Ciò potrebbe essere dovuto alla correzione dell'oracolo di crittografia CredSSP - da RDP a Windows 10 pro host


47

Errore

A seguito degli aggiornamenti di sicurezza di Windows a maggio 2018, quando si tenta di eseguire il RDP su una workstation Windows 10 Pro, viene visualizzato il seguente messaggio di errore dopo aver inserito correttamente le credenziali dell'utente:

Si è verificato un errore di autenticazione. La funzione richiesta non è supportata.

Ciò potrebbe essere dovuto alla correzione dell'oracolo di crittografia CredSSP

Immagine dello schermo

inserisci qui la descrizione dell'immagine

Debug

  • Abbiamo confermato che le credenziali dell'utente sono corrette.

  • Riavvia la workstation.

  • I servizi di directory confermati prem sono operativi.

  • Le workstation isolate che devono ancora applicare la patch di sicurezza di maggio non vengono eseguite.

Può gestire nel frattempo gli host on perm, preoccupati per l'accesso al server basato su cloud. Nessuna occorrenza su Server 2016 ancora.

Grazie

Risposte:


20

Basandomi interamente sulla risposta di Graham Cuthbert, ho creato un file di testo in Blocco note con le seguenti righe e poi ho fatto doppio clic su di esso (che dovrebbe aggiungere al registro di Windows qualunque parametro ci sia nel file).

Nota solo che la prima riga varia a seconda della versione di Windows che stai utilizzando, quindi potrebbe essere una buona idea aprire regedited esportare qualsiasi regola solo per vedere cosa c'è nella prima riga e utilizzare la stessa versione nel tuo file.

Inoltre, non sono preoccupato per il degrado della sicurezza in questa particolare situazione perché mi sto collegando a una VPN crittografata e l'host Windows non ha accesso a Internet e quindi non ha l'ultimo aggiornamento.

File rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Per coloro che desiderano qualcosa di facile da copiare / incollare in un prompt dei comandi con privilegi elevati:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

1
con l'edizione home di Windows 10, il modo temporaneo più veloce per essere messo in funzione.
ahmad molaie,

1
Questo file REG dovrebbe essere importato sul client o sul server?
nivs1978,

@ nivs1978, questo file deve essere utilizzato sul lato client, supponendo che il client abbia gli aggiornamenti più recenti e il server no. Quindi, fondamentalmente, consentirà al client più aggiornato di connettersi a un server che non è stato aggiornato di recente.
Rodriguez,

Grazie! Sto usando Win 10 Home. Ho disinstallato l'aggiornamento di Win che ha creato questo problema 10 volte e MS continua a rimetterlo, nonostante abbia fatto tutto il possibile per fermarlo. Non esiste inoltre un Policy Editor (o non rispettato) in questa versione di Windows. Ho cercato queste chiavi reg, per i documenti che ho letto e che non esistevano, quindi ho pensato che non avrebbero funzionato. Ma ho provato ad eseguire il tuo file reg in ogni caso, risolto il problema come un incantesimo!
BuvinJ,

16

Il protocollo CredSSP (Credential Security Support Provider) è un provider di autenticazione che elabora le richieste di autenticazione per altre applicazioni.

Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota nelle versioni senza patch di CredSSP. Un utente malintenzionato che sfrutta con successo questa vulnerabilità potrebbe inoltrare le credenziali dell'utente per eseguire il codice sul sistema di destinazione. Qualsiasi applicazione che dipende da CredSSP per l'autenticazione può essere vulnerabile a questo tipo di attacco.

[...]

13 marzo 2018

La versione iniziale del 13 marzo 2018 aggiorna il protocollo di autenticazione CredSSP e i client Desktop remoto per tutte le piattaforme interessate.

La mitigazione consiste nell'installazione dell'aggiornamento su tutti i sistemi operativi client e server idonei e quindi nell'uso delle impostazioni di Criteri di gruppo incluse o degli equivalenti basati sul registro per gestire le opzioni di impostazione sui computer client e server. Raccomandiamo agli amministratori di applicare il criterio e impostarlo su "Forza client aggiornati" o "Mitigato" nei computer client e server il prima possibile. Queste modifiche richiederanno un riavvio dei sistemi interessati.

