmalı. Sadece cmd'yi Yönetici olarak çalıştırmayı unutmayın.

1
Bu komut Windows 8'de çalışıyor. Teşekkürler
Jairath

1
Aslında sorun, güncellemelerin hala sunucuya kurulmakta olmasıydı, bu yüzden bağlantı mümkün değildi. Sadece bekledim ve işe yaradı. serverfault.com/questions/387593/…
tobiak777

1
@pghcpa Görmezden gelin, komut eksik kayıt defteri düğümlerini oluşturur ve parametreyi sizin için ekler. Sunucuyu, bu soruna neden olan güvenlik düzeltme ekiyle güncelleyemiyorsanız bu gerçekten hayat kurtarıcıdır.
Gergely Lukacsy

1
neden bilmiyorum ama onun çalışması teşekkür ederim
dian

39

Bir çözüm buldum. Yardım bağlantısında açıklandığı gibi , bu grup politikasının değerini değiştirerek 2018/05/08 güncellemesinden geri dönmeye çalıştım:

  • Gpedit.msc dosyasını çalıştırın

  • Bilgisayar Yapılandırması -> Yönetim Şablonları -> Sistem -> Kimlik Bilgileri Temsilcisi -> Şifreleme Oracle Düzeltme

Değiştirmek o etkinleştirme ve Koruma seviyesinde, geri değiştirmek Korunmasız .

Bir saldırganın bağlantımı kötüye kullanma riskini ortadan kaldırabilir mi emin değilim. Umarım Microsoft yakında bunu düzeltir, bu yüzden ayarı önerilen ayar olan Mitigated'a geri yükleyebilirim .

Resim tanımını buraya girin


Sistemimde orada "Şifreleme Oracle İyileştirme" seçeneği bulunmuyor, Windows 2012 sunucusu var. 5/8 güvenlik güncellemesini uygulamış gibi görünüyor.

4
Bulduğum şey, bizim için müşterinin "sorun" olduğuydu. Sunucular en son güncellemeleri almadı. Müşteriler en son güncellemeye sahiptiler, bu yüzden işe yaramayacaklardı. Sunucu güncellendiğinde, her şey çalıştı.

Nereden başlayacağınızdan emin değilseniz, "gpedit.msc" dosyasını çalıştırın, ardından yukarıdaki talimatları izleyin.
Glen Little

Bu, Windows 10 sistemimde çalışmıyor. CredSSP kayıt defteri anahtarının el ile güncellenmesi bağlanmamı sağlıyor - bu da makineyi yalnızca geçerli standarda bağlamaya yetecek kadar yapmayı düşünüyorum.
Tom W,

12

Başka bir yol da Microsoft Uzak Masaüstü istemcisini MS Mağazasından yüklemek - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps


2
Teşekkür ederim, umarım bir gün paylaşım klasörü yerine kopyala / yapıştır dosyası olur. Sadece metni kopyalamak / yapıştırmak için paylaşım panosuna sahip
Pham X. Bach

Windows App Store RDP istemcisinin yerleşik özelleştirme ve entegrasyon özelliklerinden çok yoksun mstsc.exeolması ciddiye alması zor. Güvenlik açısından, güvenli bağlantılar için kullanılan sertifikayı görüntülemenize bile izin vermez (en son kontrol ettiğimde), aynı zamanda akıllı kart desteği, çoklu monitör yayılımı, sürücü yeniden yönlendirmesi ve diğerleri. Microsoft'un kendi karşılaştırma tablosu ne kadar anemik olduğunu ortaya koyuyor: docs.microsoft.com/en-us/windows-server/remote/…
Dai

6

Bu sorun yalnızca Hyper-V VM'mde oluyor ve fiziksel makinelere uzaktan erişim tamam.

Git Bu PC sunucusunda Sistem Ayarları → Gelişmiş Sistem Ayarları → ve sonra hedef VM işaretini kaldırarak bunu çözmüş "sadece bilgisayarlardan yapılan bağlantılara Ağ Düzeyinde Kimlik Doğrulama ile Uzak Masaüstü çalışan izin (önerilir)".

