2018-05-09 03:54:35 +0000 2018-05-09 03:54:35 +0000
90
90

Ferndesktopverbindungsfehler nach der Aktualisierung von Windows 2018/05/08 - CredSSP-Updates für CVE-2018-0886

Nach Windows Update erhalte ich diesen Fehler, wenn ich versuche, eine Verbindung zu einem Server über Ferndesktopverbindung herzustellen.

Wenn ich den in der Fehlermeldung angegebenen Link lese, scheint es wegen eines Updates am 08.05.2008 zu sein:

  1. Mai 2018

Ein Update, um die Standardeinstellung von anfällig in abgeschwächt zu ändern.

Verwandte Nummern der Microsoft Knowledge Base sind in CVE-2018-0886 aufgeführt.

Gibt es dafür eine Lösung?

Antworten (9)

39
39
39
2018-05-09 04:21:59 +0000

Ich habe eine Lösung gefunden. Wie in der Hilfe-Link beschrieben, versuchte ich ein Rollback vom Update 2018/05/08, indem ich den Wert dieser Gruppenrichtlinie änderte:

  • Run gpedit. msc

  • Computerkonfiguration -> Administrative Templates -> System -> Credentials Delegation -> Encryption Oracle Remediation

Ändern Sie es auf Enable und ändern Sie in Schutzstufe wieder auf Vulnerable.

Ich bin mir nicht sicher, ob es das Risiko eines Angreifers, der meine Verbindung ausnutzt, rückgängig machen kann. Ich hoffe, dass Microsoft dies bald beheben wird, so dass ich die Einstellung auf die empfohlene Einstellung Geschwächt zurücksetzen konnte.

21
21
21
2018-05-10 09:43:04 +0000

Wie in einigen Antworten ist die beste Lösung für diesen Fehler, sowohl Server als auch Clients auf Version >= das Update 2018-05-08 von Microsoft zu aktualisieren.

Wenn Sie nicht beide aktualisieren können (d. h. Sie können nur Client oder Server aktualisieren), könnten Sie eine der Umgehungslösungen aus den unten stehenden Antworten anwenden und die Konfiguration so schnell wie möglich zurück ändern, um die Dauer der durch die Umgehungslösung eingeführten Sicherheitsanfälligkeit zu minimieren.

12
12
12
2018-05-09 07:53:32 +0000

Eine andere Möglichkeit ist die Installation des Microsoft Remote Desktop-Clients aus dem MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

6
6
6
2018-05-10 06:04:59 +0000

Dieses Problem tritt nur in meiner Hyper-V-VM auf, und das Remoting auf physische Rechner ist OK.

Gehen Sie zu Dieser PC → Systemeinstellungen → Erweiterte Systemeinstellungen auf dem Server und dann habe ich es gelöst, indem ich die Ziel-VM “Verbindungen nur von Computern zulassen, auf denen Remote Desktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen)” deaktiviert habe.

3
3
3
2018-05-10 15:06:51 +0000

Nach der Antwort von ac19501 habe ich zwei Registrierungsdateien erstellt, um dies zu erleichtern:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
2
2
2
2018-05-10 15:08:41 +0000

Update des GPO-Beispiels auf dem Druckbildschirm.

Basierend auf der Antwort “reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters” /f /v AllowEncryptionOracle /t REG_DWORD /d 2" Druckbildschirm

Schlüsselpfad: Software\Microsoft\Windows\AktuelleVersion\Policies\System\CredSSP\Parameter Wertname: AllowEncryptionOracle Value-Daten: 2

1
1
1
2018-05-09 17:43:10 +0000

Eine weitere Möglichkeit, wenn Sie Zugriff auf die Befehlszeile haben (wir haben einen SSH-Server, der auf der Box läuft), ist es, “sconfig.cmd” von der Befehlszeile aus auszuführen. Sie erhalten ein Menü wie unten:

Wählen Sie Option 7, und schalten Sie sie für alle Clients ein, nicht nur für sichere.

Sobald das erledigt ist, können Sie den Remote-Desktop in. Es sieht für uns so aus, als ob das Problem darin bestand, dass unsere Client-Systeme für die neue Sicherheit aktualisiert wurden, aber unsere Server-Boxen mit den Aktualisierungen im Rückstand waren. Ich würde vorschlagen, die Updates zu holen und dann diese Sicherheitseinstellung wieder einzuschalten.

1
1
1
2018-05-10 14:35:23 +0000

Deinstallieren:

  • Für Windows 7 und 8.1: KB4103718 und/oder KB4093114 
  • Für Windows 10: KB4103721 und/oder   KB4103727  Server ohne Updates 

Dieses Update enthält einen Patch für die Sicherheitslücke CVE-2018-0886. Auf einem nicht gepatchten Server lässt es sie ohne diese Patches ein.

1
1
1
2018-05-10 11:02:13 +0000

Bei Servern können wir die Einstellung auch über Remote PowerShell ändern (vorausgesetzt, WinRM ist aktiviert, usw…)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Nun, wenn diese Einstellung von einem Domänen-GPO verwaltet wird, ist es möglich, dass sie rückgängig gemacht wird, also müssen Sie die GPOs überprüfen. Aber für eine schnelle Lösung funktioniert das hier.

Referenz: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell