RDP autentimise viga. Parandage CredSSP krüpteering

💖 Kas sulle meeldib? Jaga linki oma sõpradega
0

See tõrge on seotud CredSSP värskenduste installimisega CVE-2018–0886 jaoks. Probleem lahendatakse värskenduse installimisega.

Sissejuhatus

Värskendus avaldati 13. märtsil 2018 Windowsi turvalisus CredSSP autentimisprotokoll, mis katab haavatavuse CVE-2018–0886. Mandaadi turvatoe pakkuja protokolli (CredSSP) haavatavus võimaldas haavatavas süsteemis suvalise koodi kaugkäivitamist.

8. mail 2018 muutis Microsoft ühenduse turbetaseme haavatavast leevenduseks ja tekkisid probleemid kaugtöölauaga ühenduse loomisel RDP kaudu.

Pärast mandaadi sisestamist kuvatakse tõrge:

Ilmnes autentimisviga.
Määratud funktsiooni ei toetata.
Vea võib põhjustada CredSSP krüptimise parandus

Lahendus 1. Installige serverisse Windowsi turbevärskendus.

  • Külastage CVE-2018-0886 haavatavuse lehte
  • Valige jaotises Mõjutatud tooted veerust Allalaadimised sobiv fail, laadige alla ja installige.

Lahendus 2. Desinstallige Windowsi turbevärskendus kliendist.

Lahendus 3: muutke kliendi/serveri turbepoliitikat.

Seda tasub kasutada, kui ei saa serveriga ühendust ja värskendust installida. Pärast värskenduse installimist tuleb poliitika taastada algsesse olekusse.

Avage kohaliku rühmapoliitika redaktor:

  • Vajutage Win + R
  • Tippige käsk gpedit.msc ja vajutage sisestusklahvi

Turvaseadete muutmine:

  • Arvuti konfiguratsioon > Haldusmallid > Süsteem > Mandaatide delegeerimine
  • Avage suvand Encryption Oracle Remediation
  • Valige "Lubatud".
  • Määrake kaitsetasemeks "Jäta haavatavaks" ("Haavatu").

Poliisil on 3 võimalust:

  • Haavatuv – kliendid saavad haavatavate masinatega ühenduse luua.
  • Leevendatud – kliendid ei saa haavatavate serveritega ühendust luua, kuid serverid võivad haavatavaid kliente vastu võtta.
  • Värskendatud kliendid – ohutu tase klientide suhtlemine.

Kui klientmasinal pole kohaliku rühmapoliitika redaktorit, tehakse muudatused registris.

Artikli sisu:

Pärast 8. maid 2018 paljud operatsioonisüsteemi kasutajad Windowsi süsteemid tekkis probleem, mille tagajärjel kuvatakse kaugtöölaua (või kaugrakenduse) kaudu teise Windowsi arvutisse sisselogimisel järgmine tõrketeade:

Ilmnes autentimisviga.
Määratud funktsiooni ei toetata
Vea võib põhjustada CredSSP krüptimise parandus.

Üldine teave

Ekraanipilt veatekstiga

Selles artiklis vaatleme 3 viisi selle vea parandamiseks. Esimene meetod on kõige õigem ja see on see, mida peaksite selle probleemi ilmnemisel kasutama. Teist ja kolmandat meetodit, kuigi need võimaldavad teil vea eemaldada, tuleks kasutada ainult siis, kui plaastrit pole võimalik installida.

