A 2018. május után kiadott Windows biztonsági frissítések telepítése után hibát tapasztalhat CredSSP titkosítási oraklusz helyreigazítás amikor az RDP távoli szerverhez és Windows számítógéphez van csatlakoztatva, a következő esetekben:
- Csatlakozik a számítógép távoli asztalához egy nemrég telepített Windows (például RTM) verzióval (például a Windows 10 alatt, a 1803-as verzió alatt, a Windows Server 2012 R2, a Windows Server 2016), amelyre a legfrissebb Windows biztonsági frissítések nincsenek telepítve;
- Megpróbál csatlakozni egy olyan RDP-számítógéphez, amelyre hosszú ideje nem telepítette a Microsoft frissítéseit;
- Az RDP kapcsolat blokkolja a távoli számítógépet, mert nincs szükség biztonsági frissítésekre az ügyfélszámítógépen.
Próbáljuk kitalálni, mit jelent az RDP hiba. CredSSP titkosítási oraklusz helyreigazítás és hogyan tudom megjavítani.
Tehát, amikor megpróbál kapcsolódni a RemoteApp alkalmazáshoz RDS-kiszolgálókon a Windows Server 2016/2012 R2 / 2008 R2 alatt, vagy más felhasználók távoli asztalaihoz az RDP protokollt használva (Windows 10, 8.1 vagy 7), hiba jelentkezik:
Távoli asztali kapcsolatHitelesítési hiba történt.
A funkció nem támogatott.
Távoli számítógép: gazdagép neve
Ennek oka a CredSSP titkosítási orakula helyreállítása.
A hitelesítés sikertelen.
A megadott funkció nem támogatott..
A hiba oka a CredSSP titkosítás javítása lehet.
Ez a hiba annak oka, hogy a Windows Server rendszeren vagy a Windows szokásos asztali verzióin, amelyekhez RDP-vel kapcsolódni próbálnak, a Windows biztonsági frissítéseit nem telepítették (legalább 2018. március óta)..
Ez a hiba is így néz ki: Hitelesítési hiba történt. A megadott funkció nem támogatott..A tény az, hogy 2018 márciusában a Microsoft kiadott egy frissítést, amely bezárja a kód távoli végrehajtásának lehetőségét a CredSSP (Credential Security Support Provider) protokoll sebezhetősége alapján. A problémát a CVE-2018-0886 közlemény részletezi. 2018 májusában újabb frissítést tett közzé, amelyben alapértelmezés szerint a Windows ügyfelek nem csatlakozhatnak a CredSSP protokoll sebezhető (nem csomagolt) verziójú távoli RDP-kiszolgálókhoz..
Ha tehát nem telepített összesített biztonsági frissítést a Windows RDS / RDP kiszolgálókra (számítógépekre) 2018 márciusa óta, és a májusi frissítéseket (vagy újabb) az RDP ügyfelekre telepítették, akkor amikor megpróbál kapcsolódni az RDS kiszolgálókhoz a CredSSP páratlan verziójával. hiba jelenik meg a csatlakozás lehetetlenségéről: Ennek oka a CredSSP titkosítási orakula helyreállítása.
Az ügyfél RDP hibája a következő biztonsági frissítések telepítése után jelenik meg:
- Windows 7 / Windows Server 2008 R2 - KB4103718
- Windows 8.1 / Windows Server 2012 R2 - KB4103725
- Windows Server 2016 - KB4103723
- Windows 10 1803 - KB4103721
- Windows 10 1709 - KB4103727
- Windows 10 1703 - KB4103731
- Windows 10 1609 - KB4103723
Az asztali távoli kapcsolat visszaállításához eltávolíthatja annak az ügyfélnek a biztonsági frissítéseit, ahonnan az RDP kapcsolat létrejön (de ez az rendkívüli módon nem ajánlott, azaz van egy biztonságosabb és helyesebb megoldás).
A probléma megoldásához megteheti ideiglenesen azon a számítógépen, amelyhez az RDP-n keresztül csatlakozik, tiltsa le a CredSSP verziójának ellenőrzését a távoli számítógépen. Ezt megteheti a helyi csoportszabály-szerkesztő segítségével. Ehhez:
- Indítsa el a helyi GPO-szerkesztőt - gpedit.msc;
- Lépjen az irányelvek szakaszba Számítógép konfigurálása -> Felügyeleti sablonok -> Rendszer -> Hitelesítő adatok delegálása (Számítógépes konfiguráció -> Felügyeleti sablonok -> Rendszer -> Hitelesítő adatok átvitele);
- Keressen egy házirendet a névvel Titkosítás Oracle rehabilitáció (Javítás a titkosítási észlelési sérülékenység szempontjából). Kapcsolja be az irányelvet (Bekapcsolt/ Engedélyezve), és a legördülő listában lévő paraméterként válassza a lehetőséget sebezhető / Hagyja el a sebezhetőséget;
- Nem kell frissíteni a számítógépen található irányelveket (
gpupdate / force), és próbáljon RDP-n keresztül csatlakozni a távoli számítógéphez. Ha az irányelv be van kapcsolva Encryption jóslat kármentesítési értékkel sebezhető a CredSSP-kompatibilis terminálalkalmazások olyan RDS / RDP-kiszolgálókhoz és Windows számítógépekhez is csatlakozhatnak, amelyek nem rendelkeznek aktuális biztonsági frissítésekkel.
