Ошибка #
После обновления Windows безопасности в мае 2018 года, при попытке RDP в Windows 10 Профессиональная рабочая станция отображается следующее сообщение об ошибке после успешного ввода учетных данных пользователя:
произошла ошибка проверки подлинности. Запрашиваемая функция не поддерживается.
это может быть связано в CredSSP шифрования оракул территории
Отладка #
Мы подтвердили, что учетные данные пользователя являются правильными.
Перезагрузил рабочую станцию.
Подтвердил на прем служб каталогов операционной.
Изолированные рабочие места еще для применения обновления для системы безопасности может не производиться.
Можно управлять во временную для на Пермский хозяева, озабоченные облачных однако доступ к серверу. Не найдено на сервере 2016 года пока нет.
Спасибо
Целиком и полностью базируется на Грэм Катберт's ответ я создал в блокноте текстовый файл со следующими строками, и просто дважды нажал потом (что надо добавить в реестре все параметры в файле).
Сразу отметим, что в первой строке варьируется в зависимости от того, какая версия Windows вы используете, так что это может быть хорошей идеей, чтобы открыть regedit и экспортировать любые правила просто, чтобы увидеть, что's в первой строке и использовать ту же версию в файл.
Кроме того, я не обеспокоен унижающих достоинство видов безопасности в данной конкретной ситуации, поскольку я с подключением к защищенной сети VPN и система не имеет доступа к интернету и, следовательно, не'т иметь последние обновления.
Файл rd_patch.Редж`:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
Для тех, кто хотел бы что-то легкое, чтобы скопировать / вставить в командную строку:
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
учетные данные поддерживают протокол безопасности поставщик (проверку подлинности CredSSP) является > у поставщика проверки подлинности, который обрабатывает запросы на проверку подлинности на другие приложения.
существует уязвимость удаленного выполнения кода в непропатченной версии проверку подлинности CredSSP. Злоумышленник, успешно воспользовавшийся этой уязвимостью может реле учетные данные пользователя, чтобы выполнить код на целевой системе. Любой приложения, которое зависит от CredSSP для проверки подлинности может быть уязвимы для такого типа атак.
[...]
13 марта 2018 года,
начальной 13 марта 2018 года, выпуск обновлений на проверку подлинности CredSSP протокола и клиентов удаленного рабочего стола для всех уязвимых платформ.
по смягчению последствий включает в себя установку обновлений на все клиентские право > и серверных операционных систем, а затем с помощью групповой политики В настройках или реестре эквиваленты для управления параметрами настройки на клиентских и серверных компьютерах. Мы рекомендуем администраторам применить политику и установить его на “силу обновленные клиенты” или “смягчены” на клиентские и серверные компьютеры как можно скорее. Эти изменения потребует перезагрузки пострадавших систем.
уделять пристальное внимание к групповой политике или пары параметры реестра, которые в результате “заблокированные” взаимодействий между клиентами и серверами в В таблице совместимости ниже в этой статье.
17 апреля 2018 года,
клиент удаленного рабочего стола (RDP) версии обновления в КБ 4093120 будет увеличьте сообщение об ошибке, которое представлено, когда обновленный клиент не удается подключиться к серверу, который не был обновлен.
8 мая 2018 года
и gt; Обновление, чтобы изменить значение по умолчанию из уязвимых, чтобы смягчить.
Источник: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]
Смотрите также по этой теме на Reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]
Майкрософт'ы решение:
Не рекомендуется использовать обходные пути, если ваш сервер находится в открытом доступе, или если у вас нет строгого контроля трафика во внутренней сети, но иногда перезапуск RDP-сервер в рабочие часы не идут.
Будьте уверены, чтобы понять риски при использовании тех и патч вашей системы как можно скорее.
[1] Все групповой политики CredSSP нужно описание и модификации реестра описаны здесь.
[2] Примеры групповой политики и параметров реестра в случае Microsoft'с сайтом.