1. meetod: installige CreedSSP krüptimise parandamiseks värskendus

Selle tõrke põhjuseks on värskendus CVE-2018-0886 puudu serveri poolel või arvutis, millega proovite kaugtöölaua (RDP) abil ühendust luua. Selle kõrvaldamiseks installige see värskendus serverina toimivasse arvutisse. Nõutava OS-i versiooni värskenduse saate alla laadida, kasutades allolevaid linke:

2. meetod: keelake CreedSSP krüptimisvea teavitus rühmapoliitika kaudu

Kui värskendusi pole mingil põhjusel võimalik installida, saate selle veateate keelata. Selleks teostame kliendina toimivas arvutis järgmised toimingud:

3. meetod: registrit redigeerides keelake CreedSSP krüptimise veateade

Kui teie Windowsi väljaandel pole rühmapoliitika redaktorit (näiteks Windows 10 Home), peate registris vajalikud muudatused käsitsi tegema. Selleks teostame kliendina toimivas arvutis järgmised toimingud:

  1. Avage registriredaktor ja minge järgmisele teele: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
  2. Otsitakse parameetrit DWORD helistas Luba krüptimineOracle ja määrake väärtus 2 . Kui sellist parameetrit pole, looge see.
  3. Taaskäivitage arvuti

Neile, kes ei soovi registriga jamada, käivitage lihtsalt allolev käsk käsurida administraatori õigustega:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

13. märtsil avaldas Microsoft CredSSP autentimisprotokolli haavatavuse CVE-2018-0886 kirjelduse, mida kasutatakse eelkõige RDP kaudu terminaliserveritega ühenduse loomisel. Microsoft avaldas hiljem, et blokeerib ühendused paigatamata serveritega, millel on see haavatavus. Seetõttu on paljudel klientidel probleeme RDP kaudu ühenduse loomisel.

Täpsemalt, operatsioonisüsteemis Windows 7 võite näha tõrget: "Tekkis autentimise viga. Määratud funktsiooni ei toetata"
Operatsioonisüsteemis Windows 10 kirjeldatakse tõrget üksikasjalikumalt, eriti öeldakse: "Vea võib põhjustada CredSSP krüptimise parandus":


Kliendipoolsest veast kõrvalehoidmiseks soovitavad paljud rühmapoliitika keelata, määrates väärtuse Krüpteerimine Oracle Remediation V Haavatav:
kasutades gpedit.msc jaotises Arvuti konfiguratsioon / Haldusmallid / Süsteem / Mandaatide edastamine, valige vasakul "Krüpteerimisoraakli haavatavuse parandamine" (muidugi naljakas tõlge), määrake seadetes "Lubatud" ja valige "Jäta haavatavus".


või registri kaudu (kuna näiteks in Windows Home käsk gpedit.msc puudub):

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2


AGA! Seda pole vaja teha! Sest Seega jätate oma liikluse ja muude konfidentsiaalsete andmete, sealhulgas paroolide, pealtkuulamise haavatavuse ja riski. Ainus kord, kui see võib olla vajalik, on siis, kui teil pole värskenduste installimiseks muud võimalust kaugserveriga ühenduse loomiseks peale RDP kaudu (kuigi igal pilveteenuse pakkujal peaks olema võimalus serverikonsooliga ühendust luua). Kohe pärast värskenduste installimist tuleb poliitikad taastada algsesse olekusse.

Kui teil on juurdepääs kaugserverile, saate ajutise meetmena keelata NLA (võrgutaseme autentimise) nõude ja server lõpetab CredSSP kasutamise. Selleks minge vahekaardile Süsteemi atribuudid kaugühendused Tühjendage vastav ruut "Luba ühendused ainult võrgutaseme autentimisega kaugtöölauaga arvutitest":

Kuid see on ka vale lähenemine.

Õige lähenemisviis on lihtsalt installimine vajalikke uuendusi operatsioonisüsteemis, sulgedes CredSSP haavatavuse CVE-2018-0886, nii serveris, millega ühenduse loote, kui ka kliendis, millega ühenduse loote.

