Kesalahan koneksi desktop jarak jauh setelah memperbarui Windows 2018/05/08 - Pembaruan CredSSP untuk CVE-2018-0886

90

Setelah Pembaruan Windows, saya mendapatkan kesalahan ini ketika mencoba terhubung ke server menggunakan Remote Desktop Connection.

Saat membaca tautan yang disediakan oleh pesan kesalahan, sepertinya karena pembaruan di 2018/05/08:

8 Mei 2018

Pembaruan untuk mengubah pengaturan default dari Rentan ke Dimitigasi.

Nomor Pangkalan Pengetahuan Microsoft terkait tercantum di CVE-2018-0886.

Apakah ada solusi untuk ini?

Kesalahan RDC

Pham X. Bach
sumber
1
(Meta: pembaruan masuk di akhir posting, untuk memastikan mereka masih dapat dimengerti oleh pembaca baru, dan jawaban masuk di ruang jawaban, tidak digabungkan menjadi pertanyaan. Terima kasih).
halfer

Jawaban:

21

(Diposting jawaban atas nama penulis pertanyaan) .

Seperti dalam beberapa jawaban, solusi terbaik untuk kesalahan ini adalah memperbarui server dan klien ke versi> = pembaruan 2018-05-08 dari Microsoft.

Jika Anda tidak dapat memperbarui keduanya (yaitu, Anda hanya dapat memperbarui klien atau server) maka Anda dapat menerapkan salah satu solusi dari jawaban di bawah ini, dan mengubah kembali konfigurasi ASAP sehingga Anda meminimalkan durasi kerentanan yang diperkenalkan oleh solusi.

halfer
sumber
Ini adalah salah satu kasus yang jarang terjadi di mana jawaban yang diterima juga merupakan jawaban terbaik. Jawaban lain membuat Anda rentan terhadap CVE-2018-0886: "Kerentanan eksekusi kode jarak jauh ada dalam versi CredSSP yang tidak ditambal. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menyampaikan kredensial pengguna untuk mengeksekusi kode pada sistem target . Aplikasi apa pun yang bergantung pada CredSSP untuk otentikasi mungkin rentan terhadap jenis serangan ini. "
Braiam
Kami menemukan solusi yang praktis dan non-invasif - kami dapat menggunakan RDP salah satu server kami sebagai kotak lompatan
OutstandingBill
Adakah yang tahu seberapa serius kerentanannya jika keduanya, klien dan server berada dalam jaringan lokal yang sama dan hanya terpapar ke internet di belakang router tanpa ada port terbuka?
Kevkong
@Kevkong: ini adalah jawaban wiki yang saya posting untuk penulis pertanyaan. Anda dapat melakukan ping mereka di bawah pertanyaan jika Anda mau.
halfer
Hai @Peter: terima kasih atas suntingan Anda. Sebagian besar setuju dengan mereka, tetapi meta-Introduction diperlukan IMO untuk tetap dalam aturan lisensi atribusi. Saya memiliki beberapa ratus ini di Stack Overflow, dan pandangan dari Meta adalah bahwa ini tidak hanya perlu tetap, tetapi beberapa orang berpikir itu tidak cukup, dan OP harus disebutkan namanya. Pandangan altter itu tidak memenangkan banyak daya tarik, tetapi menunjukkan luasnya pendapat tentang bagaimana atribusi terbaik dicapai. Tapi, pada dasarnya, kita tidak bisa menghapus kepengarangan. Bisakah ini dipulihkan?
halfer
90

Metode alternatif untuk gpedit menggunakan cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

sumber
4
Penyelamat. Bagi mereka yang menggunakan Windows 10 Home, ini harus bekerja dengan sempurna. Ingatlah untuk menjalankan cmd sebagai Administrator.
1
Perintah ini bekerja pada windows 8. Terima kasih
Jairath
1
Sebenarnya masalahnya adalah bahwa pembaruan masih diinstal di server sehingga tidak ada koneksi yang mungkin. Tunggu saja dan itu berhasil. serverfault.com/questions/387593/…
tobiak777
1
@ pghcpa Abaikan itu, perintah itu membuat simpul registri yang hilang dan menyisipkan parameter untuk Anda. Ini benar-benar penyelamat jika Anda tidak dapat memperbarui server dengan patch keamanan yang menyebabkan masalah ini.
Gergely Lukacsy
1
saya tidak tahu mengapa, tetapi ini bekerja Terima kasih
dian
39

Saya menemukan satu solusi. Seperti yang dijelaskan dalam tautan bantuan , saya mencoba memutar mundur dari pembaruan 2018/05/08 dengan mengubah nilai kebijakan grup ini:

  • Jalankan gpedit.msc

  • Konfigurasi Komputer -> Template Administratif -> Sistem -> Delegasi Kredensial -> Enkripsi Remediasi Oracle

Ubah ke Aktifkan dan di tingkat Perlindungan, ubah kembali ke Rentan .

Saya tidak yakin apakah itu dapat mengembalikan risiko penyerang mengeksploitasi koneksi saya. Saya harap Microsoft akan segera memperbaikinya sehingga saya dapat mengembalikan pengaturan ke pengaturan rekomendasi yang Dimitigasi .

