Remotedesktop-Verbindungsfehler nach Aktualisierung von Windows 2018/05/08 - CredSSP-Updates für CVE-2018-0886

90

Nach Windows Update wird diese Fehlermeldung angezeigt, wenn versucht wird, eine Verbindung zu einem Server mithilfe der Remotedesktopverbindung herzustellen.

Wenn Sie den durch eine Fehlermeldung bereitgestellten Link lesen , scheint dies auf ein Update am 08.05.2018 zurückzuführen zu sein:

8. Mai 2018

Ein Update zum Ändern der Standardeinstellung von Vulnerable in Mitigated.

Zugehörige Microsoft Knowledge Base-Nummern sind in CVE-2018-0886 aufgeführt.

Gibt es dafür eine Lösung?

Fehler RDC

remote-desktop Pham X. Bach
quelle
1
(Meta: Aktualisierungen werden am Ende der Beiträge abgelegt, um sicherzustellen, dass sie für neue Leser immer noch verständlich sind. Antworten werden im Antwortbereich abgelegt und nicht in Fragen zusammengeführt. Danke.)
halfer

Antworten:

21

(Hat eine Antwort im Namen des Frageautors gepostet) .

Wie in einigen Antworten beschrieben, besteht die beste Lösung für diesen Fehler darin, sowohl den Server als auch die Clients auf Version> = das Update 2018-05-08 von Microsoft zu aktualisieren.

Wenn Sie nicht beide aktualisieren können (dh Sie können nur Client oder Server aktualisieren ), können Sie eine der Problemumgehungen aus den folgenden Antworten anwenden und die Konfiguration so schnell wie möglich zurücksetzen, dass die Dauer der durch die Problemumgehung eingeführten Sicherheitsanfälligkeit minimiert wird.

halfer
quelle
Dies ist einer der seltenen Fälle, in denen die akzeptierte Antwort auch die beste Antwort ist. Andere Antworten lassen Sie anfällig für CVE-2018-0886 werden: "In nicht gepatchten Versionen von CredSSP liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Benutzeranmeldeinformationen weiterleiten, um Code auf dem Zielsystem auszuführen . Jede Anwendung, die von CredSSP abhängt für die Authentifizierung ist möglicherweise anfällig für diese Art von Angriff. "
Braiam
Wir haben eine praktische, nicht-invasive Problemumgehung gefunden - wir konnten RDP mithilfe eines unserer Server als Sprungbrett verwenden
OutstandingBill
Wissen Sie, wie schwerwiegend die Sicherheitsanfälligkeit ist, wenn sich Client und Server im selben lokalen Netzwerk befinden und nur hinter einem Router ohne offene Ports mit dem Internet verbunden sind?
Kevkong,
@ Kevkong: Dies ist eine Wiki-Antwort, die ich für den Frageautor gepostet habe. Sie können sie unter der Frage anpingen, wenn Sie wünschen.
halfer
Hi @Peter: danke für deine bearbeitungen. Ich stimme ihnen größtenteils zu, aber die Meta-Einführung ist IMO erforderlich, um die Regeln für Zuweisungslizenzen einzuhalten. Ich habe mehrere hundert davon auf Stack Overflow, und die Ansicht von Meta ist, dass dies nicht nur bleiben muss, sondern einige Leute denken, es ist unzureichend, und das OP sollte benannt werden. Diese andere Sichtweise hat nicht viel Anklang gefunden, zeigt jedoch die Breite der Meinungen darüber, wie eine Zuschreibung am besten erreicht werden kann. Aber im Grunde können wir die Urheberschaft nicht auslöschen. Kann das bitte restauriert werden?
halfer
90