Bu seçimi kaldır


Allah kahretsin. Bu seçeneği etkinleştirdim, unuttum ve 2 saat sonra sorunun olduğunu anladım. 😩
Shafiq al-Shaar

3

Ac19501'in cevabını takiben bunu kolaylaştırmak için iki kayıt defteri dosyası oluşturdum:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

2

Baskı ekranındaki GPO örneğinde güncelleme.

Cevabına göre "reg" HKLM \ Yazılım \ Microsoft \ Windows \ MevcutVersion \ Politikalar \ Sistem \ CredSSP \ Parametreler "/ f / v EkleEtecryptionOracle / t REG_DWORD / d 2" ekleyin

Ekran görüntüsü

Anahtar Yolu: Yazılım \ Microsoft \ Windows \ CurrentVersion \ Policies \ Sistem \ CredSSP \ Parametreler
Değer Adı: AllowEncryptionOracle
Değer verisi: 2


2

Ben de aynı konulara rastladım. En iyi çözüm, daha düşük güvenlik seviyesine Pham X Bach cevabı kullanmak yerine, bağlandığınız makineyi güncellemektir.

Ancak, bir nedenden dolayı makineyi güncelleyemiyorsanız, geçici çözümü çalışır.


Cevabınızı yanlış anladığım için üzgünüm. Evet, en iyi çözüm, sunucuyu ve tüm istemcileri MS> 2018/05/05 / 08’deki sürüme yükseltmek olmalıdır
Pham X. Bach


1

Windows Update'i kullanarak Windows Sunucunuzu güncellemeniz gerekir. Gerekli tüm yamalar kurulacak. Ardından sunucunuza Uzak Masaüstü üzerinden tekrar bağlanabilirsiniz.

Kb4103725'i yüklemeniz gerekir.

Daha fazla bilgi için: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


Uzak sunucularına erişimini kaybetmiş olanlar için hala Remote Remote for Android olan sunucularıma erişebiliyorum. Sonra yamaları yükleyebilir ve sorunu Windows istemcilerinden Uzak Masaüstü bağlantılarıyla çözebilirsiniz.

1

Sunucular için ayarı Remote PowerShell ile de değiştirebiliriz (WinRM'nin etkin olduğunu varsayarsak, vb.)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Şimdi, bu ayar bir etki alanı GPO'su tarafından yönetiliyorsa, geri döndürülmesi mümkündür, bu nedenle GPO'ları kontrol etmeniz gerekir. Ancak hızlı bir düzeltme için bu işe yarar.

Referans: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell


1

Komut satırına erişiminiz varsa (kutuda çalışan bir SSH sunucumuz var) başka bir seçenek komut satırından "sconfig.cmd" komutunu çalıştırmaktır. Aşağıdaki gibi bir menü olsun:

Resim tanımını buraya girin

Seçenek 7'yi seçin ve yalnızca güvenli değil, tüm istemciler için açın.

Bu işlem bittiğinde, masaüstünü uzaktan çalıştırabilirsiniz. Görünüşe göre sorun, yeni güvenlik için müşteri sistemlerimizin güncellenmesiydi, ancak sunucu kutularımız güncellemelerin arkasındaydı. Güncellemeleri almayı ve bu güvenlik ayarını tekrar açmanızı öneririm.


1

Kaldırma:

  • Windows 7 ve 8.1 için: KB4103718 ve / veya KB4093114 
  • Windows 10 için: KB4103721 ve / veya KB4103727 sunucusu 

Bu güncelleme, CVE-2018-0886 güvenlik açığı için bir düzeltme eki içermektedir. Yamalı olmayan bir sunucuda, onlarsız içeri girmelerini sağlar.


2
Süper Kullanıcıya Hoşgeldiniz! Bu KB'leri kaldırmanın neden yardımcı olacağını açıklayabilir misiniz ?
bertieb

coz bu güncelleme CVE-2018-0886 güvenlik açığı için düzeltme ekini içerir, düzeltme eki sunucuda onlar olmadan onları sağlar
EXPY
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.