Грешка при RDP удостоверяване. Поправете криптирането на CredSSP

💖 Харесва ли ви?Споделете връзката с приятелите си
0

Тази грешка е свързана с инсталирането на актуализации на CredSSP за CVE-2018–0886. Проблемът се решава чрез инсталиране на актуализацията.

Въведение

Актуализацията е издадена на 13 март 2018 г Защита на WindowsПротокол за удостоверяване на CredSSP, покриващ уязвимостта CVE-2018–0886. Уязвимост в протокола Credential Security Support Provider (CredSSP) позволи дистанционното изпълнение на произволен код на уязвима система.

На 8 май 2018 г. Microsoft промени нивото на защита на връзката от Уязвима на Смекчена и започнаха проблеми при свързването към отдалечения работен плот чрез RDP.

След като въведете вашите идентификационни данни, се появява грешка:

Възникна грешка при удостоверяване.
Посочената функция не се поддържа.
Грешката може да е причинена от корекция на криптирането на CredSSP

Решение 1: Инсталирайте актуализацията за защита на Windows на сървъра.

  • Посетете страницата за уязвимост CVE-2018–0886
  • В секцията Засегнати продукти от колоната Изтегляния изберете подходящия файл, изтеглете и инсталирайте.

Решение 2: Деинсталирайте актуализацията за защита на Windows на клиента.

Решение 3: Редактирайте политиката за сигурност на клиента/сървъра.

Струва си да го използвате, ако не можете да се свържете със сървъра и да инсталирате актуализацията. След инсталиране на актуализацията политиката трябва да се върне в първоначалното си състояние.

Отворете редактора на локални групови правила:

  • Натиснете Win+R
  • Въведете командата gpedit.msc и натиснете Enter

Променете настройките за сигурност:

  • Компютърна конфигурация > Административни шаблони > Система > Делегиране на идентификационни данни
  • Отворете опцията Encryption Oracle Remediation
  • Изберете „Активирано“.
  • Задайте нивото на защита на „Оставете уязвим“ („Уязвим“).

Политиката има 3 опции:

  • Уязвими – клиентите могат да се свързват с уязвими машини.
  • Смекчен – клиентите не могат да се свързват с уязвими сървъри, но сървърите могат да приемат уязвими клиенти.
  • Принудително актуализирани клиенти – безопасно нивовзаимодействия с клиентите.

Ако клиентската машина няма редактор на локални групови правила, промените се правят в системния регистър.

Съдържание на статията:

След 8 май 2018 г. много потребители на операционна система Windows системисрещат проблем, в резултат на който, когато се опитват да влязат в друг компютър с Windows през отдалечен работен плот (или чрез дистанционно приложение), получават следната грешка:

Възникна грешка при удостоверяване.
Посочената функция не се поддържа
Грешката може да е причинена от корекция на криптирането на CredSSP.

Обща информация

Екранна снимка с текст за грешка

В тази статия ще разгледаме 3 начина за отстраняване на тази грешка. Първият метод е най-правилният и е това, което трябва да използвате, ако срещнете този проблем. Вторият и третият метод, въпреки че ви позволяват да премахнете грешката, трябва да се използват само ако не е възможно да инсталирате корекцията.

Метод 1: Инсталирайте актуализация, за да коригирате криптирането на CreedSSP

Причината за тази грешка е, че актуализацията CVE-2018-0886 липсва от страна на сървъра или на компютъра, към който се опитвате да се свържете с помощта на отдалечен работен плот (RDP). За да го премахнете, просто инсталирайте тази актуализация на компютъра, който действа като сървър. Можете да изтеглите актуализацията за необходимата версия на ОС, като използвате връзките по-долу:

Метод 2: Деактивирайте известието за грешка при криптиране на CreedSSP чрез групови правила

Ако е невъзможно да инсталирате актуализации по някаква причина, можете да деактивирате това известие за грешка. За да направите това, на компютъра, който действа като клиент, изпълняваме следните стъпки:

Метод 3: Деактивирайте известието за грешка при криптиране на CreedSSP, като редактирате системния регистър

Ако вашето издание на Windows няма редактор на групови правила (например Windows 10 Home), тогава ще трябва да направите необходимите промени в системния регистър ръчно. За да направите това, на компютъра, който действа като клиент, изпълняваме следните стъпки:

  1. Отворете редактора на системния регистър и отидете на следния път: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
  2. Търся параметър DWORDнаречен AllowEncryptionOracleи задайте стойността 2 . Ако няма такъв параметър, създайте го.
  3. Рестартирайте компютъра

За тези, които не искат да се забъркват с регистъра, просто изпълнете командата по-долу команден редс администраторски права:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

На 13 март Microsoft публикува описание на уязвимостта CVE-2018-0886 в протокола за удостоверяване на CredSSP, който се използва особено при свързване чрез RDP към терминални сървъри. По-късно Microsoft публикува, че ще блокира връзките към необработени сървъри, които имат тази уязвимост. В резултат на това много клиенти са срещнали проблеми при свързване чрез RDP.

