Gabim vërtetimi i RDP. Rregulloni kriptimin CredSSP

💖 A ju pelqen? Ndani lidhjen me miqtë tuaj
0

Ky gabim lidhet me instalimin e përditësimeve të CredSSP për CVE-2018–0886. Problemi zgjidhet duke instaluar përditësimin.

Hyrje

Përditësimi u lëshua më 13 mars 2018 Siguria e Windows Protokolli i vërtetimit CredSSP që mbulon cenueshmërinë CVE-2018–0886. Një cenueshmëri në protokollin e ofruesit të mbështetjes së sigurisë së kredencialeve (CredSSP) lejoi ekzekutimin në distancë të kodit arbitrar në një sistem të cenueshëm.

Më 8 maj 2018, Microsoft ndryshoi nivelin e sigurisë së lidhjes nga Vulnerable në Zbutur dhe filluan problemet me lidhjen me desktopin në distancë nëpërmjet RDP.

Pasi të keni futur kredencialet tuaja, shfaqet një gabim:

Ndodhi një gabim vërtetimi.
Funksioni i specifikuar nuk mbështetet.
Gabimi mund të shkaktohet nga një rregullim i kriptimit CredSSP

Zgjidhja 1: Instaloni përditësimin e sigurisë së Windows në server.

  • Vizitoni faqen e cenueshmërisë CVE-2018–0886
  • Në seksionin Produktet e prekura nga kolona Shkarkimet, zgjidhni skedarin e duhur, shkarkoni dhe instaloni.

Zgjidhja 2: Çinstaloni përditësimin e sigurisë së Windows në klient.

Zgjidhja 3: Ndryshoni politikën e sigurisë në klient/server.

Vlen të përdoret nëse nuk mund të lidheni me serverin dhe të instaloni përditësimin. Pas instalimit të përditësimit, politika duhet të kthehet në gjendjen e saj origjinale.

Hapni Redaktorin e Politikave të Grupit Lokal:

  • Shtypni Win + R
  • Shkruani komandën gpedit.msc dhe shtypni Enter

Ndryshoni cilësimet e sigurisë:

  • Konfigurimi i kompjuterit > Modelet administrative > Sistemi > Delegimi i kredencialeve
  • Hapni opsionin Encryption Oracle Remediation
  • Zgjidhni "Aktivizuar".
  • Vendosni nivelin e mbrojtjes në "Leave vulnerable" ("Vulnerable").

Politika ka 3 opsione:

  • E cenueshme – klientët mund të lidhen me makinat e cenueshme.
  • Zbutur—Klientët nuk mund të lidhen me serverë të cenueshëm, por serverët mund të pranojnë klientë të cenueshëm.
  • Forconi klientët e përditësuar – nivel të sigurt ndërveprimet me klientët.

Nëse makina e klientit nuk ka një Redaktues të Politikave të Grupit Lokal, ndryshimet bëhen në regjistër.

Përmbajtja e artikullit:

Pas 8 majit 2018, shumë përdorues të sistemit operativ Sistemet Windows hasën një problem si rezultat i të cilit, kur përpiqen të identifikohen në një kompjuter tjetër Windows përmes desktopit të largët (ose duke përdorur aplikacionin në distancë), ata marrin gabimin e mëposhtëm:

Ndodhi një gabim vërtetimi.
Funksioni i specifikuar nuk mbështetet
Gabimi mund të shkaktohet nga një rregullim i kriptimit CredSSP.

Informacione të përgjithshme

Pamja e ekranit me tekst gabimi

Në këtë artikull do të shqyrtojmë 3 mënyra për të rregulluar këtë gabim. Metoda e parë është më e sakta dhe është ajo që duhet të përdorni nëse hasni këtë problem. Metodat e dyta dhe të treta, megjithëse ju lejojnë të hiqni gabimin, duhet të përdoren vetëm nëse nuk është e mundur të instaloni patch.

