it-swarm.com.de

Dies könnte an der CredSSP-Verschlüsselung liegen. Oracle-Korrektur - RDP auf Windows 10 Pro-Host

Error

Nach Windows-Sicherheitsupdates im Mai 2018 wird beim Versuch, RDP auf eine Windows 10 Pro-Workstation zu übertragen, nach erfolgreicher Eingabe der Benutzeranmeldeinformationen die folgende Fehlermeldung angezeigt:

Ein Authentifizierungsfehler ist aufgetreten. Die angeforderte Funktion wird nicht unterstützt.

Dies könnte an der Oracle-Korrektur der CredSSP-Verschlüsselung liegen

Bildschirmfoto

(enter image description here

Debuggen

  • Wir haben bestätigt, dass die Benutzeranmeldeinformationen korrekt sind.

  • Starten Sie die Workstation neu.

  • Bestätigte On-Prem-Verzeichnisdienste sind betriebsbereit.

  • Isolierte Workstations, auf denen der Sicherheitspatch für Mai noch nicht angewendet wurde, sind nicht betroffen.

Kann in der Zwischenzeit für Dauerwellen-Hosts verwalten, ist jedoch besorgt über den Cloud-basierten Serverzugriff. Noch keine Vorkommen auf Server 2016.

Vielen Dank

47
scott_lotus

Forschung

Verweis auf diesen Artikel:

https://blogs.technet.Microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Vorläufiges Update vom Mai 2018, das sich auf die Fähigkeit auswirken kann, Remote-Host-RDP-Sitzungsverbindungen innerhalb einer Organisation herzustellen. Dieses Problem kann auftreten, wenn der lokale Client und der Remote-Host unterschiedliche Einstellungen für die Verschlüsselung von Oracle Remediation in der Registrierung haben, die definieren, wie eine RDP-Sitzung mit CredSSP erstellt wird. Die Einstellungsoptionen für "Oracle Remediation verschlüsseln" sind unten definiert. Wenn der Server oder Client unterschiedliche Erwartungen an den Aufbau einer sicheren RDP-Sitzung hat, kann die Verbindung blockiert werden.

Ein zweites Update, das voraussichtlich am 8. Mai 2018 veröffentlicht wird, ändert das Standardverhalten von "Vulnerable" in "Mitigated".

Wenn Sie feststellen, dass sowohl der Client als auch der Server gepatcht sind, die Standardrichtlinieneinstellung jedoch auf "Verwundbar" belassen wird, ist die RDP-Verbindung "Anfällig" für Angriffe. Sobald die Standardeinstellung auf "Mitigated" geändert wurde, wird die Verbindung standardmäßig "Secure".

Auflösung

Basierend auf diesen Informationen werde ich sicherstellen, dass alle Clients vollständig gepatcht sind. Ich würde dann erwarten, dass das Problem behoben wird.

4
scott_lotus

Basierend auf Graham Cuthberts Antwort Ich habe im Editor eine Textdatei mit den folgenden Zeilen erstellt und anschließend einfach darauf geklickt (was der Windows-Registrierung alle Parameter in der Datei hinzufügen sollte).

Beachten Sie nur, dass die erste Zeile je nach verwendeter Windows-Version unterschiedlich ist. Daher ist es möglicherweise eine gute Idee, regedit zu öffnen und eine beliebige Regel zu exportieren, um zu sehen, was in der ersten Zeile steht, und dieselbe Version in Ihrer zu verwenden Datei.

Außerdem mache ich mir keine Sorgen über eine Verschlechterung der Sicherheit in dieser speziellen Situation, da ich eine Verbindung zu einem verschlüsselten VPN herstelle und das Host-Windows keinen Zugang zum Internet hat und daher nicht über das neueste Update verfügt.

Datei rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Für diejenigen, die etwas einfach kopieren/in einen erhöhten Befehl einfügen möchten. Eingabeaufforderung:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
20
Rodriguez

Das CredSSP-Protokoll (Credential Security Support Provider) ist ein Authentifizierungsanbieter, der Authentifizierungsanforderungen für andere Anwendungen verarbeitet.

In nicht gepatchten Versionen von CredSSP besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Benutzeranmeldeinformationen weiterleiten, um Code auf dem Zielsystem auszuführen. Jede Anwendung, deren Authentifizierung von CredSSP abhängt, ist möglicherweise für diese Art von Angriff anfällig.

[...]

13. März 2018

Mit der ersten Version vom 13. März 2018 werden das CredSSP-Authentifizierungsprotokoll und die Remotedesktop-Clients für alle betroffenen Plattformen aktualisiert.

Die Schadensbegrenzung besteht darin, das Update auf allen in Frage kommenden Client- und Server-Betriebssystemen zu installieren und anschließend die enthaltenen Gruppenrichtlinieneinstellungen oder registrierungsbasierten Entsprechungen zu verwenden, um die Einstellungsoptionen auf den Client- und Server-Computern zu verwalten. Wir empfehlen Administratoren, die Richtlinie anzuwenden und sie auf Client- und Servercomputern so schnell wie möglich auf "Aktualisierte Clients erzwingen" oder "Mitigated" zu setzen. Diese Änderungen erfordern einen Neustart der betroffenen Systeme.

