Windows 2018/05/08 güncellemesinden sonra uzak masaüstü bağlantısı hatası - CVE-2018-0886 için CredSSP güncellemeleri

Windows Update'ten sonra, Uzak Masaüstü Bağlantısı kullanarak bir sunucuya bağlanmaya çalışırken bu hatayı alıyorum.

Hata mesajı ile verilen bağlantıyı okuduğumda , 2018/05/08 tarihli güncelleme yüzünden görünüyor:

8 Mayıs 2018

Varsayılan ayarı Güvenlik Açığı'ndan Azaltılmış'a değiştiren bir güncelleştirme.

İlgili Microsoft Bilgi Bankası numaraları CVE-2018-0886'da listelenmiştir.

Bunun için bir çözüm var mı?

(Soru yazarı adına bir cevap gönderdi) .

Bazı cevaplarda olduğu gibi, bu hatanın en iyi çözümü hem sunucuyu hem de istemcileri Microsoft> sürümlerinden 2018-05-08 sürümüne güncellemektir.

Her ikisini de güncelleyemiyorsanız (yani yalnızca istemci veya sunucuyu güncelleyebilirsiniz ), aşağıdaki çözümlerden birini aşağıdaki yanıtlardan uygulayabilir ve geçici olarak ortaya çıkan güvenlik açığının süresini en aza indirgemek için en kısa sürede yapılandırmayı değiştirebilirsiniz.

Cmd kullanarak gpedit yapmanın alternatif yöntemi:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

Bir çözüm buldum. Yardım bağlantısında açıklandığı gibi , bu grup politikasının değerini değiştirerek 2018/05/08 güncellemesinden geri dönmeye çalıştım:

• Gpedit.msc dosyasını çalıştırın

• Bilgisayar Yapılandırması -> Yönetim Şablonları -> Sistem -> Kimlik Bilgileri Temsilcisi -> Şifreleme Oracle Düzeltme

Değiştirmek o etkinleştirme ve Koruma seviyesinde, geri değiştirmek Korunmasız .

Bir saldırganın bağlantımı kötüye kullanma riskini ortadan kaldırabilir mi emin değilim. Umarım Microsoft yakında bunu düzeltir, bu yüzden ayarı önerilen ayar olan Mitigated'a geri yükleyebilirim .

Başka bir yol da Microsoft Uzak Masaüstü istemcisini MS Mağazasından yüklemek - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Bu sorun yalnızca Hyper-V VM'mde oluyor ve fiziksel makinelere uzaktan erişim tamam.

Git Bu PC sunucusunda Sistem Ayarları → Gelişmiş Sistem Ayarları → ve sonra hedef VM işaretini kaldırarak bunu çözmüş "sadece bilgisayarlardan yapılan bağlantılara Ağ Düzeyinde Kimlik Doğrulama ile Uzak Masaüstü çalışan izin (önerilir)".

Ac19501'in cevabını takiben bunu kolaylaştırmak için iki kayıt defteri dosyası oluşturdum:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

Baskı ekranındaki GPO örneğinde güncelleme.

Cevabına göre "reg" HKLM \ Yazılım \ Microsoft \ Windows \ MevcutVersion \ Politikalar \ Sistem \ CredSSP \ Parametreler "/ f / v EkleEtecryptionOracle / t REG_DWORD / d 2" ekleyin

Ekran görüntüsü

Anahtar Yolu: Yazılım \ Microsoft \ Windows \ CurrentVersion \ Policies \ Sistem \ CredSSP \ Parametreler
Değer Adı: AllowEncryptionOracle
Değer verisi: 2

Ben de aynı konulara rastladım. En iyi çözüm, daha düşük güvenlik seviyesine Pham X Bach cevabı kullanmak yerine, bağlandığınız makineyi güncellemektir.

Ancak, bir nedenden dolayı makineyi güncelleyemiyorsanız, geçici çözümü çalışır.

Sunucu ve tüm istemciler için bir Windows Güncelleştirmesi yüklemeniz gerekir. Güncellemeyi aramak için https://portal.msrc.microsoft.com/en-us/security-guidance adresine gidin , ardından 2018-0886 CVE'yi arayın ve yüklü olan Windows sürümü için Güvenlik Güncelleştirmesi'ni seçin.

Windows Update'i kullanarak Windows Sunucunuzu güncellemeniz gerekir. Gerekli tüm yamalar kurulacak. Ardından sunucunuza Uzak Masaüstü üzerinden tekrar bağlanabilirsiniz.

Kb4103725'i yüklemeniz gerekir.

Daha fazla bilgi için: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725

Sunucular için ayarı Remote PowerShell ile de değiştirebiliriz (WinRM'nin etkin olduğunu varsayarsak, vb.)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Şimdi, bu ayar bir etki alanı GPO'su tarafından yönetiliyorsa, geri döndürülmesi mümkündür, bu nedenle GPO'ları kontrol etmeniz gerekir. Ancak hızlı bir düzeltme için bu işe yarar.

Referans: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Komut satırına erişiminiz varsa (kutuda çalışan bir SSH sunucumuz var) başka bir seçenek komut satırından "sconfig.cmd" komutunu çalıştırmaktır. Aşağıdaki gibi bir menü olsun:

Seçenek 7'yi seçin ve yalnızca güvenli değil, tüm istemciler için açın.

Bu işlem bittiğinde, masaüstünü uzaktan çalıştırabilirsiniz. Görünüşe göre sorun, yeni güvenlik için müşteri sistemlerimizin güncellenmesiydi, ancak sunucu kutularımız güncellemelerin arkasındaydı. Güncellemeleri almayı ve bu güvenlik ayarını tekrar açmanızı öneririm.

Kaldırma:

• Windows 7 ve 8.1 için: KB4103718 ve / veya KB4093114 
• Windows 10 için: KB4103721 ve / veya KB4103727 sunucusu 

Bu güncelleme, CVE-2018-0886 güvenlik açığı için bir düzeltme eki içermektedir. Yamalı olmayan bir sunucuda, onlarsız içeri girmelerini sağlar.