Errore di connessione desktop remoto dopo l'aggiornamento di Windows 2018/05/08 - Aggiornamenti CredSSP per CVE-2018-0886


90

Dopo Windows Update, ottengo questo errore quando provo a connettermi a un server tramite Connessione desktop remoto.

Quando leggi il link fornito dal messaggio di errore, sembra a causa di un aggiornamento al 2018/05/08:

8 maggio 2018

Un aggiornamento per modificare l'impostazione predefinita da Vulnerable a Mitigated.

I numeri di Microsoft Knowledge Base correlati sono elencati in CVE-2018-0886.

C'è una soluzione per questo?

Errore RDC


1
(Meta: gli aggiornamenti vanno alla fine dei post, per assicurarsi che siano ancora comprensibili per i nuovi lettori e le risposte vanno nello spazio delle risposte, non unite in domande. Grazie).
Halfer

Risposte:


21

(Ha pubblicato una risposta per conto dell'autore della domanda) .

Come in alcune risposte, la soluzione migliore per questo errore è aggiornare sia il server che i client alla versione> = l'aggiornamento 2018-05-08 da Microsoft.

Se non è possibile aggiornarli entrambi (ovvero è possibile aggiornare solo client o server), è possibile applicare una delle soluzioni alternative dalle risposte seguenti e modificare la configurazione al più presto in modo da ridurre al minimo la durata della vulnerabilità introdotta dalla soluzione alternativa.


Questo è uno di quei rari casi in cui la risposta accettata è anche la risposta migliore. Altre risposte ti lasciano vulnerabile a CVE-2018-0886: "Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota nelle versioni senza patch di CredSSP. Un utente malintenzionato che sfrutta con successo questa vulnerabilità può inoltrare le credenziali dell'utente per eseguire il codice sul sistema di destinazione . Qualsiasi applicazione che dipende da CredSSP per l'autenticazione potrebbe essere vulnerabile a questo tipo di attacco. "
Braiam,

Abbiamo trovato una soluzione pratica e non invasiva: siamo stati in grado di eseguire il RDP utilizzando uno dei nostri server come jump box
OutstandingBill

Hai idea di quanto sia grave la vulnerabilità se sia il client che il server si trovano nella stessa rete locale e sono esposti a Internet solo dietro un router senza porte aperte?
Kevkong,

@Kevkong: questa è una risposta wiki che ho pubblicato per l'autore della domanda. Se lo desideri, puoi eseguirne il ping sotto la domanda.
Halfer

Ciao @Peter: grazie per le tue modifiche. Principalmente d'accordo con loro, ma la meta-introduzione è necessaria all'IMO per rispettare le regole di licenza di attribuzione. Ne ho diverse centinaia su Stack Overflow, e la visione di Meta è che non solo questo deve rimanere, ma alcune persone pensano che sia insufficiente e che l'OP debba essere nominato. Quella vista sull'altare non ha ottenuto molta trazione, ma mostra l'ampiezza dell'opinione su come l'attribuzione sia raggiunta meglio. Ma, fondamentalmente, non possiamo cancellare la paternità. Questo può essere ripristinato per favore?
halfer

90

Metodo alternativo a gpedit usando cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

4
Salvavita. Per coloro che utilizzano Windows 10 Home, questo dovrebbe funzionare perfettamente. Ricorda di eseguire cmd come amministratore.

1
Questo comando funziona su Windows 8. Grazie
Jairath

1
In realtà il problema era che gli aggiornamenti erano ancora installati sul server, quindi non era possibile alcuna connessione. Ho appena aspettato e ha funzionato. serverfault.com/questions/387593/…
tobiak777

1
@pghcpa Ignoralo, il comando crea i nodi di registro mancanti e inserisce il parametro per te. Questo è davvero salvavita se non è possibile aggiornare il server con la patch di sicurezza che ha causato questo problema.
Gergely Lukacsy,

1
non so perché, ma funziona Grazie
dian

39

Ho trovato una soluzione. Come descritto nel collegamento della guida , ho provato a ripristinare dall'aggiornamento 2018/05/08 modificando il valore di questo criterio di gruppo:

  • Esegui gpedit.msc

  • Configurazione computer -> Modelli amministrativi -> Sistema -> Delega credenziali -> Crittografia Oracle Remediation

Modificalo su Abilita e in Livello di protezione, torna su Vulnerabile .

Non sono sicuro che possa annullare qualsiasi rischio che un utente malintenzionato sfrutti la mia connessione. Spero che Microsoft risolverà presto questo problema in modo da poter ripristinare le impostazioni su Mitigated .

Inserisci qui la descrizione dell'immagine


Il mio sistema non ha quell'opzione per "Crittografia Oracle Remediation", è un server Windows 2012. Sembra che abbia applicato l'aggiornamento di sicurezza 5/8.

4
Quello che ho scoperto è che per noi il cliente era il "problema". I server non avevano gli ultimi aggiornamenti. I client avevano l'ultimo aggiornamento in modo che non funzionassero. Una volta aggiornato il server, tutto ha funzionato.

