Dies kann an der Korrektur der CredSSP-Verschlüsselung oder an RDP auf Windows 10 Pro-Host liegen

47

Error

Nach Windows-Sicherheitsupdates im Mai 2018 wird beim RDP-Versuch auf einer Windows 10 Pro-Arbeitsstation nach erfolgreicher Eingabe der Benutzeranmeldeinformationen die folgende Fehlermeldung angezeigt:

Ein Authentifizierungsfehler ist aufgetreten. Die angeforderte Funktion wird nicht unterstützt.

Dies könnte an der Korrektur der CredSSP-Verschlüsselung oder des Orakels liegen

Bildschirmfoto

Bildbeschreibung hier eingeben

Debuggen

  • Wir haben bestätigt, dass die Benutzeranmeldeinformationen korrekt sind.

  • Starten Sie die Workstation neu.

  • Bestätigt, dass Prem-Verzeichnisdienste betriebsbereit sind.

  • Einzelne Arbeitsstationen, auf denen der Sicherheitspatch für Mai noch nicht angewendet wurde, sind nicht betroffen.

Kann in der Zwischenzeit auf Dauerwellen-Hosts verwalten, ist jedoch besorgt über den Cloud-basierten Serverzugriff. Keine Vorkommen auf Server 2016 noch.

Danke

scott_lotus
quelle

Antworten:

20

Ganz auf der Grundlage von Graham Cuthberts Antwort habe ich im Editor eine Textdatei mit den folgenden Zeilen erstellt und sie anschließend doppelt angeklickt (was der Windows-Registrierung alle in der Datei enthaltenen Parameter hinzufügen sollte).

Beachten Sie nur, dass die erste Zeile von der verwendeten Windows-Version abhängt. Daher ist es möglicherweise eine gute Idee, regediteine Regel zu öffnen und zu exportieren, um zu sehen, was in der ersten Zeile enthalten ist, und dieselbe Version in Ihrer Datei zu verwenden.

Außerdem mache ich mir in dieser speziellen Situation keine Sorgen über eine Beeinträchtigung der Sicherheit, da ich eine Verbindung zu einem verschlüsselten VPN herstelle und der Host-Windows keinen Zugang zum Internet hat und daher nicht über das neueste Update verfügt.

Datei rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Für diejenigen, die etwas möchten, das einfach zu kopieren / in eine Eingabeaufforderung mit erhöhten Rechten einzufügen ist:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
Rodriguez
quelle
1
Mit der Home Edition von Windows 10, dem schnellsten temporären Weg zum Laufen.
Ahmad Molaie
1
Diese REG-Datei sollte auf dem Client oder dem Server importiert werden?
nivs1978
@ nivs1978, diese Datei soll auf der Clientseite verwendet werden, vorausgesetzt, der Client verfügt über die neueren Updates und der Server nicht. Auf diese Weise kann der am häufigsten aktualisierte Client eine Verbindung zu einem Server herstellen, der in letzter Zeit nicht aktualisiert wurde.
Rodriguez
Vielen Dank! Ich benutze Win 10 Home. Ich habe das Win-Update, das dieses Problem verursacht hat, zehnmal deinstalliert und MS setzt es weiterhin zurück, obwohl ich alles getan habe, um dies zu stoppen. Es gibt auch keinen Richtlinieneditor (oder dieser wird nicht beachtet) für diese Windows-Version. Ich habe nach diesen Registrierungsschlüsseln gesucht, nach Dokumenten, die ich gelesen habe und die es nicht gab, also dachte ich, dass sie nicht funktionieren würden. Aber ich habe trotzdem versucht, deine Reg-Datei zu starten. Das Problem wurde wie ein Zauber behoben!
BuvinJ
16

CredSSP (Credential Security Support Provider Protocol) ist ein Authentifizierungsanbieter, der Authentifizierungsanforderungen für andere Anwendungen verarbeitet.

In nicht gepatchten Versionen von CredSSP liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Benutzeranmeldeinformationen weiterleiten, um Code auf dem Zielsystem auszuführen. Jede Anwendung, deren Authentifizierung von CredSSP abhängt, ist möglicherweise für diese Art von Angriff anfällig.

[...]

13. März 2018

Die erste Version vom 13. März 2018 aktualisiert das CredSSP-Authentifizierungsprotokoll und die Remotedesktop-Clients für alle betroffenen Plattformen.

Die Reduzierung besteht darin, das Update auf allen in Frage kommenden Client- und Serverbetriebssystemen zu installieren und anschließend die enthaltenen Gruppenrichtlinieneinstellungen oder registrierungsbasierten Entsprechungen zu verwenden, um die Einstellungsoptionen auf den Client- und Servercomputern zu verwalten. Wir empfehlen Administratoren, die Richtlinie anzuwenden und so bald wie möglich auf Client- und Servercomputern auf "Aktualisierte Clients erzwingen" oder "Reduziert" zu setzen. Diese Änderungen erfordern einen Neustart der betroffenen Systeme.

Achten Sie besonders auf Gruppenrichtlinien- oder Registrierungseinstellungspaare, die zu "blockierten" Interaktionen zwischen Clients und Servern in der Kompatibilitätstabelle weiter unten in diesem Artikel führen.

17. April 2018

Das RDP-Update (Remote Desktop Client) in KB 4093120 verbessert die Fehlermeldung, die angezeigt wird, wenn ein aktualisierter Client keine Verbindung zu einem Server herstellt, der nicht aktualisiert wurde.

8. Mai 2018

Ein Update zum Ändern der Standardeinstellung von Vulnerable in Mitigated.

Quelle: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Siehe auch diesen reddit-Thread: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Problemumgehung von Microsoft:

  • Aktualisieren Sie Server und Client. (Neustart erforderlich, empfohlen)

Nicht empfohlene Problemumgehungen, wenn Ihr Server öffentlich verfügbar ist oder wenn Sie in Ihrem internen Netzwerk KEINE strenge Verkehrssteuerung haben, aber manchmal ein Neustart des RDP-Servers während der Arbeitszeit nicht möglich ist.

  • Richten Sie die CredSSP-Patching-Richtlinie über das Gruppenrichtlinienobjekt oder die Registrierung ein. (erfordert Neustart oder gpupdate / force)
  • Deinstallieren Sie KB4103727 (kein Neustart erforderlich)
  • Ich denke, dass das Deaktivieren von NLA (Network Layer Authentication) auch funktionieren kann. (kein Neustart erforderlich)

Stellen Sie sicher, dass Sie die Risiken verstehen, wenn Sie diese verwenden, und patchen Sie Ihre Systeme so schnell wie möglich.

[1] Alle GPO CredSSP-Beschreibungen und Registrierungsänderungen werden hier beschrieben.

[2] Beispiele für GPO- und Registrierungseinstellungen für den Fall, dass die Microsoft-Website ausfällt.

Michal Sokolowski
quelle
Ich denke schon. :) Soweit ich feststellen kann, ist Windows 7, Windows 8.1, Windows 10 und Server 2016 in meiner Umgebung betroffen. Abschließend müssen wir jede unterstützte Windows-Version patchen.
Michal Sokolowski
3
Das Bestätigen der Deaktivierung von NLA auf dem Zielserver dient als vorübergehende Problemumgehung.
Ketura
Hat jemand ein PS-Skript (Powershell) zur Hand, wie man das überprüft? Auf Server und Client?
Tilo
Liegt dieser Fehler daran, dass RDP auf dem Server aktualisiert wird und der Client nicht, oder sind es die Clients, die aktualisiert werden und der Server nicht?
nivs1978
@ nivs1978, AFAIR, beide Szenarien führen zu denselben Symptomen.
Michal Sokolowski
7
  1. Gehen Sie zu "Editor für lokale Gruppenrichtlinien> Administrative Vorlagen> System> Delegierung von Anmeldeinformationen> Verschlüsselung - Oracle-Standardisierung", bearbeiten und aktivieren Sie ihn und setzen Sie "Schutzstufe" auf "Reduziert".
  2. Registrierungsschlüssel festlegen (von 00000001 bis 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters] "AllowEncryptionOracle" = dword:
  3. Starten Sie Ihr System bei Bedarf neu.
Mohammad Lotfi
quelle
Ich habe den ersten Schritt ausgeführt, mit der Ausnahme, dass er aktiviert und auf Vulnerable gesetzt wurde. Dann konnte ich meine W10 auf eine W7-Maschine im Netzwerk übertragen
seizethecarp
Ich habe getan, wie du es erwähnt hast und gearbeitet! Client W10 und Server WS2012 R2. Vielen Dank!
Phi
4

Forschung

Bezugnehmend auf diesen Artikel:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Vorläufiges Update vom Mai 2018, das sich auf die Möglichkeit auswirken kann, Remotehost-RDP-Sitzungsverbindungen in einer Organisation herzustellen. Dieses Problem kann auftreten, wenn der lokale Client und der Remotehost unterschiedliche Einstellungen für die Oracle-Verschlüsselungskorrektur in der Registrierung haben, die definieren, wie eine RDP-Sitzung mit CredSSP erstellt wird. Die Einstellungsoptionen für "Encryption Oracle Remediation" werden unten definiert. Wenn der Server oder Client unterschiedliche Erwartungen an den Aufbau einer sicheren RDP-Sitzung haben, kann die Verbindung blockiert werden.

