Kesalahan

Mengikuti pembaruan keamanan Windows pada Mei 2018, ketika mencoba RDP ke workstation Windows 10 Pro, pesan galat berikut ini ditampilkan setelah berhasil memasukkan kredensial pengguna:

Terjadi kesalahan otentikasi. Fungsi yang diminta tidak didukung.

Ini bisa disebabkan oleh remediasi oracle enkripsi CredSSP

Tangkapan layar

Debugging

• Kami telah mengkonfirmasi kredensial pengguna sudah benar.

• Reboot workstation.

• Layanan direktori utama dikonfirmasi sudah operasional.

• Workstation yang terisolasi belum menerapkan patch keamanan Mei tidak terpengaruh.

Namun, dapat mengatur sementara untuk host perm, yang khawatir tentang akses server berbasis cloud. Belum ada kejadian di Server 2016.

Terima kasih

Didasarkan sepenuhnya pada balasan Graham Cuthbert, saya membuat file teks di Notepad dengan baris-baris berikut, dan cukup klik dua kali setelahnya (yang seharusnya menambah Windows Registry parameter apa pun yang ada di file).

Harap perhatikan bahwa baris pertama bervariasi tergantung pada versi Windows yang Anda gunakan, jadi mungkin ide yang baik untuk membuka regeditdan mengekspor aturan apa pun hanya untuk melihat apa yang ada di baris pertama dan menggunakan versi yang sama dalam file Anda.

Juga, saya tidak khawatir tentang merendahkan keamanan dalam situasi khusus ini karena saya terhubung ke VPN terenkripsi dan tuan rumah Windows tidak memiliki akses ke internet dan karenanya tidak memiliki pembaruan terbaru.

File rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Bagi mereka yang menginginkan sesuatu yang mudah disalin / ditempelkan ke command prompt yang ditinggikan:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

Protokol Penyedia Dukungan Keamanan Credential (CredSSP) adalah penyedia otentikasi yang memproses permintaan otentikasi untuk aplikasi lain.

Kerentanan eksekusi kode jarak jauh ada di versi CredSSP yang belum ditambal. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menyampaikan kredensial pengguna untuk mengeksekusi kode pada sistem target. Aplikasi apa pun yang bergantung pada CredSSP untuk otentikasi mungkin rentan terhadap jenis serangan ini.

[...]

13 Maret 2018

Tanggal 13 Maret 2018 awal, pembaruan memperbarui protokol otentikasi CredSSP dan klien Remote Desktop untuk semua platform yang terpengaruh.

Mitigasi terdiri dari menginstal pembaruan pada semua sistem operasi klien dan server yang memenuhi syarat dan kemudian menggunakan pengaturan Kebijakan Grup yang disertakan atau setara berbasis registri untuk mengelola opsi pengaturan pada komputer klien dan server. Kami menyarankan agar administrator menerapkan kebijakan dan mengaturnya untuk "Memaksa klien yang diperbarui" atau "Dimitigasi" pada komputer klien dan server secepat mungkin. Perubahan ini akan membutuhkan reboot dari sistem yang terpengaruh.

Perhatikan baik-baik pasangan Kebijakan Grup atau pengaturan registri yang menghasilkan interaksi "Diblokir" antara klien dan server dalam tabel kompatibilitas nanti di artikel ini.

17 April 2018

Pembaruan pembaruan Remote Desktop Client (RDP) di KB 4093120 akan meningkatkan pesan kesalahan yang disajikan ketika klien yang diperbarui gagal menyambung ke server yang belum diperbarui.

8 Mei 2018

Pembaruan untuk mengubah pengaturan default dari Rentan ke Dimitigasi.

Sumber: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Lihat juga utas reddit ini: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Solusi Microsoft:

• Perbarui server dan klien. (membutuhkan restart, disarankan)

Pemecahan masalah yang tidak disarankan jika server Anda tersedia untuk umum, atau jika Anda TIDAK memiliki kontrol lalu lintas yang ketat di jaringan internal Anda, tetapi kadang-kadang memulai kembali server RDP dalam jam kerja adalah pekerjaan yang tidak perlu.

• Tetapkan kebijakan penambalan CredSSP melalui GPO atau Registry. (membutuhkan restart atau gpupdate / force)
• Copot KB4103727 (tidak perlu restart)
• Saya pikir menonaktifkan NLA (Network Layer Authentication) juga dapat bekerja. (tidak perlu restart)

Pastikan untuk memahami risiko saat menggunakan itu dan tambalan sistem Anda SECEPATNYA.