Metoda 1: Instaloni një përditësim për të rregulluar kriptimin CreedSSP

Shkaku i këtij gabimi është se përditësimi CVE-2018-0886 mungon në anën e serverit ose në kompjuterin me të cilin po përpiqeni të lidheni duke përdorur Remote Desktop (RDP). Për ta eliminuar atë, thjesht instaloni këtë përditësim në kompjuterin që vepron si server. Ju mund të shkarkoni përditësimin për versionin e kërkuar të OS duke përdorur lidhjet e mëposhtme:

Metoda 2: Çaktivizo njoftimin e gabimit të kriptimit të CreedSSP përmes Politikës së Grupit

Nëse është e pamundur të instaloni përditësime për ndonjë arsye, mund ta çaktivizoni këtë njoftim gabimi. Për ta bërë këtë, në kompjuterin që vepron si klient, ne kryejmë hapat e mëposhtëm:

Metoda 3: Çaktivizo njoftimin e gabimit të kriptimit të CreedSSP duke redaktuar regjistrin

Nëse edicioni juaj i Windows nuk ka një Redaktues të Politikave të Grupit (për shembull, Windows 10 Home), atëherë do t'ju duhet të bëni ndryshimet e nevojshme në regjistër me dorë. Për ta bërë këtë, në kompjuterin që vepron si klient, ne kryejmë hapat e mëposhtëm:

  1. Hapni redaktorin e regjistrit dhe shkoni në shtegun e mëposhtëm: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
  2. Duke kërkuar për një parametër DWORD thirrur AllowEncryptionOracle, dhe vendosni vlerën 2 . Nëse nuk ka një parametër të tillë, atëherë krijoni atë.
  3. Rinisni kompjuterin

Për ata që nuk duan të ngatërrohen me regjistrin, thjesht ekzekutoni komandën më poshtë rreshti i komandës me të drejtat e administratorit:

REG SHTO HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Më 13 mars, Microsoft publikoi një përshkrim të cenueshmërisë CVE-2018-0886 në protokollin e vërtetimit CredSSP, i cili përdoret veçanërisht kur lidhet nëpërmjet RDP me serverët e terminalit. Microsoft më vonë publikoi se do të bllokonte lidhjet me serverët e papatchuar që kanë këtë dobësi. Si rezultat, shumë klientë kanë hasur probleme në lidhjen përmes RDP.

Konkretisht, në Windows 7 mund të shihni gabimin: "Ndodhi një gabim vërtetimi. Funksioni i specifikuar nuk mbështetet"
Në Windows 10, gabimi përshkruhet më në detaje, në veçanti thotë "Gabimi mund të shkaktohet nga një rregullim i kriptimit CredSSP":


Për të anashkaluar gabimin në anën e klientit, shumë këshillojnë çaktivizimin e Politikës së Grupit duke vendosur vlerën Kriptimi Oracle Remediation V E cenueshme:
duke përdorur gpedit.msc në Konfigurimi i Kompjuterit / Modelet Administrative / Sistemi / Transferimi i kredencialeve, në të majtë zgjidhni "Fiksimi i cenueshmërisë së orakullit të enkriptimit" (përkthim qesharak, natyrisht), vendosni "Enabled" në cilësimet dhe zgjidhni "Leave vulnerability".


ose përmes regjistrit (pasi, për shembull, në Windows Home asnjë komandë gpedit.msc):

REG SHTO HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2


POR! Nuk ka nevojë ta bëni këtë! Sepse Kështu, ju lini dobësi dhe rreziqe të përgjimit të trafikut tuaj dhe të dhënave të tjera konfidenciale, duke përfshirë fjalëkalimet. E vetmja herë që kjo mund të jetë e nevojshme është kur nuk keni asnjë mënyrë tjetër për t'u lidhur me serverin në distancë përveçse nëpërmjet RDP për të instaluar përditësime (megjithëse çdo ofrues i resë kompjuterike duhet të ketë aftësinë për t'u lidhur me tastierën e serverit). Menjëherë pas instalimit të përditësimeve, politikat duhet të kthehen në gjendjen e tyre origjinale.

Nëse keni akses në serverin në distancë, atëherë, si masë e përkohshme, mund të çaktivizoni kërkesën NLA (Vërtetimi i nivelit të rrjetit) dhe serveri do të ndalojë përdorimin e CredSSP. Për ta bërë këtë, thjesht shkoni te Karakteristikat e Sistemit, në skedën lidhjet në distancë Hiq zgjedhjen e kutisë përkatëse "Lejo lidhjet vetëm nga kompjuterët që përdorin Desktop në distancë me vërtetim të nivelit të rrjetit":

Por kjo është gjithashtu një qasje e gabuar.

Qasja e duhur është thjesht instalimi përditësimet e nevojshme në sistemin operativ, duke mbyllur cenueshmërinë CVE-2018-0886 në CredSSP, si ai i serverit me të cilin po lidheni, ashtu edhe ai i klientit nga i cili po lidheni.