Ein zweites Update, das voraussichtlich am 8. Mai 2018 veröffentlicht werden soll, wird das Standardverhalten von "Gefährdet" in "Gemindert" ändern.

Wenn Sie feststellen, dass sowohl der Client als auch der Server gepatcht sind, die Standardrichtlinieneinstellung jedoch auf "Anfällig" belassen wird, ist die RDP-Verbindung für Angriffe "Anfällig". Sobald die Standardeinstellung auf "Mitigated" geändert wurde, wird die Verbindung standardmäßig zu "Secure".

Auflösung

Aufgrund dieser Informationen versuche ich, sicherzustellen, dass alle Clients vollständig gepatcht sind, und erwarte dann, dass das Problem behoben wird.

scott_lotus
quelle
4

Der Registrierungswert war auf meinem Windows 10-Computer nicht vorhanden. Ich musste die folgenden lokalen Gruppenrichtlinien aufrufen und die Änderung auf meinen Client anwenden:

Computerkonfiguration -> Administrative Vorlagen -> System -> Delegierung von Anmeldeinformationen - Verschlüsselung Oracle Remediation

Aktivieren Sie und setzen Sie den Wert auf vulnerable.

Ion Cojocaru
quelle
Dies funktionierte für mich, wenn W10 eine Verbindung zu einem W7-Computer in meinem Netzwerk herstellte
siehe thecarp vom
3

Es wird empfohlen, den Client anstelle dieser Art von Skripten zu aktualisieren, um den Fehler einfach zu umgehen. Sie können dies jedoch auf eigene Gefahr auf dem Client tun und müssen den Client-PC nicht neu starten. Sie müssen auch nichts auf dem Server ändern.

  1. Öffnen Run, tippen gpedit.mscund klicken OK.
  2. Erweitern Sie Administrative Templates.
  3. Erweitern Sie System.
  4. Öffnen Credentials Delegation.
  5. Doppelklicken Sie auf der rechten Seite auf Encryption Oracle Remediation.
  6. Auswählen Enable.
  7. VulnerableAus Protection LevelListe auswählen .

Diese Richtlinieneinstellung gilt für Anwendungen, die die CredSSP-Komponente verwenden (zum Beispiel: Remotedesktopverbindung).

Einige Versionen des CredSSP-Protokolls sind für einen Orakel-Verschlüsselungsangriff auf den Client anfällig. Diese Richtlinie steuert die Kompatibilität mit anfälligen Clients und Servern. Mit dieser Richtlinie können Sie die gewünschte Schutzstufe für die Sicherheitsanfälligkeit in Bezug auf die Verschlüsselung von Orakeln festlegen.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Unterstützung der CredSSP-Version basierend auf den folgenden Optionen ausgewählt:

Aktualisierte Clients erzwingen: Client-Anwendungen, die CredSSP verwenden, können nicht auf die unsicheren Versionen zurückgreifen, und Dienste, die CredSSP verwenden, akzeptieren keine nicht gepatchten Clients. Hinweis: Diese Einstellung sollte erst bereitgestellt werden, wenn alle Remote-Hosts die neueste Version unterstützen.

Abgemildert: Client-Anwendungen, die CredSSP verwenden, können nicht auf die unsichere Version zurückgreifen, Dienste, die CredSSP verwenden, akzeptieren jedoch nicht gepatchte Clients. Unter dem folgenden Link finden Sie wichtige Informationen zum Risiko verbleibender ungepatchter Clients.

Anfällig: Client-Anwendungen, die CredSSP verwenden, setzen die Remote-Server Angriffen aus, indem sie auf unsichere Versionen zurückgreifen. Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients.

  1. Klicken Sie auf Übernehmen.
  2. OK klicken.
  3. Getan.

Bildbeschreibung hier eingeben Referenz

AVB
quelle
Sie empfehlen den Nutzern, auf eine Option mit der Aufschrift "Vulnerable" zu klicken. Die IT wäre gut, um zu erklären, welche Konsequenzen dies haben wird, anstatt nur ein (gutes) Skript dafür bereitzustellen.
Law29
@ Law29 Du hast Recht, Aktualisiert!
AVB
0

Dieser Typ hat eine Lösung für Ihr genaues Problem:

Im Wesentlichen müssen Sie die GPO-Einstellungen ändern und ein Update erzwingen. Für diese Änderungen ist jedoch ein Neustart erforderlich.