По-конкретно, в Windows 7 може да видите грешката: „Възникна грешка при удостоверяване. Посочената функция не се поддържа“
В Windows 10 грешката е описана по-подробно, по-специално се казва „Грешката може да е причинена от поправка на CredSSP криптирането“:


За да заобиколите грешката от страна на клиента, мнозина съветват да деактивирате груповите правила, като зададете стойността Криптиране Oracle Remediation V Уязвим:
като използвате gpedit.msc в Компютърна конфигурация / Административни шаблони / Система / Прехвърляне на идентификационни данни, отляво изберете „Коригиране на уязвимостта на оракула за криптиране“ (забавен превод, разбира се), задайте „Активирано“ в настройките и изберете „Оставяне на уязвимостта“.


или чрез регистъра (тъй като например в Начало на Windowsняма команда gpedit.msc):

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2


НО! Няма нужда да правите това! защото По този начин оставяте уязвимост и рискове от прихващане на вашия трафик и други поверителни данни, включително пароли. Единственият път, когато това може да е необходимо, е когато изобщо нямате друг начин да се свържете с отдалечения сървър освен чрез RDP, за да инсталирате актуализации (въпреки че всеки доставчик на облак трябва да има възможност да се свързва със сървърната конзола). Веднага след инсталирането на актуализациите политиките трябва да бъдат върнати в първоначалното им състояние.

Ако имате достъп до отдалечения сървър, тогава, като временна мярка, можете да деактивирате изискването за NLA (Удостоверяване на ниво мрежа) и сървърът ще спре да използва CredSSP. За да направите това, просто отидете на Системни свойства в раздела отдалечени връзкиПремахнете отметката от съответното квадратче „Разрешаване на връзки само от компютри, работещи с отдалечен работен плот с удостоверяване на ниво мрежа“:

Но това също е грешен подход.

Правилният подход е просто да инсталирате необходими актуализациина операционната система, затваряйки уязвимостта CVE-2018-0886 в CredSSP, както на сървъра, към който се свързвате, така и на клиента, от който се свързвате.

Списък с актуализации за всички операционни системи, като се започне с Windows 7 и Windows сървър 2008 г. достъпен на: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Изберете желаната версия на операционната система, изтеглете подходящата актуализация от каталога, инсталирайте и рестартирайте. След това грешката трябва да изчезне.
Например на Windows Server 2016 връзката за изтегляне ще бъде така:

Собствениците на Windows OS знаят, че разработчикът осигурява задължителна поддръжка за своите операционни системи за определено време. Най-често това е така, защото Microsoft периодично пуска актуализации, които автоматично или ръчен режимпрехвърлени на компютър и инсталирани там.

За съжаление, понякога това води до не най-добрите последици. Да, такива актуализации решават определени проблеми, но понякога създават нови.

Например, инсталирането на пакета KB4103718, според наблюденията на много потребители, води до факта, че опитът за свързване към сървъра с помощта на отдалечения работен плот на RPR не работи, а само предизвиква съобщение на екрана: възникна грешка по време удостоверяване - посочената функция не се поддържа.

Естествено, това не може да устройва човек, който по този начин е лишен от част от функционалността, която му е необходима и е много важна. какво трябва да направя Разбира се - поправи го.

Така че, ако RDP удостоверяването на Windows 7 е неуспешно, тогава повечето просто решениеще има връщане към центъра за актуализиране на операционната система и премахване на наскоро инсталирани пакети. Както показва практиката, това действие е напълно достатъчно, за да се отървете от провала.

Вярно е, че има няколко „но“:

  • Следващият път автоматична актуализациявсичко ще се върне.
  • Ако попречите на Windows да изпълнява такава функционалност, тогава операционна системаможе да се окаже изключително уязвим, тъй като няма да може да получи най-важните защитни разработки от разработчиците.

Затова е необходимо да се търсят алтернативни решения. Опитните потребители, когато бъдат попитани „Възникна грешка при удостоверяване“ - как да я поправите, препоръчват следните действия:

  1. Инсталирайте всички най-важни, най-нови пакети за актуализация не само на вашето оборудване, но и на компютъра и сървъра, към които потребителят планира да се свърже дистанционно чрез този протокол. Това на практика е единственото и пълно решение на този проблем. Всички останали са само временни.
  2. Можете да деактивирате NLA или да предоставите достъп до отдалечен сървър с така наречената несигурна версия на CredSSP.

