Chyba nápravy šifrovania CredSSP oprava RDP

Po inštalácii aktualizácií zabezpečenia systému Windows, ktoré vyšli po máji 2018, sa môže vyskytnúť chyba Sanácia šifrovania Oracle CredSSP keď je program RDP pripojený k vzdialenému serveru a počítaču so systémom Windows v týchto prípadoch:

  • Pripojíte sa k vzdialenej ploche počítača pomocou nedávno nainštalovanej starej (napríklad RTM) verzie systému Windows (napríklad Windows 10 pod zostavením 1803, Windows Server 2012 R2, Windows Server 2016), na ktorom nie sú nainštalované najnovšie aktualizácie zabezpečenia systému Windows;
  • Pokúšate sa pripojiť k počítaču RDP, na ktorom ste dlho nenainštalovali aktualizácie spoločnosti Microsoft;
  • Pripojenie RDP blokuje vzdialený počítač, pretože vo vašom klientskom počítači nie sú potrebné žiadne aktualizácie zabezpečenia.

Skúsme zistiť, čo znamená chyba RDP. Sanácia šifrovania Oracle CredSSP a ako to môžem opraviť.

Pri pokuse o pripojenie k aplikácii RemoteApp na serveroch RDS pod Windows Server 2016/2012 R2 / 2008 R2 alebo k vzdialeným počítačom iných používateľov používajúcich protokol RDP (v systémoch Windows 10, 8.1 alebo 7) sa objaví chyba:

Pripojenie k vzdialenej ploche
Vyskytla sa chyba overenia.
Funkcia nie je podporovaná.
Vzdialený počítač: názov hostiteľa
Dôvodom môže byť náprava šifrovacieho algoritmu CredSSP.

Pripojenie k vzdialenej ploche
Overenie zlyhalo.
Zadaná funkcia nie je podporovaná..
Príčinou chyby môže byť oprava šifrovania CredSSP.

Táto chyba je spôsobená skutočnosťou, že v systéme Windows Server alebo v bežnej počítačovej verzii systému Windows, ku ktorej sa pokúšate pripojiť prostredníctvom protokolu RDP, neboli nainštalované aktualizácie zabezpečenia systému Windows (minimálne od marca 2018)..

Táto chyba môže tiež vyzerať takto: Vyskytla sa chyba overenia. Zadaná funkcia nie je podporovaná..

Faktom je, že v marci 2018 spoločnosť Microsoft vydala aktualizáciu, ktorá uzatvára možnosť diaľkovo spúšťať kód pomocou zraniteľnosti v protokole CredSSP (Credential Security Support Provider). Tento problém je podrobne opísaný v bulletine CVE-2018-0886. V máji 2018 bola zverejnená ďalšia aktualizácia, v ktorej klienti Windows v predvolenom nastavení nie sú oprávnení pripájať sa na vzdialené servery RDP s zraniteľnou (nepripravenou) verziou protokolu CredSSP..

Ak ste teda nenainštalovali kumulatívne aktualizácie zabezpečenia na serveroch Windows RDS / RDP (počítače) od marca 2018 a na klientov RDP sa nainštalovali aktualizácie mája (alebo novšie), potom pri pokuse o pripojenie k serverom RDS s nepripravenou verziou CredSSP objaví sa chyba o nemožnosti pripojenia: Dôvodom môže byť náprava šifrovacieho algoritmu CredSSP.

Po nainštalovaní nasledujúcich aktualizácií zabezpečenia sa zobrazí chyba klienta RDP:

  • Windows 7 / Windows Server 2008 R2 - KB4103718
  • Windows 8.1 / Windows Server 2012 R2 - KB4103725
  • Windows Server 2016 - KB4103723
  • Windows 10 1803 - KB4103721
  • Windows 10 1709 - KB4103727
  • Windows 10 1703 - KB4103731
  • Windows 10 1609 - KB4103723
Zoznam obsahuje čísla KB od mája 2018, v tomto okamihu je potrebné stiahnuť a nainštalovať novší balík kumulatívnej aktualizácie pre vydanie systému Windows. Najnovšie aktualizácie zabezpečenia môžete získať prostredníctvom servera Windows Update zo serverov spoločnosti Microsoft, z miestneho servera WSUS alebo ručne stiahnuť z katalógu aktualizácií systému Windows - katalóg Microsoft Update - https://www.catalog.update.microsoft.com/Home.aspx. Ak chcete napríklad vyhľadať aktualizácie pre august 2019 pre systém Windows 10 1803, musíte použiť vyhľadávací dopyt: okná 10 1803 8 / * / 2019. Stiahnite a nainštalujte kumulatívnu aktualizáciu (v mojom príklade to bude „2019-08 Kumulatívna aktualizácia pre systém Windows 10, verzia 1803 pre systémy s procesorom x64 (KB4512509)“..

Ak chcete obnoviť vzdialené pripojenie k pracovnej ploche, môžete odstrániť aktualizácie zabezpečenia z klienta, z ktorého je vytvorené pripojenie RDP (ale toto nesmierne neodporúča sa, tj existuje bezpečnejšie a presnejšie riešenie).