Masukkan deskripsi gambar di sini

Pham X. Bach
sumber
Sistem saya tidak memiliki opsi untuk "Enkripsi Oracle Remediasi" di sana, ini adalah server windows 2012. Sepertinya itu menerapkan pembaruan keamanan 5/8.
4
Apa yang saya temukan adalah bahwa bagi kami klien adalah "masalah". Server tidak memiliki pembaruan terbaru. Klien memang memiliki pembaruan terbaru sehingga mereka tidak akan berfungsi. Setelah server diperbarui, semuanya berfungsi.
Bagi yang tidak yakin harus mulai dari mana, jalankan "gpedit.msc" lalu ikuti instruksi di atas.
Glen Little
Ini tidak berfungsi pada sistem Windows 10 saya. Memperbarui kunci registri CredSSP secara manual memang memungkinkan saya untuk terhubung - yang hanya ingin saya lakukan cukup lama untuk menambal mesin hingga ke standar saat ini.
Tom W
12

Cara lain adalah menginstal klien Remote Desktop Microsoft dari MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Pavel
sumber
2
Terima kasih, semoga akan ada file salin / tempel alih-alih folder berbagi suatu hari nanti. Hanya memiliki clipboard berbagi untuk menyalin / menempelkan teks
Pham X. Bach
Klien RDP Windows App Store tidak memiliki begitu banyak fitur kustomisasi dan integrasi built-in mstsc.exeyang sulit untuk ditanggapi dengan serius. Dari sudut pandang keamanan, itu bahkan tidak akan membiarkan Anda melihat sertifikat yang digunakan untuk koneksi aman (terakhir kali saya memeriksa), juga tidak memiliki dukungan kartu pintar, rentang monitor ganda, pengarahan ulang drive, dan lainnya. Tabel perbandingan Microsoft sendiri mengungkapkan betapa anemianya
Dai
6

Masalah ini hanya terjadi di Hyper-V VM saya, dan mengirim ulang ke mesin fisik tidak masalah.

Buka PC ini → Pengaturan Sistem → Pengaturan Sistem Lanjut di server dan kemudian saya menyelesaikannya dengan menghapus centang pada target VM "izinkan koneksi hanya dari komputer yang menjalankan Remote Desktop dengan Otentikasi Level Jaringan (disarankan)".

Hapus centang ini

au.tw
sumber
Persetan. Saya mengaktifkan opsi itu, lupa tentang, dan 2 jam kemudian saya menyadari itu masalahnya. 😩
Shafiq al-Shaar
3

Mengikuti jawaban ac19501, saya telah membuat dua file registri untuk mempermudah ini:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
yann.kmm
sumber
2

Pembaruan pada contoh GPO di layar cetak.

Berdasarkan jawaban "reg tambahkan" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Kebijakan \ Sistem \ CredSSP \ Parameter "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Layar Cetak

Jalur Utama: Perangkat Lunak \ Microsoft \ Windows \ CurrentVersion \ Kebijakan \ System \ CredSSP \ Parameter
Nilai Nama: AllowEncryptionOracle
Nilai data: 2

Ramon Lucas
sumber
2

Saya menemukan masalah yang sama. Solusi yang lebih baik adalah memperbarui mesin yang Anda hubungkan daripada menggunakan Pham X Bach untuk memberikan tingkat keamanan yang lebih rendah.

Namun, jika Anda tidak dapat memperbarui mesin karena suatu alasan solusinya bekerja.

Peter Mortensen
sumber
Maaf telah salah paham jawaban Anda. Ya solusi terbaik adalah memperbarui server dan semua klien ke versi> = pembaruan 2018/05/08 dari MS
Pham X. Bach
1

Anda perlu memperbarui Server Windows Anda menggunakan Pembaruan Windows. Semua tambalan yang diperlukan akan diinstal. Kemudian Anda dapat terhubung ke server Anda melalui Remote Desktop lagi.

Anda harus menginstal kb4103725

Baca lebih lanjut di: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


sumber
Bagi mereka yang kehilangan akses ke server jarak jauh mereka, saya masih dapat mengakses server saya dengan Remote Desktop untuk Android. Kemudian Anda dapat menginstal tambalan dan menyelesaikan masalah dengan koneksi Remote Desktop dari klien Windows.
1

Untuk server, kami juga dapat mengubah pengaturan melalui Remote PowerShell (dengan anggapan WinRM diaktifkan, dll ...)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Sekarang, jika pengaturan ini dikelola oleh GPO domain, ada kemungkinan itu akan dikembalikan, jadi Anda perlu memeriksa GPO. Tetapi untuk perbaikan cepat, ini berfungsi.

Referensi: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Francisco Xavier
sumber
1

Opsi lain jika Anda memiliki akses ke baris perintah (kami memiliki server SSH yang berjalan di kotak) adalah menjalankan "sconfig.cmd" dari baris perintah. Anda mendapatkan menu seperti di bawah ini:

Masukkan deskripsi gambar di sini

Pilih opsi 7, dan nyalakan untuk semua klien, bukan hanya aman.

Setelah itu selesai, Anda dapat remote desktop masuk. Sepertinya bagi kami masalahnya adalah sistem klien kami mendapat pembaruan untuk keamanan baru, tetapi kotak server kami ketinggalan pada pembaruan. Saya sarankan untuk mendapatkan pembaruan dan kemudian mengaktifkan kembali pengaturan keamanan ini.

Brent
sumber
1

Copot pemasangan:

  • Untuk Windows 7 dan 8.1: KB4103718 dan / atau KB4093114 
  • Untuk Windows 10: KB4103721 dan / atau server KB4103727 tanpa pembaruan 

Pembaruan ini berisi tambalan untuk kerentanan CVE-2018-0886. Pada server yang tidak ditambal itu memungkinkan mereka masuk tanpa mereka.

EXPY
sumber
2
Selamat Datang di Pengguna Super! Bisakah Anda menjelaskan mengapa mencopot KB ini akan membantu?
bertieb
karena pembaruan ini berisi tambalan untuk kerentanan CVE-2018-0886, pada server non tambalan memungkinkan mereka masuk tanpa mereka
EXPY