  1. Kopieren Sie diese beiden Dateien von einem frisch aktualisierten Computer.

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Did Feb 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd Feb 2018 - Ihr lokaler Ordner kann anders sein, z. B. en-GB)
  2. Navigieren Sie in einem DC zu:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Benennen Sie den Strom um CredSsp.admxinCredSsp.admx.old
    • Kopieren Sie das Neue CredSsp.admxin diesen Ordner.
  3. Navigieren Sie im selben DC zu:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (oder Ihre Landessprache)
    • Benennen Sie den Strom um CredSsp.admlinCredSsp.adml.old
    • Kopieren Sie die neue CredSsp.admlDatei in diesen Ordner.
  4. Versuchen Sie Ihre Gruppenrichtlinie erneut.

https://www.petenetlive.com/KB/Article/0001433

Justin
quelle
0

Wie andere bereits gesagt haben, liegt dies an einem von Microsoft veröffentlichten März-Patch. Sie haben am 8. Mai einen Mai-Patch veröffentlicht, der den März-Patch tatsächlich verstärkt. Wenn Sie also eine Workstation haben, die den Mai-Patch erhalten hat und eine Verbindung zu einem Server herstellen möchten, der den März-Patch nicht erhalten hat, wird in Ihrem Screenshot die Fehlermeldung angezeigt.

Die Lösung Sie möchten die Server wirklich so patchen, dass sie den März-Patch haben. Andernfalls können Sie in der Zwischenzeit eine Gruppenrichtlinie oder eine Registrierungsänderung anwenden.

Ausführliche Anweisungen finden Sie in diesem Artikel: So beheben Sie die Authentifizierungsfehlerfunktion Nicht unterstütztes CredSSP-Fehler-RDP

Sie können auch Kopien der ADMX- und ADML-Dateien finden, falls Sie diese benötigen.

Robert Russell
quelle
0

Ich habe das gleiche Problem. Die Clients befinden sich auf Win7- und RDS-Servern der Version 2012R2. Die Clients erhielten das monatliche Qualitäts-Rollup-Sicherheitsupdate 2018-05 (kb4019264). Nachdem Sie das entfernt haben, alles gut.

Root-Schleife
quelle
0

Ich habe festgestellt, dass einige unserer Computer im Januar die Ausführung von Windows Update eingestellt haben (wir führen lokale WSUS in unserer Domäne aus). Ich vermute, dass ein früherer Patch das Problem verursacht hat (der Computer hat sich beschwert, dass er veraltet ist, aber er hat die Jan-Patches, die er für erforderlich hielt, nicht installiert). Aufgrund des 1803-Updates konnten wir Windows Update von MS nicht direkt verwenden, um das Problem zu beheben (aus irgendeinem Grund trat eine Zeitüberschreitung auf, und Updates wurden nicht ausgeführt).

Ich kann bestätigen, dass, wenn Sie die Maschine auf Version 1803 patchen, es die Verlegenheit zu diesem enthält. Wenn Sie einen schnellen Weg benötigen, um dies zu beheben, habe ich den Windows Update-Assistenten (oberer Link mit der Aufschrift "Update") verwendet, um das Update direkt durchzuführen (scheint aus irgendeinem Grund stabiler zu sein als Windows Update).

Machavity
quelle
Über diesen Link kann ich eine Windows 10-ISO herunterladen. Ist es das, worauf du verlinken wolltest?
Michael Hampton
@MichaelHampton Der untere Link ist für das ISO-Tool. Der Link Jetzt
aktualisieren
0

Wir haben das neueste Sicherheitsupdate KB410731 entfernt und konnten ab Build 1709 eine Verbindung mit Windows 10-Computern herstellen. Für PCs konnten wir ein Upgrade auf Build 1803 durchführen, wodurch das Problem behoben wurde, ohne KB4103731 zu deinstallieren.

Gabriel C
quelle
0

Versuchen Sie einfach Network Level AuthenticationVon Remotedesktop deaktivieren. Könnten Sie bitte das folgende Bild überprüfen:

Bildbeschreibung hier eingeben

Mike Darwish
quelle
0

Öffnen Sie PowerShell als Administrator und führen Sie den folgenden Befehl aus:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Versuchen Sie jetzt, eine Verbindung zum Server herzustellen. Es wird klappen.

Mukesh Salaria
quelle
0

Ich habe die Antwort hier gefunden , kann sie also nicht als meine eigene beanspruchen, habe aber den folgenden Schlüssel zu meiner Registrierung hinzugefügt und durch einen Neustart für mich behoben.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
Graham Cuthbert
quelle
6
Dies bedeutet, dass Ihre Kommunikation mit allen Servern, die die Korrektur der Oracle-Entschlüsselung nicht erzwingen, heruntergestuft und entschlüsselt werden kann. Sie setzen sich also einem Risiko aus. Derzeit lehnen selbst Server mit aktualisiertem credSSP standardmäßig herabgestufte Clients nicht ab, sodass praktisch alle Ihre Remotedesktopsitzungen gefährdet sind, selbst wenn Ihr Client zu diesem Thema auf dem neuesten Stand ist!
user188737
1
Diese Registrierungsänderung wird NICHT empfohlen.
Spuder