Lista e përditësimeve për të gjitha sistemet operative, duke filluar me Windows 7 dhe Windows Server 2008 në dispozicion në: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Zgjidhni versionin e dëshiruar të sistemit operativ, shkarkoni përditësimin e duhur nga katalogu, instaloni dhe rindizni. Pas kësaj, gabimi duhet të zhduket.
Për shembull, në Windows Server 2016 lidhja e shkarkimit do të jetë si kjo:

Pronarët e Windows OS e dinë që zhvilluesi ofron mbështetje të detyrueshme për sistemet e tij operative për një kohë të caktuar. Më shpesh kjo ndodh sepse Microsoft lëshon periodikisht përditësime që ose automatikisht ose modaliteti manual transferuar në një kompjuter dhe instaluar atje.

Fatkeqësisht, ndonjëherë kjo çon në pasojat jo më të mira. Po, përditësime të tilla zgjidhin probleme të caktuara, por ndonjëherë ato krijojnë të reja.

Për shembull, instalimi i paketës KB4103718, sipas vëzhgimeve të shumë përdoruesve, çon në faktin se një përpjekje për t'u lidhur me serverin duke përdorur desktopin e largët RPR nuk funksionon, por shkakton vetëm një mesazh në ekran: ka ndodhur një gabim gjatë vërtetimi - funksioni i specifikuar nuk mbështetet.

Natyrisht, kjo nuk mund t'i përshtatet një personi, i cili kështu është i privuar nga disa funksione që i nevojiten dhe është shumë i rëndësishëm. Çfarë duhet të bëj? Sigurisht - rregullojeni.

Pra, nëse vërtetimi i Windows 7 RDP dështoi, atëherë shumica zgjidhje e thjeshtë do të ketë një kthim në qendrën e përditësimit të sistemit operativ dhe heqjen e paketave të instaluara së fundi. Siç tregon praktika, ky veprim është mjaft i mjaftueshëm për të hequr qafe dështimin.

Vërtetë, ka disa "por":

  • Herën tjetër përditësim automatik gjithçka do të kthehet.
  • Nëse e pengoni Windows nga ekzekutimi i një funksioni të tillë, atëherë sistemi operativ mund të rezultojë jashtëzakonisht i prekshëm, pasi nuk do të jetë në gjendje të marrë zhvillimet më të rëndësishme mbrojtëse nga zhvilluesit.

Prandaj, është e nevojshme të kërkohen zgjidhje alternative. Përdoruesit me përvojë, kur u pyetën "Ndodhi një gabim vërtetimi" - si ta rregulloni atë, rekomandoni veprimet e mëposhtme:

  1. Instaloni të gjitha paketat më të rëndësishme, përditësimet më të fundit jo vetëm në pajisjen tuaj, por edhe në kompjuterin dhe serverin me të cilin përdoruesi planifikon të lidhet nga distanca duke përdorur këtë protokoll. Kjo është praktikisht zgjidhja e vetme dhe e plotë për këtë problem. Të gjitha të tjerat janë vetëm të përkohshme.
  2. Ju mund të çaktivizoni NLA ose të siguroni akses në një server në distancë me një të ashtuquajtur version të pasigurt të CredSSP.

Si mund ta ndaloni përdorimin e UÇK-së? Duhet të ndiqen hapat e mëposhtëm:

  1. Kaloni nëpër panelin e kontrollit te të gjithë elementët, pastaj te sistemi.
  2. Hapni dritaren "Properties" dhe shkoni te skeda "Remote Access".
  3. Në fund mund të shihni një rresht që fillon me fjalët "Lejo lidhjet vetëm nga kompjuterët...". Hiq zgjedhjen e kutisë pranë saj.

Pas instalimit të përditësimeve të sigurisë së majit (të datës 8 maj 2018 në platformat Windows 7/8/10 dhe platformat e serverëve në Windows Server 2008 R2 / 2012 R2 / 2016), përdoruesit nuk fitojnë akses në makinën në distancë nëpërmjet RDP dhe RemoteApp, dhe ndodh gabimi i mëposhtëm:

Pamja e ekranit: Dritarja e gabimit CredSSP pasi keni bërë një lidhje RDP me serverin nga makina e klientit.

Në fillim të pranverës 2018, Microsoft lëshoi ​​​​një përditësim që parandaloi ekzekutimin e kodit në distancë duke përdorur një cenueshmëri në protokollin CredSSP, dhe në maj u lëshua një përditësim pas instalimit të të cilit si parazgjedhje, makinat e klientëve ndalohen të lidhen me serverët e largët RDP me një version të cenueshëm të protokollin CredSSP. Prandaj, nëse përditësimet e pranverës janë instaluar në klientët, por nuk janë instaluar në serverët që përdorin Windows Server OS, atëherë do të marrim një gabim kur lidhemi:

"Ndodhi një gabim vërtetimi. Funksioni i specifikuar nuk mbështetet. Gabimi mund të shkaktohet nga një rregullim CredSSP."