Kõigi operatsioonisüsteemide värskenduste loend, alustades Windows 7 ja Windows Server 2008 on saadaval aadressil: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Valige soovitud operatsioonisüsteemi versioon, laadige kataloogist alla sobiv värskendus, installige ja taaskäivitage. Pärast seda peaks viga kaduma.
Näiteks operatsioonisüsteemis Windows Server 2016 on allalaadimislink järgmine:

Windows OS-i omanikud teavad, et arendaja pakub oma operatsioonisüsteemidele teatud aja jooksul kohustuslikku tuge. Enamasti on põhjuseks see, et Microsoft annab perioodiliselt välja värskendusi, mis kas automaatselt või käsitsi režiim arvutisse üle kantud ja sinna installitud.

Kahjuks viib see mõnikord mitte parimate tagajärgedeni. Jah, sellised värskendused lahendavad teatud probleeme, kuid mõnikord loovad need uusi.

Näiteks paketi KB4103718 installimine viib paljude kasutajate tähelepanekute kohaselt selleni, et RPR-kaugtöölaua abil serveriga ühenduse loomise katse ei tööta, vaid põhjustab ekraanile ainult teate: ajal ilmnes tõrge. autentimine – määratud funktsiooni ei toetata.

Loomulikult ei saa see sobida inimesele, kes jääb seega ilma osast vajalikust ja väga olulisest funktsionaalsusest. Mida ma peaksin tegema? Muidugi – paranda.

Seega, kui Windows 7 RDP autentimine ebaõnnestus, siis enamik lihtne lahendus naastakse operatsioonisüsteemi värskenduskeskusesse ja eemaldatakse hiljuti installitud paketid. Nagu näitab praktika, piisab sellest toimingust ebaõnnestumisest vabanemiseks.

Tõsi, seal on mitu "aga":

  • Järgmine kord automaatne värskendus kõik tuleb tagasi.
  • Kui takistate Windowsil sellist funktsiooni käivitamast, siis operatsioonisüsteemi võib osutuda äärmiselt haavatavaks, kuna see ei saa arendajatelt vastu võtta kõige olulisemaid kaitsearendusi.

Seetõttu on vaja otsida alternatiivseid lahendusi. Kogenud kasutajad, kui neilt küsitakse "Tekkis autentimisviga" - kuidas seda parandada, soovitage järgmisi toiminguid:

  1. Installige kõik olulisemad, uusimad värskenduspaketid mitte ainult oma seadmesse, vaid ka arvutisse ja serverisse, millega kasutaja kavatseb selle protokolli kaudu kaugühenduse luua. See on praktiliselt ainus ja täielik lahendus sellele probleemile. Kõik teised on ainult ajutised.
  2. NLA saate deaktiveerida või võimaldada juurdepääsu kaugserverile CredSSP nn ebaturvalise versiooniga.

Kuidas saate NLA kasutamise lõpetada? Järgida tuleb järgmisi samme:

  1. Minge juhtpaneeli kaudu kõikide elementide juurde ja seejärel süsteemi juurde.
  2. Avage aken "Atribuudid" ja minge vahekaardile "Kaugjuurdepääs".
  3. Päris allosas näete rida, mis algab sõnadega "Luba ühendused ainult arvutitest...". Tühjendage selle kõrval olev ruut.

Pärast maikuu turbevärskenduste installimist (kuupäev 8. mai 2018 Windows 7/8/10 platvormidel ja serveriplatvormidel Windows Server 2008 R2 / 2012 R2 / 2016) ei pääse kasutajad RDP ja RemoteAppi kaudu kaugmasinale juurde ning ilmneb järgmine viga:

Ekraanipilt: CredSSP tõrkeaken pärast RDP-ühenduse loomist serveriga klientmasinast.

2018. aasta varakevadel andis Microsoft välja värskenduse, mis takistas CredSSP-protokolli haavatavust kasutades koodi kaugkäivitamist, ja mais ilmus pärast installimist värskendus, mille vaikimisi on kliendi masinatel keelatud ühenduda kaug-RDP-serveritega, millel on haavatav versioon. CredSSP protokoll. Seega, kui kevadised värskendused on installitud klientidele, kuid pole installitud Windows Server OS-i kasutavatesse serveritesse, saame ühenduse loomisel veateate:

"Tekkis autentimisviga. Määratud funktsiooni ei toetata. Vea võib põhjustada CredSSP parandus."