Achten Sie in der Kompatibilitätstabelle weiter unten in diesem Artikel genau auf Gruppenrichtlinien- oder Registrierungseinstellungen, die zu blockierten Interaktionen zwischen Clients und Servern führen.

17. April 2018

Das Update des RDP-Updates (Remote Desktop Client) in KB 4093120 verbessert die Fehlermeldung, die angezeigt wird, wenn ein aktualisierter Client keine Verbindung zu einem nicht aktualisierten Server herstellen kann.

8. Mai 2018

Ein Update zum Ändern der Standardeinstellung von Vulnerable in Mitigated.

Quelle: https://support.Microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Siehe auch diesen reddit-Thread: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Microsoft-Problemumgehung:

  • Server und Client aktualisieren. (erfordert Neustart, empfohlen)

Nicht empfohlene Problemumgehungen, wenn Ihr Server öffentlich verfügbar ist oder wenn Sie KEINE strenge Verkehrskontrolle in Ihrem internen Netzwerk haben, aber manchmal ein Neustart des RDP-Servers innerhalb der Arbeitszeit kein Problem ist.

  • Legen Sie die CredSSP-Patch-Richtlinie über GPO oder die Registrierung. (Neustart oder gpupdate/force erforderlich) fest.)
  • Deinstallieren Sie KB4103727 (kein Neustart erforderlich)
  • Ich denke, dass das Deaktivieren von NLA (Network Layer Authentication) auch funktionieren kann. (kein Neustart erforderlich)

Stellen Sie sicher, dass Sie die Risiken verstehen, wenn Sie diese verwenden, und patchen Sie Ihre Systeme so schnell wie möglich.

[1] Alle GPO CredSSP-Beschreibung und Registrierungsänderungen werden hier beschrieben.

[2] Beispiele für GPO und Registrierungseinstellungen für den Fall, dass die Microsoft-Site ausfällt.

16
  1. Gehen Sie zu "Editor für lokale Gruppenrichtlinien> Administrative Vorlagen> System> Delegierung von Anmeldeinformationen> Oracle Remediation für Verschlüsselung", bearbeiten und aktivieren Sie ihn und setzen Sie "Schutzstufe" auf "Abgemildert".
  2. Festlegen des Registrierungsschlüssels (von 00000001 bis 00000002) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle" = dword:
  3. Starten Sie Ihr System bei Bedarf neu.
7
Mohammad Lotfi

Der Registrierungswert war auf meinem Windows 10-Computer nicht vorhanden. Ich musste zu den folgenden lokalen Gruppenrichtlinien gehen und die Änderung auf meinen Client anwenden:

Computerkonfiguration -> Administrative Vorlagen -> System -> Delegierung von Anmeldeinformationen - Verschlüsselung Oracle Remediation

Aktivieren und auf den Wert vulnerable. Setzen.

4
Ion Cojocaru

Es wird empfohlen, den Client anstelle dieser Art von Skripten zu aktualisieren, um den Fehler nur zu umgehen. Sie können dies jedoch auf eigenes Risiko auf dem Client tun, ohne den Client-PC neu starten zu müssen. Auch keine Notwendigkeit, etwas auf dem Server zu ändern.

  1. Öffnen Sie Run und geben Sie gpedit.msc und klicken Sie auf OK.
  2. Erweitern Administrative Templates.
  3. Erweitern Sie System.
  4. Öffnen Sie Credentials Delegation.
  5. Doppelklicken Sie auf der rechten Seite auf Encryption Oracle Remediation.
  6. Wählen Sie Enable.
  7. Wählen Sie Vulnerable aus Protection Level Liste.

Diese Richtlinieneinstellung gilt für Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktopverbindung).

Einige Versionen des CredSSP-Protokolls sind anfällig für einen Oracle-Angriff mit Verschlüsselung gegen den Client. Diese Richtlinie steuert die Kompatibilität mit anfälligen Clients und Servern. Mit dieser Richtlinie können Sie die Schutzstufe festlegen, die für die Oracle-Sicherheitsanfälligkeit durch Verschlüsselung gewünscht wird.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Unterstützung der CredSSP-Version basierend auf den folgenden Optionen ausgewählt:

Aktualisierte Clients erzwingen: Clientanwendungen, die CredSSP verwenden, können nicht auf die unsicheren Versionen zurückgreifen, und Dienste, die CredSSP verwenden, akzeptieren keine nicht gepatchten Clients. Hinweis: Diese Einstellung sollte erst bereitgestellt werden, wenn alle Remote-Hosts die neueste Version unterstützen.

Abgemildert: Clientanwendungen, die CredSSP verwenden, können nicht auf die unsichere Version zurückgreifen, aber Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients. Unter dem folgenden Link finden Sie wichtige Informationen zum Risiko, das von verbleibenden nicht gepatchten Kunden ausgeht.