Per coloro che non sono sicuri da dove iniziare, esegui "gpedit.msc", quindi segui le istruzioni sopra.
Glen Little,

Questo non funziona sul mio sistema Windows 10. L'aggiornamento manuale della chiave del Registro di sistema CredSSP mi consente di connettermi, cosa che intendo fare solo per il tempo necessario per applicare la patch allo standard corrente.
Tom W

12

Un altro modo è installare il client Microsoft Remote Desktop da MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps


2
Grazie, spero che un giorno avrà il file copia / incolla invece di condividere la cartella. Hanno solo appunti condivisi per copiare / incollare testo
Pham X. Bach

Nel client RDP di Windows App Store mancano così tante funzionalità di personalizzazione e integrazione integrate mstsc.exeche è difficile prendere sul serio. Dal punto di vista della sicurezza, non ti consente nemmeno di visualizzare il certificato utilizzato per le connessioni protette (l'ultima volta che ho verificato), manca anche il supporto per smart card, spanning su più monitor, reindirizzamento delle unità e altro. La tabella comparativa di Microsoft rivela quanto sia anemica: docs.microsoft.com/en-us/windows-server/remote/…
Dai,

6

Questo problema si verifica solo nella mia macchina virtuale Hyper-V e il remoting su macchine fisiche è OK.

Vai su Questo PC → Impostazioni di sistema → Impostazioni di sistema avanzate sul server e poi l'ho risolto deselezionando la VM di destinazione "consenti connessioni solo da computer che eseguono Desktop remoto con autenticazione a livello di rete (consigliato)".

Deseleziona questo


Dannazione. Ho abilitato quell'opzione, me ne sono dimenticato, e 2 ore dopo mi sono reso conto che era il problema. 😩
Shafiq al-Shaar

3

A seguito della risposta di ac19501 ho creato due file di registro per semplificare questo:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

2

Aggiornamento sull'esempio dell'oggetto Criteri di gruppo sulla schermata di stampa.

In base alla risposta "reg add" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Stampa schermo

Percorso chiave: Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters
Nome valore: AllowEncryptionOracle
Dati valore: 2


2

Mi sono imbattuto negli stessi problemi. La soluzione migliore sarebbe aggiornare la macchina a cui ci si sta connettendo invece di utilizzare la risposta di Pham X Bach per abbassare il livello di sicurezza.

Tuttavia, se non è possibile aggiornare la macchina per qualche motivo, la sua soluzione alternativa funziona.


Ci scusiamo per l'incomprensione della tua risposta. Sì, la soluzione migliore dovrebbe essere l'aggiornamento del server e tutti i client alla versione> = l'aggiornamento 2018/05/08 da MS
Pham X. Bach


1

Devi aggiornare il tuo Windows Server utilizzando Windows Update. Verranno installate tutte le patch richieste. Quindi è possibile connettersi nuovamente al server tramite Desktop remoto.

Devi installare kb4103725

Maggiori informazioni su: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


Per quei ragazzi che hanno perso l'accesso al loro server remoto, posso ancora accedere ai miei server con Desktop remoto per Android. Quindi è possibile installare patch e risolvere il problema con le connessioni Desktop remoto dai client Windows.

1

Per i server, possiamo anche modificare l'impostazione tramite Remote PowerShell (supponendo che WinRM sia abilitato, ecc ...)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Ora, se questa impostazione è gestita da un oggetto Criteri di gruppo di dominio, è possibile che venga ripristinata, quindi è necessario controllare gli oggetti Criteri di gruppo. Ma per una soluzione rapida, funziona.

Riferimento: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell


1

Un'altra opzione se hai accesso alla riga di comando (abbiamo un server SSH in esecuzione sulla scatola) è eseguire "sconfig.cmd" dalla riga di comando. Ottieni un menu come di seguito:

Inserisci qui la descrizione dell'immagine

Scegli l'opzione 7 e attivala per tutti i client, non solo per la sicurezza.

Una volta fatto, puoi accedere al desktop remoto. A quanto pare, il problema è che i nostri sistemi client sono stati aggiornati per la nuova sicurezza, ma i nostri server box erano in ritardo sugli aggiornamenti. Suggerirei di ottenere gli aggiornamenti e di riattivare questa impostazione di sicurezza.


1

Disinstallare:

  • Per Windows 7 e 8.1: KB4103718 e / o KB4093114 
  • Per Windows 10: server KB4103721 e / o KB4103727 senza aggiornamenti 

Questo aggiornamento contiene una patch per la vulnerabilità CVE-2018-0886. Su un server senza patch li lascia entrare senza di loro.


2
Benvenuto in Super User! Puoi spiegare perché ti aiuterà a disinstallare questi KB?
bertieb,

perché questo aggiornamento contiene patch per la vulnerabilità CVE-2018-0886, su un server non patch lascia che
entrino
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.