Prestare particolare attenzione alle coppie di impostazioni del Registro di sistema o dei criteri che generano interazioni "bloccate" tra client e server nella tabella di compatibilità più avanti in questo articolo.

17 aprile 2018

L'aggiornamento dell'aggiornamento client desktop remoto (RDP) in 4093120 KB migliorerà il messaggio di errore che viene presentato quando un client aggiornato non riesce a connettersi a un server che non è stato aggiornato.

8 maggio 2018

Un aggiornamento per modificare l'impostazione predefinita da Vulnerable a Mitigated.

Fonte: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Vedi anche questo thread reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Soluzione alternativa di Microsoft:

  • Server di aggiornamento e client. (richiede il riavvio, consigliato)

Soluzioni alternative non consigliate se il server è disponibile pubblicamente o se NON si dispone di un rigoroso controllo del traffico nella rete interna, ma a volte riavviare il server RDP in orario di lavoro non è un problema.

  • Impostare i criteri di patch CredSSP tramite GPO o Registro. (richiede il riavvio o gpupdate / force)
  • Disinstallare KB4103727 (non è necessario il riavvio)
  • Penso che anche la disabilitazione di NLA (Network Layer Authentication) possa funzionare. (nessun riavvio richiesto)

Assicurati di comprendere i rischi quando li usi e patch i tuoi sistemi al più presto.

[1] Tutte le descrizioni e le modifiche al registro di CredSSP dell'oggetto Criteri di gruppo sono descritte qui.

[2] esempi di impostazioni di oggetti Criteri di gruppo e di registro nel caso in cui il sito di Microsoft non funzioni.


Penso di sì, sì. :) Per quanto ne so, Windows 7, Windows 8.1, Windows 10 e Server 2016 sono interessati dal mio ambiente. Concludendo, dobbiamo correggere ogni versione di Windows supportata.
Michal Sokolowski

3
La conferma della disabilitazione di NLA sul server di destinazione funziona come soluzione temporanea.
Ketura,

qualcuno ha qualche script PS (Powershell) a portata di mano come verificare questo? Su server e client?
Tilo,

Questo errore è dovuto al fatto che RDP sul server è stato aggiornato e il client non lo è oppure sono i client che vengono aggiornati e il server no?
nivs1978,

@ nivs1978, AFAIR, entrambi gli scenari daranno gli stessi sintomi.
Michal Sokolowski,

7
  1. Vai a "Editor Criteri di gruppo locali> Modelli amministrativi> Sistema> Delega credenziali> Correzione Oracle crittografia", modifica e abilita, quindi imposta "Livello di protezione" su "Mitigato".
  2. Imposta chiave di registrazione (da 00000001 a 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters] "AllowEncryptionOracle" = dword:
  3. Riavvia il sistema se necessario.

Ho usato il primo passo con l'eccezione di abilitarlo e impostarlo su Vulnerable. Quindi sono stato in grado di eseguire il RDP del mio W10 su una macchina W7 sulla rete
seizethecarp,

Ho fatto come hai detto e lavorato! Client W10 e Server WS2012 R2. Grazie!
Phi,

4

Ricerca

Facendo riferimento a questo articolo:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Aggiornamento provvisorio di maggio 2018 che potrebbe influire sulla capacità di stabilire connessioni di sessione RDP dell'host remoto all'interno di un'organizzazione. Questo problema può verificarsi se il client locale e l'host remoto hanno impostazioni di "Crittografia Oracle Remediation" diverse nel registro che definiscono come costruire una sessione RDP con CredSSP. Le opzioni di impostazione "Crittografia Oracle Remediation" sono definite di seguito e se il server o il client hanno aspettative diverse sulla creazione di una sessione RDP sicura, la connessione potrebbe essere bloccata.