Või ingliskeelne versioon:

"Selle põhjuseks võib olla CredSSP krüptimise oraakli parandamine."

Pärast turbevärskenduste installimist ilmub RDP kliendi tõrge:

  • Windows 7 / Windows Server 2008 R2 – värskendus KB4103718
  • Windows 8.1 / Windows Server 2012 R2 – värskendus KB4103725
  • Windows 10 1803 – värskendus KB4103721
  • Windows 10 1709 – värskendus KB4103727
  • Windows 10 1703 – värskendus KB4103731
  • Windows 10 1609 – värskendus KB4103723
  • Windows Server 2016 – värskendus KB4103723

Ühenduse taastamiseks võite ülaltoodud värskendused lihtsalt desinstallida, kuid see toiming avab leitud haavatavuse, seega on probleemi lahendamise tegevuskava järgmine:

  1. Eemaldame ajutiselt turvateatise, mis blokeerib ühenduse arvutis, millest RDP kaudu ühendume;
  2. Loome sellega ühenduse juba taastatud RDP ühenduse kaudu ja paigaldame vajaliku turvapaiga;
  3. Pöörame tagasi turvateatise, mis tegevuskava esimeses punktis ajutiselt keelatud oli.
  • Avage kohalik rühmapoliitika redaktor: Start - Run - gpedit.msc;
  • Minge jaotisse Arvuti konfiguratsioon - Haldusmallid - Süsteem - Mandaatide delegeerimine - Inglise keel;
  • Leiame poliitika nimega Encryption Oracle Remediation. Lubage poliitika Lubatud ja valige ripploendis valikuna Jäta haavatavaks;

Ekraanipilt: GPO valiku lubamine – Oracle'i krüpteerimise haavatavuse parandamine
  • Jääb üle vaid värskendada arvutis poliitikaid (selleks avada Cmd ja kasutada käsku gpupdate/force) ja proovida RDP kaudu ühendust luua. Kui reegel on lubatud, saavad CredSSP-d toetavad klientrakendused luua ühenduse isegi paigatamata kaugtöölaua serveritega.

Kui see koduarvuti Kui teil on Windowsi tühjendatud versioon ja teil pole juurdepääsu kohaliku rühmapoliitika konsoolile, pole see oluline, me kasutame registriredaktorit (Regedit). Käivitame selle ja järgime teed:

HKLM\TARKVARA\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

ja määrake parameetri AllowEncryptionOracle väärtuseks 2 (0x00000002).

Seejärel peate alla laadima ja installima oma süsteemile sobivad turvavärskendused (avaldan teie mugavuse huvides otselingid Windows Serveri värskendustele, mida soovitan tungivalt installida):

  • Windows Server 2016 / Windows 10 1607 – KB4103723
  • Windows Server 2012 R2 / Windows 8 –
Räägi sõpradele
Twitter
Advendiga...
Järgmine artikkel
Loe ka
Kuidas edastada andmeid iPhone'ist arvutisse USB-kaabli kaudu
Kuidas edastada andmeid iPhone'ist arvutisse USB-kaabli kaudu
2024-01-31 08:58:56
Mida teha, kui Windowsi installimisel kuvatakse tõrketeade
Mida teha, kui Windowsi installimisel kuvatakse tõrketeade "Litsentsilepingut ei leitud".
2024-01-30 07:30:31
Mida peaksin tegema, kui arvuti sisselülitamisel monitoril pole signaali?
Mida peaksin tegema, kui arvuti sisselülitamisel monitoril pole signaali?
2024-01-29 06:40:47
Volitamata juurdepääsu eest kaitsmise meetodid
Volitamata juurdepääsu eest kaitsmise meetodid
2024-01-28 07:36:03