[1] Semua deskripsi GPO CredSSP dan modifikasi registri dijelaskan di sini.

[2] contoh pengaturan GPO dan registri jika situs Microsoft turun.

1. Pergi ke "Editor Kebijakan Grup Lokal> Template Administratif> Sistem> Delegasi Kredensial> Enkripsi Remediasi Oracle", edit dan aktifkan, kemudian atur "Level Perlindungan" ke "Dimitigasi".
2. Setel kunci registrasi (dari 00000001 hingga 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Kebijakan \ System \ CredSSP \ Parameter] "AllowEncryptionOracle" = dword:
3. Mulai ulang sistem Anda jika perlu.

Penelitian

Mengacu pada artikel ini:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Mei 2018 pembaruan sementara yang dapat memengaruhi kemampuan untuk membuat koneksi sesi RDP host jarak jauh dalam suatu organisasi. Masalah ini dapat terjadi jika klien lokal dan host jarak jauh memiliki pengaturan "Enkripsi Oracle Remediasi" yang berbeda dalam registri yang menentukan cara membuat sesi RDP dengan CredSSP. Opsi pengaturan "Enkripsi Oracle Remediasi" didefinisikan di bawah ini dan jika server atau klien memiliki harapan yang berbeda pada pembentukan sesi RDP aman, koneksi dapat diblokir.

Pembaruan kedua, dijadwalkan untuk dirilis pada 8 Mei 2018, akan mengubah perilaku default dari “Rentan” menjadi “Terancam”.

Jika Anda melihat apakah klien dan server ditambal, tetapi pengaturan kebijakan default dibiarkan pada "Rentan" koneksi RDP adalah "Rentan" untuk diserang. Setelah pengaturan default diubah menjadi "Dimitigasi" maka koneksi menjadi "Aman" secara default.

Resolusi

Berdasarkan informasi ini saya melanjutkan untuk memastikan semua klien ditambal sepenuhnya, saya kemudian berharap masalah ini akan dikurangi.

Nilai registri tidak ada di mesin Windows 10 saya. Saya harus pergi ke kebijakan grup lokal berikut dan menerapkan perubahan pada klien saya:

Konfigurasi Komputer -> Template Administratif -> Sistem -> Delegasi Kredensial - Enkripsi Oracle Remediasi

Aktifkan dan setel ke nilai vulnerable.

Dianjurkan untuk memperbarui klien, bukan skrip semacam ini untuk hanya memotong kesalahan, tetapi dengan risiko Anda sendiri, Anda dapat melakukan ini pada klien dan tidak perlu me-restart PC klien. Juga tidak perlu mengubah apa pun di server.

1. Buka Run, ketik gpedit.mscdan klik OK.
2. Perluas Administrative Templates.
3. Perluas System.
4. Terbuka Credentials Delegation.
5. Di pannel kanan klik dua kali Encryption Oracle Remediation.
6. Pilih Enable.
7. Pilih Vulnerabledari Protection Leveldaftar.

Pengaturan kebijakan ini berlaku untuk aplikasi yang menggunakan komponen CredSSP (misalnya: Koneksi Desktop Jarak Jauh).

Beberapa versi protokol CredSSP rentan terhadap serangan oracle terhadap klien. Kebijakan ini mengontrol kompatibilitas dengan klien dan server yang rentan. Kebijakan ini memungkinkan Anda untuk mengatur tingkat perlindungan yang diinginkan untuk kerentanan enkripsi oracle.

Jika Anda mengaktifkan pengaturan kebijakan ini, dukungan versi CredSSP akan dipilih berdasarkan opsi berikut:

Paksa Klien Diperbarui: Aplikasi Klien yang menggunakan CredSSP tidak akan dapat kembali ke versi tidak aman dan layanan menggunakan CredSSP tidak akan menerima klien yang belum ditambal. Catatan: pengaturan ini tidak boleh digunakan sampai semua host jarak jauh mendukung versi terbaru.

Dimitigasi: Aplikasi Klien yang menggunakan CredSSP tidak akan dapat kembali ke versi tidak aman tetapi layanan menggunakan CredSSP akan menerima klien yang belum ditambal. Lihat tautan di bawah untuk informasi penting tentang risiko yang ditimbulkan oleh klien yang belum ditelusuri yang tersisa.