Alternative Methode zu gpedit mit cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

quelle
4
Lebensretter. Für Benutzer von Windows 10 Home sollte dies perfekt funktionieren. Denken Sie daran, cmd als Administrator auszuführen.
1
Dieser Befehl funktioniert unter Windows 8. Vielen Dank
Jairath
1
Eigentlich bestand das Problem darin, dass immer noch Updates auf dem Server installiert wurden, sodass keine Verbindung möglich war. Einfach gewartet und es hat funktioniert. serverfault.com/questions/387593/…
tobiak777
1
@pghcpa Ignorieren Sie dies, der Befehl erstellt die fehlenden Registrierungsknoten und fügt den Parameter für Sie ein. Dies ist wirklich lebensrettend, wenn Sie den Server nicht mit dem Sicherheitspatch aktualisieren können, der dieses Problem verursacht hat.
Gergely Lukacsy
1
Ich weiß nicht warum, aber es funktioniert Danke
Dian
39

Ich habe eine Lösung gefunden. Wie in dem beschriebenen Hilfe - Link , habe ich versucht , Rollback von update 2018.05.08 durch den Wert dieser Gruppenrichtlinie zu ändern:

  • Führen Sie gpedit.msc aus

  • Computerkonfiguration -> Administrative Vorlagen -> System -> Delegierung von Anmeldeinformationen -> Verschlüsselung Oracle Remediation

Ändern Sie es in " Aktivieren" und in "Schutzstufe" wieder in " Verwundbar" .

Ich bin nicht sicher, ob dadurch das Risiko eines Angreifers, der meine Verbindung ausnutzt, zurückgesetzt werden kann. Ich hoffe, Microsoft wird das bald beheben, damit ich die Einstellung auf die empfohlene Einstellung Mitigated zurücksetzen kann .

Geben Sie hier eine Bildbeschreibung ein

Pham X. Bach
quelle
Mein System verfügt nicht über diese Option für "Encryption Oracle Remediation". Es handelt sich um einen Windows 2012-Server. Sieht so aus, als hätte es das 5/8 Sicherheitsupdate angewendet.
4
Was ich fand, war, dass für uns der Kunde das "Problem" war. Die Server hatten nicht die neuesten Updates. Die Clients hatten das neueste Update, damit sie nicht funktionieren. Sobald der Server aktualisiert wurde, funktionierte alles.
Wenn Sie nicht sicher sind, wo Sie anfangen sollen, führen Sie "gpedit.msc" aus und folgen Sie den obigen Anweisungen.
Glen Little
Dies funktioniert auf meinem Windows 10-System nicht. Durch manuelles Aktualisieren des CredSSP-Registrierungsschlüssels kann ich eine Verbindung herstellen - was ich nur so lange tun möchte, bis der Computer dem aktuellen Standard entspricht.
Tom W
12

Eine andere Möglichkeit ist die Installation des Microsoft Remote Desktop-Clients aus dem MS Store: https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Pavel
quelle
2
Vielen Dank, ich hoffe, dass es eines Tages eine Datei zum Kopieren / Einfügen anstelle eines freigegebenen Ordners geben wird. Haben Sie nur die Freigabe der Zwischenablage zum Kopieren / Einfügen von Text
Pham X. Bach
Dem Windows App Store-RDP-Client fehlen so viele Anpassungs- und Integrationsfunktionen, dass mstsc.exesie nur schwer ernst genommen werden können. Unter Sicherheitsaspekten können Sie nicht einmal das Zertifikat anzeigen, das für sichere Verbindungen verwendet wurde (das letzte Mal, als ich es überprüft habe). Außerdem fehlt die Unterstützung für Smartcards, das Überbrücken mehrerer Monitore, die Umleitung von Laufwerken und andere. Microsofts eigene Vergleichstabelle zeigt , wie anämisch ist: docs.microsoft.com/en-us/windows-server/remote/...
Dai
6

Dieses Problem tritt nur bei meiner Hyper-V-VM auf und das Remoting auf physischen Computern ist in Ordnung.

Gehen Sie zu Dieser PC → Systemeinstellungen → Erweiterte Systemeinstellungen auf dem Server, und deaktivieren Sie das Kontrollkästchen für die Ziel-VM, um Verbindungen nur von Computern zuzulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen).