Ose versioni anglisht:

"Kjo mund të jetë për shkak të korrigjimit të orakullit të kriptimit të CredSSP."

Gabimi i klientit RDP shfaqet pas instalimit të përditësimeve të sigurisë:

  • Windows 7 / Windows Server 2008 R2 - përditësimi KB4103718
  • Windows 8.1 / Windows Server 2012 R2 - përditësimi KB4103725
  • Windows 10 1803 - përditësoni KB4103721
  • Windows 10 1709 - përditësoni KB4103727
  • Windows 10 1703 - përditësoni KB4103731
  • Windows 10 1609 - përditësoni KB4103723
  • Windows Server 2016 - përditësoni KB4103723

Për të rivendosur lidhjen, thjesht mund të çinstaloni përditësimet e mësipërme, por ky veprim do të hapë cenueshmërinë e gjetur, kështu që plani i veprimit për zgjidhjen e problemit do të jetë si më poshtë:

  1. Ne do të heqim përkohësisht njoftimin e sigurisë që bllokon lidhjen në kompjuterin nga i cili lidhemi nëpërmjet RDP;
  2. Le të lidhemi me të nëpërmjet lidhjes tashmë të rivendosur RDP dhe të instalojmë patch-in e nevojshëm të sigurisë;
  3. Le të kthejmë mbrapsht njoftimin e sigurisë që ishte çaktivizuar përkohësisht në pikën e parë të planit të veprimit.
  • Hapni redaktuesin e politikave të grupit lokal: Start - Run - gpedit.msc;
  • Shkoni te seksioni Konfigurimi i kompjuterit - Modelet Administrative - Sistemi - Delegimi i Kredencialeve - Anglisht;
  • Ne gjejmë një politikë të quajtur Encryption Oracle Remediation. Aktivizo politikën Enabled dhe zgjidhni Leave Vulnerable si opsion në listën rënëse;

Pamja e ekranit: Aktivizimi i opsionit GPO - Rregullimi i cenueshmërisë së Oracle të Enkriptimit
  • Mbetet vetëm të përditësoni politikat në kompjuter (për ta bërë këtë, hapni Cmd dhe përdorni komandën gpupdate/force) dhe përpiquni të lidheni përmes RDP. Kur politika është e aktivizuar, aplikacionet e klientëve që mbështesin CredSSP do të jenë në gjendje të lidhen edhe me serverët e Desktopit në distancë të papatchuar.

Nëse kjo kompjuter në shtëpi Nëse keni një version të hequr të Windows dhe nuk keni akses në tastierën e Politikës së Grupit Lokal, nuk ka rëndësi, ne do të përdorim redaktorin e regjistrit (Regedit). Le ta nisim dhe të ndjekim rrugën:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parametrat

dhe vendosni vlerën e parametrit AllowEncryptionOracle në 2 (0x00000002).

Më pas, duhet të shkarkoni dhe instaloni përditësime të sigurisë të përshtatshme për sistemin tuaj (Unë po publikoj lidhje të drejtpërdrejta me përditësimet për Windows Server për lehtësinë tuaj, të cilat unë rekomandoj shumë instalimin):

  • Windows Server 2016 / Windows 10 1607 - KB4103723
  • Windows Server 2012 R2 / Windows 8 -
Tregoju miqve
Twitter
Me ardhjen...
Artikulli tjetër
Lexoni gjithashtu
Si të transferoni të dhëna nga iPhone në kompjuter përmes kabllit USB
Si të transferoni të dhëna nga iPhone në kompjuter përmes kabllit USB
2024-01-31 08:58:56
Çfarë duhet të bëni nëse shfaqet gabimi
Çfarë duhet të bëni nëse shfaqet gabimi "Marrëveshja e licencës nuk u gjet" kur instaloni Windows
2024-01-30 07:30:31
Çfarë duhet të bëj nëse nuk ka sinjal në monitor kur ndez kompjuterin?
Çfarë duhet të bëj nëse nuk ka sinjal në monitor kur ndez kompjuterin?
2024-01-29 06:40:47
Metodat e mbrojtjes nga aksesi i paautorizuar
Metodat e mbrojtjes nga aksesi i paautorizuar
2024-01-28 07:36:03