Rentan: Aplikasi Klien yang menggunakan CredSSP akan mengekspos server jarak jauh terhadap serangan dengan mendukung kembali ke versi tidak aman dan layanan yang menggunakan CredSSP akan menerima klien yang belum ditonton.

8. Klik Terapkan.
9. Klik OK.
10. Selesai.

Referensi

Orang ini memiliki solusi untuk masalah Anda:

Intinya - Anda harus mengubah pengaturan GPO dan Memaksa pembaruan. Tetapi perubahan ini akan membutuhkan reboot untuk berlaku.

1. Salin kedua file ini dari mesin yang baru diperbarui;

   • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd, Feb 2018)
   • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd Feb 2018 - Folder lokal Anda mungkin berbeda yaitu en-GB)

2. Di DC, navigasikan ke:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
   • Ubah nama saat ini CredSsp.admxmenjadiCredSsp.admx.old
   • Salin yang baru CredSsp.admxke folder ini.

3. Pada DC navigasi yang sama ke:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (atau bahasa lokal Anda)
   • Ubah nama saat ini CredSsp.admlmenjadiCredSsp.adml.old
   • Salin CredSsp.admlfile baru ke folder ini.

4. Coba kebijakan grup Anda lagi.

https://www.petenetlive.com/KB/Article/0001433

Seperti yang orang lain katakan, ini karena patch Maret yang dirilis Microsoft. Mereka merilis patch Mei pada 8 Mei yang benar-benar memberlakukan patch Maret. Jadi jika Anda memiliki workstation yang menerima patch Mei dan Anda mencoba untuk terhubung ke server yang belum menerima patch Maret, Anda akan mendapatkan pesan kesalahan di screenshot Anda.

Resolusi Anda benar-benar ingin menambal server sehingga mereka memiliki tambalan Maret. Jika tidak, sementara itu Anda dapat menerapkan Kebijakan Grup atau pengeditan registri.

Anda dapat membaca petunjuk terperinci dalam artikel ini: Cara Memperbaiki Fungsi Kesalahan Otentikasi Tidak Didukung RDP Kesalahan CredSSP

Anda juga dapat menemukan salinan file ADMX dan ADML jika Anda perlu menemukannya.

Saya mendapat masalah yang sama. Klien ada di Win7 dan RDS server 2012R2, Klien menerima "2018-05 keamanan perbaruan kualitas bulanan roll up (kb4019264)". Setelah menghapus itu, semuanya baik-baik saja.

Saya menemukan beberapa mesin kami berhenti melakukan Pembaruan Windows (kami menjalankan WSUS lokal di seluruh domain kami) sekitar bulan Januari. Saya menduga tambalan sebelumnya yang menyebabkan masalah (mesin akan mengeluh karena ketinggalan zaman, tetapi tidak akan menginstal tambalan Jan yang dibutuhkannya). Karena pembaruan 1803, kami tidak bisa hanya menggunakan Pembaruan Windows dari MS secara langsung untuk memperbaikinya (akan habis karena beberapa alasan dan pembaruan tidak akan berjalan).

Saya dapat mengkonfirmasi bahwa jika Anda menambal mesin ke versi 1803 itu berisi perbaikan untuk ini. Jika Anda memerlukan jalur cepat untuk memperbaikinya, saya menggunakan Pembaruan Pembaruan Windows (tautan teratas yang bertuliskan Pembaruan) untuk melakukan pembaruan secara langsung (tampaknya lebih stabil daripada Pembaruan Windows karena suatu alasan).

Kami menghapus pembaruan keamanan terbaru KB410731 dan kami dapat terhubung dengan mesin Window 10 di build 1709 dan sebelumnya. Untuk PC, kami dapat memutakhirkan ke build 1803, ini menyelesaikan masalah tanpa mencopot KB4103731.

Cukup, coba Nonaktifkan Network Level AuthenticationDari Remote Desktop. Bisakah Anda Periksa gambar berikut:

Buka PowerShell sebagai admin dan jalankan perintah ini:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Coba sekarang untuk terhubung ke server. Itu akan berhasil.

Saya menemukan jawabannya di sini , jadi tidak dapat mengklaimnya sebagai milik saya, tetapi menambahkan kunci berikut ke registri saya dan memulai ulang memperbaikinya untuk saya.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002