Un secondo aggiornamento, provvisoriamente programmato per essere rilasciato l'8 maggio 2018, cambierà il comportamento predefinito da "Vulnerabile" a "Mitigato".

Se noti che sia il client che il server sono patchati, ma l'impostazione di criterio predefinita è lasciata su "Vulnerable", la connessione RDP è "Vulnerable" per attaccare. Dopo aver modificato l'impostazione predefinita su "Mitigato", la connessione diventa "Protetta" per impostazione predefinita.

Risoluzione

Sulla base di queste informazioni, sto procedendo per garantire che tutti i client siano completamente patchati, quindi mi aspetto che il problema venga mitigato.


4

Il valore del registro non era presente sul mio computer Windows 10. Ho dovuto seguire i seguenti criteri di gruppo locali e applicare la modifica sul mio client:

Configurazione computer -> Modelli amministrativi -> Sistema -> Delega credenziali - Crittografia Oracle Remediation

Abilita e imposta il valore su vulnerable.


Questo ha funzionato per me su W10, collegandomi a una macchina W7 sulla mia rete
seizethecarp,

3

Si consiglia di aggiornare il client anziché questo tipo di script per aggirare l'errore, ma a proprio rischio è possibile farlo sul client e non è necessario riavviare il PC client. Inoltre, non è necessario modificare nulla sul server.

  1. Apri Run, digita gpedit.msce fai clic OK.
  2. Espandi Administrative Templates.
  3. Espandi System.
  4. Aprire Credentials Delegation.
  5. Sul pannello destro fai doppio clic su Encryption Oracle Remediation.
  6. Selezionare Enable.
  7. Seleziona Vulnerabledalla Protection Levellista.

Questa impostazione di criterio si applica alle applicazioni che utilizzano il componente CredSSP (ad esempio: Connessione desktop remoto).

Alcune versioni del protocollo CredSSP sono vulnerabili a un attacco oracle di crittografia contro il client. Questa politica controlla la compatibilità con client e server vulnerabili. Questa politica consente di impostare il livello di protezione desiderato per la vulnerabilità dell'oracolo di crittografia.

Se si abilita questa impostazione di criterio, il supporto della versione CredSSP verrà selezionato in base alle seguenti opzioni:

Forzare i client aggiornati: le applicazioni client che utilizzano CredSSP non saranno in grado di ricorrere a versioni e servizi non sicuri che utilizzano CredSSP non accetteranno client senza patch. Nota: questa impostazione non deve essere distribuita fino a quando tutti gli host remoti non supportano la versione più recente.

Mitigato: le applicazioni client che utilizzano CredSSP non saranno in grado di ricorrere alla versione non sicura ma i servizi che utilizzano CredSSP accettano client senza patch. Vedere il collegamento seguente per informazioni importanti sul rischio rappresentato dal rimanere client senza patch.

Vulnerabile: le applicazioni client che utilizzano CredSSP espongono i server remoti agli attacchi supportando il fallback a versioni e servizi non sicuri che utilizzano CredSSP accetteranno client senza patch.

  1. Fai clic su Applica.
  2. Clicca OK.
  3. Fatto.

inserisci qui la descrizione dell'immagine Riferimento


Stai raccomandando alle persone di fare clic su un'opzione che dice "Vulnerabile". Sarebbe bello spiegare quali saranno le conseguenze di questo, invece di dare semplicemente uno (buono) script per farlo.
Legge 29

@ Law29 Hai ragione, aggiornato!
AVB

0

Questo ragazzo ha una soluzione per il tuo problema esatto:

In sostanza, dovrai modificare le impostazioni dell'oggetto Criteri di gruppo e forzare un aggiornamento. Ma queste modifiche richiedono un riavvio per essere in vigore.