- erő korszerűsített Ügyfeleink - a legmagasabb szintű védelem, ha az RDP-kiszolgáló tiltja a nem frissített ügyfelekkel való kapcsolatot. Ezt a házirendet általában a teljes infrastruktúra teljes frissítése és a jelenlegi biztonsági frissítéseknek a szerver és munkaállomás Windows telepítőképeihez történő integrálása után kell beépíteni;
- mérsékelni - Ebben a módban a kimenő távoli RDP-kapcsolat a CredSSP sebezhető verziójú RDP-kiszolgálókkal blokkolva van. A CredSSP-t használó egyéb szolgáltatások azonban jól működnek;
- sebezhető -a legalacsonyabb szintű védelem megengedett, ha egy RDP szerverhez kapcsolódik a CredSSP sebezhető verziójával.
Ha nincs helyi GPO-szerkesztő (például a Windows otthoni kiadásaiban), akkor módosíthatja, hogy az RDP a CredSSP nem kiadott verziójú kiszolgálóival közvetlenül a rendszerleíró adatbázisba csatlakozzon a következő paranccsal:REG ADD HKLM \ SZOFTVER \ Microsoft \ Windows \ CurrentVersion \ Házirendek \ Rendszer \ CredSSP \ Paraméterek / v AllowEncryptionOracle / t REG_DWORD / d 2
Ezt a paramétert azonnal módosíthatja a nyilvántartásban sok AD számítógépen a GPO tartomány használatával (gpmc.msc konzol) vagy egy ilyen PowerShell szkripttel (a tartományban található számítógépek listája az RSAT-AD-PowerShell modul Get-ADComputer parancsmagával érhető el):
Importmodul ActiveDirectory
$ PSs = (Get-ADComputer-Szűrő *). DNSHostName
Foreach ($ számítógép $ PC-kben)
Invoke-Command -ComputerName $ computer -ScriptBlock
REG ADD HKLM \ SZOFTVER \ Microsoft \ Windows \ CurrentVersion \ Házirendek \ Rendszer \ CredSSP \ Paraméterek / v AllowEncryptionOracle / t REG_DWORD / d 2
A távoli RDP-kiszolgálóhoz (számítógéphez) történő sikeres csatlakozás után a legfrissebb biztonsági frissítéseket telepítenie kell a Windows Update szolgáltatáson keresztül (ellenőrizze, hogy a szolgáltatás be van-e kapcsolva) vagy manuálisan. Töltse le és telepítse a legfrissebb összesített Windows frissítést a fent bemutatottak szerint. Ha az „Ez a frissítés nem vonatkozik a számítógépére” hibaüzenet jelenik meg az MSU frissítés telepítésekor, tekintse meg a cikkeket a következő címen:.
A már nem támogatott Windows XP / Windows Server 2003 esetén telepítenie kell a Windows Embedded POSReady 2009 frissítéseit. Például: https://support.microsoft.com/en-us/help/4056564A frissítések telepítése és a kiszolgáló újraindítása után ne felejtse el letiltani az ügyfelekre vonatkozó irányelvet (vagy állítsa azt Frissített ügyfelek kényszerítésére), vagy adja meg az értéket 0 az AllowEncryptionOracle beállításkulcshoz. Ebben az esetben a számítógépét nem fenyegeti annak veszélye, hogy a CredSSP-vel nem biztonságos gazdagépekhez kapcsolódik, és kihasználja a biztonsági rést.
REG ADD HKLM \ SZOFTVER \ Microsoft \ Windows \ CurrentVersion \ Házirendek \ Rendszer \ CredSSP \ Paraméterek / v AllowEncryptionOracle / t REG_DWORD / d 0 / f
Van egy másik forgatókönyv, amikor a számítógépen nem érhetők el frissítések. Például az RDP-kiszolgáló frissül, de rendelkezik olyan irányelvvel, amely blokkolja a CredSSP sebezhető verziójú számítógépek RDP-kapcsolatait (erő korszerűsített Ügyfeleink). Ebben az esetben az RDP-kapcsolat során a következő hibaüzenet jelenik meg: „Ennek oka a CredSSP titkosítási oraklia helyreigazítása lehet”.
Ellenőrizze a Windows frissítések telepítésének legfrissebb dátumát a számítógépére a PSWindowsUpdate modul használatával vagy a PowerShell konzol WMI parancsán keresztül:
gwmi win32_quickfixengineering | sort installon -desc
Ez a példa azt mutatja, hogy a legfrissebb Windows biztonsági frissítéseket 2018. június 17-én telepítették. Töltse le és telepítse egy újabb .msu fájlt, összesített frissítéssel a Windows kiadáshoz (lásd fent).