Deaktivieren Sie dieses Kontrollkästchen

au.tw
quelle
Gottverdammt. Ich habe diese Option aktiviert, vergessen und 2 Stunden später festgestellt, dass es das Problem ist. 😩
Shafiq al-Shaar
3

Nach der Antwort von ac19501 habe ich zwei Registrierungsdateien erstellt, um dies zu vereinfachen:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
yann.kmm
quelle
2

Aktualisieren Sie das GPO-Beispiel auf dem Druckbildschirm.

Basierend auf der Antwort "reg add" HKLM \ Software \ Microsoft \ Windows \ AktuelleVersion \ Richtlinien \ System \ CredSSP \ Parameter "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Bildschirm drucken

Schlüsselpfad: Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters
Wertname: AllowEncryptionOracle Wertdaten
: 2

Ramon Lucas
quelle
2

Ich bin auf die gleichen Probleme gestoßen. Die bessere Lösung wäre, die Maschine, mit der Sie sich verbinden, zu aktualisieren, anstatt die Pham X Bach-Antwort auf eine niedrigere Sicherheitsstufe zu verwenden.

Wenn Sie den Computer jedoch aus irgendeinem Grund nicht aktualisieren können, funktioniert seine Problemumgehung.

Peter Mortensen
quelle
Entschuldigen Sie das Missverständnis Ihrer Antwort. Ja, die beste Lösung sollte Update Server und alle Clients auf Version> = das 2018/05/08 Update von MS
Pham X sein. Bach
1

Sie müssen Ihren Windows Server mit Windows Update aktualisieren. Alle erforderlichen Patches werden installiert. Anschließend können Sie erneut eine Verbindung zu Ihrem Server über Remotedesktop herstellen.

Sie müssen kb4103725 installieren

Weitere Informationen finden Sie unter: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


quelle
Für diejenigen, die den Zugriff auf ihren Remote-Server verloren haben, kann ich mit Remote Desktop für Android weiterhin auf meine Server zugreifen. Anschließend können Sie Patches installieren und das Problem mit Remotedesktopverbindungen von Windows-Clients aus beheben.
1

Für Server können wir die Einstellung auch über Remote PowerShell ändern (vorausgesetzt, WinRM ist aktiviert usw.).

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Wenn diese Einstellung von einem Domänen-Gruppenrichtlinienobjekt verwaltet wird, wird sie möglicherweise zurückgesetzt, sodass Sie die Gruppenrichtlinienobjekte überprüfen müssen. Aber für eine schnelle Lösung funktioniert dies.

Referenz: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Francisco Xavier
quelle
1

Eine andere Möglichkeit, wenn Sie Zugriff auf die Befehlszeile haben (auf der Box läuft ein SSH-Server), besteht darin, "sconfig.cmd" über die Befehlszeile auszuführen. Sie erhalten ein Menü wie folgt:

Geben Sie hier eine Bildbeschreibung ein

Wählen Sie Option 7 und aktivieren Sie sie für alle Clients, nicht nur für sichere.

Sobald dies erledigt ist, können Sie einen Remotedesktop verwenden. Es sieht für uns so aus, als ob das Problem darin bestand, dass unsere Client-Systeme für die neue Sicherheit aktualisiert wurden, aber unsere Server-Boxen bei Updates zurückblieben. Ich würde vorschlagen, die Updates zu erhalten und diese Sicherheitseinstellung dann wieder zu aktivieren.

Brent
quelle
1

Deinstallation:

  • Für Windows 7 und 8.1: KB4103718 und / oder KB4093114 
  • Für Windows 10: KB4103721 und / oder KB4103727 Server ohne Updates 

Dieses Update enthält einen Patch für die Sicherheitsanfälligkeit CVE-2018-0886. Auf einem nicht gepatchten Server werden sie ohne sie eingebunden.

EXPY
quelle
2
Willkommen bei Super User! Können Sie erklären, warum die Deinstallation dieser KBs hilfreich ist?
Bertieb
coz dieses Update enthält Patch für die Sicherheitsanfälligkeit CVE-2018-0886, auf Nicht-Patch-Server lässt sie ohne sie
EXPY