  1. Copia questi due file da una macchina appena aggiornata;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Did Feb 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd febbraio 2018 - La cartella locale potrebbe essere diversa, ad es. En-GB)
  2. Su un controller di dominio, vai a:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Rinomina la corrente CredSsp.admxinCredSsp.admx.old
    • Copia il nuovo CredSsp.admxin questa cartella.
  3. Nella stessa DC vai a:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (o la tua lingua locale)
    • Rinomina la corrente CredSsp.admlinCredSsp.adml.old
    • Copia il nuovo CredSsp.admlfile in questa cartella.
  4. Prova di nuovo i criteri di gruppo.

https://www.petenetlive.com/KB/Article/0001433


0

Come altri hanno già detto, questo è dovuto a una patch di marzo rilasciata da Microsoft. Hanno rilasciato una patch di maggio l'8 maggio che applica effettivamente la patch di marzo. Pertanto, se disponi di una workstation che ha ricevuto la patch di maggio e stai provando a connetterti a un server che non ha ricevuto la patch di marzo, visualizzerai il messaggio di errore nello screenshot.

La risoluzione Volete davvero patchare i server in modo che abbiano la patch di marzo. Altrimenti, nel frattempo è possibile applicare un criterio di gruppo o una modifica del registro.

È possibile leggere le istruzioni dettagliate in questo articolo: Come risolvere l'errore di autenticazione Funzione non supportata CredSSP Error RDP

È inoltre possibile trovare copie dei file ADMX e ADML nel caso in cui sia necessario trovarli.


0

Ho avuto lo stesso problema. I client si trovano su server Win7 e RDS sono 2012R2, i client hanno ricevuto "aggiornamento cumulativo mensile di qualità della protezione 2018-05 (kb4019264)". Dopo averlo rimosso, tutto bene.


0

Ho scoperto che alcune delle nostre macchine avevano smesso di eseguire Windows Update (eseguiamo WSUS locali attraverso il nostro dominio) qualche volta a gennaio. Immagino che una patch precedente abbia causato il problema (la macchina si lamenterebbe di non essere aggiornata, ma non installerebbe le patch di Jan di cui aveva bisogno). A causa dell'aggiornamento del 1803, non potevamo semplicemente utilizzare Windows Update da MS direttamente per risolverlo (il timeout per qualche motivo e gli aggiornamenti non venivano eseguiti).

Posso confermare che se aggiorni la macchina alla versione 1803, contiene la correzione. Se hai bisogno di un percorso rapido per risolvere questo problema, ho usato l' Assistente di Windows Update (link in alto che dice Aggiornamento) per eseguire direttamente l'aggiornamento (per qualche motivo sembra più stabile di Windows Update).


Quel link mi offre di scaricare un ISO di Windows 10. È quello che intendevi collegare?
Michael Hampton

@MichaelHampton Il link in basso è per lo strumento ISO. Il collegamento Aggiorna ora è per l'Assistente aggiornamento
Machavity

0

Abbiamo rimosso l'ultimo aggiornamento per la protezione KB410731 e siamo riusciti a connetterci con le macchine Windows 10 alla build 1709 e precedenti. Per i PC abbiamo potuto eseguire l'aggiornamento alla build 1803, questo ha risolto il problema senza disinstallare KB4103731.


0

Prova semplicemente a disabilitare Network Level Authenticationdal desktop remoto. La prego di controllare la seguente immagine:

inserisci qui la descrizione dell'immagine


0

Apri PowerShell come amministratore ed esegui questo comando:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Prova ora a connetterti al server. Funzionerà.


0

Ho trovato la risposta qui , quindi non posso rivendicarla come mia, ma l'aggiunta della seguente chiave al mio registro e il riavvio l'hanno riparata per me.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

6
Questo significa che la tua comunicazione con tutti i server che non impongono la correzione della decodifica dell'oracolo può essere declassata e potrebbe essere decifrata. Quindi ti metti a rischio. Attualmente anche i server con credSSP aggiornato non rifiutano i client declassati per impostazione predefinita, quindi significherebbe praticamente tutte le sessioni del desktop remoto a rischio, anche se il tuo client è completamente aggiornato su questo problema!
user188737

1
Questa modifica del Registro di sistema NON è consigliata.
spuder
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.