Как можете да спрете да използвате NLA? Трябва да се следват следните стъпки:

  1. Преминете през контролния панел до всички елементи, след това до системата.
  2. Отворете прозореца „Свойства“ и отидете на раздела „Отдалечен достъп“.
  3. Най-долу можете да видите ред, който започва с думите „Разрешаване на връзки само от компютри...“. Премахнете отметката от квадратчето до него.

След инсталиране на майските актуализации за защита (с дата 8 май 2018 г. на платформи Windows 7/8/10 и сървърни платформи на Windows Server 2008 R2 / 2012 R2 / 2016), потребителите не получават достъп до отдалечената машина чрез RDP и RemoteApp, и възниква следната грешка:

Екранна снимка: Прозорец за грешка на CredSSP след осъществяване на RDP връзка към сървъра от клиентската машина.

В началото на пролетта на 2018 г. Microsoft пусна актуализация, която предотврати отдалечено изпълнение на код, използвайки уязвимост в протокола CredSSP, а през май беше пусната актуализация, след инсталирането на която по подразбиране на клиентските машини е забранено да се свързват с отдалечени RDP сървъри с уязвима версия на протокола CredSSP. Съответно, ако пролетните актуализации са инсталирани на клиенти, но не са инсталирани на сървъри, работещи под Windows Server OS, тогава ще получим грешка при свързване:

„Възникна грешка при удостоверяване. Посочената функция не се поддържа. Грешката може да е причинена от корекция на CredSSP."

Или английската версия:

„Това може да се дължи на коригирането на оракула за криптиране на CredSSP.“

Грешка на RDP клиент се появява след инсталиране на актуализации за защита:

  • Windows 7 / Windows Server 2008 R2 - актуализация KB4103718
  • Windows 8.1 / Windows Server 2012 R2 - актуализация KB4103725
  • Windows 10 1803 - актуализация KB4103721
  • Windows 10 1709 - актуализация KB4103727
  • Windows 10 1703 - актуализация KB4103731
  • Windows 10 1609 - актуализация KB4103723
  • Windows Server 2016 - актуализация KB4103723

За да възстановите връзката, можете просто да деинсталирате горните актуализации, но това действие ще отвори намерената уязвимост, така че планът за действие за решаване на проблема ще бъде както следва:

  1. Временно ще премахнем известието за сигурност, което блокира връзката на компютъра, от който се свързваме чрез RDP;
  2. Нека се свържем с него чрез вече възстановената RDP връзка и инсталираме необходимата корекция за сигурност;
  3. Нека върнем известието за сигурност, което беше временно деактивирано в първата точка от плана за действие.
  • Отворете редактора на локални групови правила: Старт - Изпълнение - gpedit.msc;
  • Отидете в раздела Компютърна конфигурация - Административни шаблони - Система - Делегиране на пълномощия - Английски;
  • Намираме политика, наречена Encryption Oracle Remediation. Активирайте правилото Enabled и изберете Leave Vulnerable като опция в падащия списък;

Екранна снимка: Активиране на GPO опция - Коригиране на уязвимостта на Oracle за шифроване
  • Остава само да актуализирате политиките на компютъра (за да направите това, отворете Cmd и използвайте командата gpupdate/force) и опитайте да се свържете чрез RDP. Когато правилото е активирано, клиентските приложения, които поддържат CredSSP, ще могат да се свързват дори към необработени сървъри за отдалечен работен плот.

Ако това домашен компютърАко имате съкратена версия на Windows и нямате достъп до конзолата за локална групова политика, няма значение, ще използваме редактора на системния регистър (Regedit). Нека го стартираме и следваме пътя:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

и задайте стойността на параметъра AllowEncryptionOracle на 2 (0x00000002).

След това трябва да изтеглите и инсталирате актуализации за защита, подходящи за вашата система (публикувам директни връзки към актуализации за Windows Server за ваше удобство, които силно препоръчвам да инсталирате):

  • Windows Server 2016 / Windows 10 1607 - KB4103723
  • Windows Server 2012 R2 / Windows 8 -
Кажете на приятели
Twitter
С появата...
Следваща статия
Прочетете също
Как да прехвърляте данни от iPhone към компютър чрез USB кабел
Как да прехвърляте данни от iPhone към компютър чрез USB кабел
2024-01-31 08:58:56
Какво да направите, ако получите грешка „Лицензионното споразумение не може да бъде намерено“ при инсталиране на Windows
Какво да направите, ако получите грешка „Лицензионното споразумение не може да бъде намерено“ при инсталиране на Windows
2024-01-30 07:30:31
Какво трябва да направя, ако няма сигнал на монитора, когато включа компютъра?
Какво трябва да направя, ако няма сигнал на монитора, когато включа компютъра?
2024-01-29 06:40:47
Методи за защита срещу неоторизиран достъп
Методи за защита срещу неоторизиран достъп
2024-01-28 07:36:03