Ak chcete problém vyriešiť, môžete dočasne v počítači, ku ktorému sa pripájate pomocou protokolu RDP, vypnite kontrolu verzie CredSSP na vzdialenom počítači. Toto je možné vykonať pomocou editora politiky miestnej skupiny. Postupujte takto:

  1. Spustite miestny editor GPO - gpedit.msc;
  2. Prejdite do časti s pravidlami Konfigurácia počítača -> Šablóny pre správu -> Systém -> Delegovanie poverení (Konfigurácia počítača -> Šablóny pre správu -> Systém -> Poverenia prenosu);
  3. Vyhľadajte politiku s názvom Šifrovanie Remediation Oracle (Oprava zraniteľnosti šifrovacieho Oracle). Zapnúť pravidlá (povolené/ Enabled) a ako parameter v rozbaľovacom zozname vyberte zraniteľný / Nechajte zraniteľnosť;
  4. Zostáva aktualizovať politiky v počítači (príkaz gpupdate / force) a skúste sa pripojiť pomocou protokolu RDP k vzdialenému počítaču. S povolenou politikou šifrovanie veštec sanácie s hodnotou zraniteľný vaše terminálové aplikácie podporujúce CredSSP sa môžu dokonca pripájať k serverom RDS / RDP a počítačom Windows, ktoré nemajú aktuálne aktualizácie zabezpečenia.
Zásady šifrovania Oracle Remediation ponúka 3 dostupné hodnoty na ochranu pred zraniteľnosťou CredSSP:

  • sila aktualizované klienti - najvyššia úroveň ochrany, keď server RDP zakazuje pripojenie k neaktualizovaným klientom. Táto zásada by sa zvyčajne mala zahrnúť po úplnej aktualizácii celej infraštruktúry a integrácii aktuálnych aktualizácií zabezpečenia do inštalačných obrazov Windows pre servery a pracovné stanice;
  • zmierniť - V tomto režime je blokované odchádzajúce vzdialené RDP pripojenie k RDP serverom so zraniteľnou verziou CredSSP. Ostatné služby využívajúce CredSSP však fungujú dobre;
  • zraniteľný -je povolená najnižšia úroveň ochrany pri pripájaní k serveru RDP so zraniteľnou verziou CredSSP.

Ak nemáte lokálneho editora GPO (napríklad v domácich vydaniach systému Windows), môžete vykonať zmenu, ktorá umožní RDP pripojiť sa k serverom s nepárovanou verziou CredSSP priamo do registra pomocou príkazu:
REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2

Tento parameter môžete zmeniť v registri okamžite na mnohých počítačoch v službe AD pomocou domény GPO domény (konzola gpmc.msc) alebo pomocou skriptu PowerShell (zoznam počítačov v doméne je možné získať pomocou rutiny Get-ADComputer z modulu RSAT-AD-PowerShell):

Importovaný modul ActiveDirectory
$ PSs = (Get-ADComputer -Filter *). DNSHostName
Foreach (počítač $ v počítačoch $)
Invoke-Command -ComputerName $ computer -ScriptBlock
REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2

Po úspešnom pripojení k vzdialenému serveru RDP (počítač) musíte naň nainštalovať najnovšie aktualizácie zabezpečenia prostredníctvom služby Windows Update (skontrolujte, či je služba zapnutá) alebo ručne. Prevezmite a nainštalujte najnovšie kumulatívne aktualizácie systému Windows, ako je uvedené vyššie. Ak sa pri inštalácii aktualizácie MSU zobrazí chyba „Táto aktualizácia sa netýka vášho počítača“, prečítajte si články na stránke.

Pre systémy Windows XP / Windows Server 2003, ktoré už nie sú podporované, musíte nainštalovať aktualizácie pre systém Windows Embedded POSReady 2009. Napríklad https://support.microsoft.com/en-us/help/4056564

Po inštalácii aktualizácií a reštarte servera nezabudnite vypnúť politiku pre klientov (buď ju nastaviť na Vynútiť aktualizovaných klientov) alebo vrátiť hodnotu 0 pre kľúč databázy Registry AllowEncryptionOracle. V takom prípade nebude váš počítač vystavený riziku pripojenia k nezabezpečeným počítačom s CredSSP a zneužitia tejto zraniteľnosti..

REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0 / f

Existuje aj iný scenár, keď aktualizácie nie sú dostupné na vašom počítači. Napríklad server RDP je aktualizovaný, ale má politiku, ktorá blokuje pripojenia RDP z počítačov so zraniteľnou verziou CredSSP (sila aktualizované klienti). V tomto prípade sa počas pripojenia RDP zobrazí aj chyba „Môže to byť kvôli náprave šifrovania Oracle CredSSP“.

Skontrolujte najnovší dátum na inštaláciu aktualizácií systému Windows do počítača pomocou modulu PSWindowsUpdate alebo pomocou príkazu WMI v konzole PowerShell:

gwmi win32_quickfixengineering | rad nainštalovaný na -desc

Tento príklad ukazuje, že najnovšie aktualizácie zabezpečenia systému Windows boli nainštalované 17. júna 2018. Stiahnite si a nainštalujte novší súbor .msu s kumulatívnou aktualizáciou pre svoje vydanie systému Windows (pozri vyššie).