Anfällig: Clientanwendungen, die CredSSP verwenden, setzen die Remoteserver Angriffen aus, indem sie das Zurückgreifen auf unsichere Versionen unterstützen, und Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients.

  1. Klicken Sie auf Übernehmen.
  2. OK klicken.
  3. Erledigt.

(enter image description hereReferenz

3
AVB

Dieser Typ hat eine Lösung für Ihr genaues Problem:

Im Wesentlichen müssen Sie die Einstellungen GPO] ändern und ein Update erzwingen. Für diese Änderungen ist jedoch ein Neustart erforderlich, damit sie wirksam werden.

  1. Kopieren Sie diese beiden Dateien von einem frisch aktualisierten Computer.

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Did Feb 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd Feb 2018 - Ihr lokaler Ordner kann unterschiedlich sein, d. H. En-GB)
  2. Navigieren Sie auf einem DC zu:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Benennen Sie das aktuelle CredSsp.admx bis CredSsp.admx.old
    • Kopieren Sie das neue CredSsp.admx in diesen Ordner.
  3. Auf dem gleichen DC navigieren Sie zu:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (oder Ihre Landessprache)
    • Benennen Sie das aktuelle CredSsp.adml bis CredSsp.adml.old
    • Kopieren Sie das neue CredSsp.adml Datei in diesen Ordner.
  4. Versuchen Sie Ihre Gruppenrichtlinie erneut.

https://www.petenetlive.com/KB/Article/00014

0
Justin

RUN POWERSHELL ALS ADMIN UND RUN FOLOWING COMMAND

REG  ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2
0
Hayk Jomardyan

Wie andere bereits gesagt haben, liegt dies an einem März-Patch, den Microsoft veröffentlicht hat. Sie haben am 8. Mai einen Mai-Patch veröffentlicht, der den März-Patch tatsächlich erzwingt. Wenn Sie also eine Workstation haben, die den Mai-Patch erhalten hat, und versuchen, eine Verbindung zu einem Server herzustellen, der den März-Patch nicht erhalten hat, wird in Ihrem Screenshot die Fehlermeldung angezeigt.

Die Auflösung Sie möchten die Server wirklich so patchen, dass sie den März-Patch haben. Andernfalls können Sie in der Zwischenzeit eine Gruppenrichtlinie oder eine Registrierungsbearbeitung anwenden.

Ausführliche Anweisungen finden Sie in diesem Artikel: Beheben der nicht unterstützten Authentifizierungsfehlerfunktion CredSSP-Fehler RDP

Sie können auch Kopien der ADMX- und ADML-Dateien finden, falls Sie diese suchen müssen.

0
Robert Russell

Versuchen Sie einfach, Network Level Authentication Auf dem Remotedesktop zu deaktivieren. Könnten Sie bitte das folgende Bild überprüfen:

(enter image description here

0
Mike Darwish

Ich habe das gleiche Problem. Clients sind auf Win7 und RDS-Server sind 2012R2, Clients erhielten "2018-05 Security Monthly Quality Rollup Update (kb4019264)". Danach alles gut entfernen.

0
Root Loop

Öffnen Sie PowerShell als Administrator und führen Sie den folgenden Befehl aus:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Versuchen Sie jetzt, eine Verbindung zum Server herzustellen. Es wird klappen.

0
Mukesh Salaria

Ich habe festgestellt, dass einige unserer Computer irgendwann im Januar die Ausführung von Windows Update eingestellt haben (wir führen lokale WSUS in unserer Domäne aus). Ich vermute, ein früherer Patch hat das Problem verursacht (der Computer würde sich über das Veralten beschweren, aber die Jan-Patches, die er für erforderlich hielt, nicht installieren). Aufgrund des 1803-Updates konnten wir Windows Update von MS nicht direkt verwenden, um es zu beheben (würde aus irgendeinem Grund eine Zeitüberschreitung verursachen und Updates würden nicht ausgeführt).

Ich kann bestätigen, dass wenn Sie den Computer auf Version 1803 patchen, er das Update dazu enthält. Wenn Sie einen schnellen Pfad benötigen, um dies zu beheben, habe ich Windows Update Assistant (oberster Link mit der Aufschrift Update) verwendet, um das Update direkt durchzuführen (scheint aus irgendeinem Grund stabiler als Windows Update zu sein).

0
Machavity

Wir haben das neueste Sicherheitsupdate KB410731 entfernt und konnten ab Build 1709 und früher eine Verbindung mit Windows 10-Computern herstellen. Für PCs, die wir auf Build 1803 aktualisieren konnten, wurde das Problem behoben, ohne KB4103731 zu deinstallieren.

0
Gabriel C

Ich habe die Antwort gefunden hier , kann sie also nicht als meine eigene beanspruchen, aber durch Hinzufügen des folgenden Schlüssels zu meiner Registrierung und Neustart wurde sie für mich behoben.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
0
Graham Cuthbert