Исследование #
Ссылаясь на эту статью:
https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/
возможно предварительное обновление 2018, которые могут повлиять на возможность установления удаленного узла сеанса связи внутри организации. Эта проблема может возникнуть, если в локальном клиенте и удаленного узла имеют разные “шифрования территории Оракул” параметры в реестре, которые определяют, как создать RDP сессии с проверку подлинности CredSSP. В “шифрование в Oracle территории” параметры указаны ниже и если сервер или клиент имеют разные ожидания по созданию безопасного сеанса связи может быть заблокирован.
второе обновление, ориентировочно намечен на 8 мая, 2018, будут изменять поведение по умолчанию от “уязвимых” до “смягчить”.
если вы заметили, если и клиент, и сервер пропатчен, но установка политики по умолчанию остается в “уязвимых” подключение RDP, является “уязвимым” для атаки. После настройки по умолчанию изменены, чтобы “смягчить”, то подключение становится “защищенной” по умолчанию.
Постановление №
На основе этой информации я исхожу, чтобы убедиться, что все клиенты полностью пропатчен, то я ожидаю, что проблема будет смягчена.
Значение реестра не было на моем компьютере под управлением Windows 10. Мне пришлось перейти на следующий локальной групповой политики и применить изменения на мой клиент:
и gt; Настройки -&ГТ компьютер; Административные шаблоны -и gt; Система -> передача учетных данных--шифрование в Oracle территории
Включить и установить значение "уязвимым".
Это's рекомендуемые обновления клиента вместо подобных сценариев, чтобы просто пропустить ошибку, но на свой страх и риск вы можете сделать это на клиента и без необходимости перезагрузки клиентского компьютера. Также нет необходимости менять любую вещь на сервере.
и нажмите
OK`.Делегации
.территории шифрования Оракул
.уязвимых
от уровня защиты
.этот параметр политики применяется для приложений, использующих проверку подлинности CredSSP компонентом (например: подключение к удаленному рабочему столу).
В некоторых версиях протокола CredSSP уязвимы для шифрования атака Oracle в отношении клиента. Эта политика совместимости контролирует с уязвимыми клиентами и серверами. Эта политика позволяет установить уровень защиты необходимый для шифрования в Oracle уязвимость.
если включить этот параметр политики, поддерживающие CredSSP версия будет выбирать исходя из следующих вариантов:
В силу обновленные клиенты: клиентских приложений, которые используют проверку подлинности CredSSP не будет уметь отступить на небезопасных версий и сервисов с использованием проверку подлинности CredSSP не будет принимать необновленных клиентов. Примечание: этот параметр должен не будут развернуты, пока все удаленные хосты поддерживают новейшую версию.
смягчить: клиентских приложений, которые используют проверку подлинности CredSSP не сможете вернуться к небезопасной версией, но услуги, используя проверку подлинности CredSSP будет принять необновленных клиентов. См. ссылку ниже для получения важной информации По поводу риска, связанного с оставшейся неисправленной клиентов.
уязвимых клиентских приложений, которые используют проверку подлинности CredSSP будет подвергать удаленного сервера к атакам, поддерживая вернуться к незащищенному версиях и услуг, используя проверку подлинности CredSSP будет принимать необновленных клиентов.
Просто попробуйте отключить `подлинности на уровне сети с удаленного рабочего стола. Не могли бы вы, пожалуйста, проверьте следующие изображения:
Откройте PowerShell от имени администратора и выполните следующую команду:
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2
Попробуйте сейчас подключиться к серверу. Он будет работать.
Я обнаружил, что некоторые наши машины перестали выполнять обновления Windows (бежим локального WSUS через наш домен) где-то в январе. Я'м предполагаем, что до патча возникла проблема (машина будет жаловаться на устаревшие, но не'т установить патчи января он сказал, что это необходимо). В связи с обновлением 1803, мы не'Т просто использовать Центр обновления Windows от MS напрямую исправить (будет тайм-аут по каким-то причинам и обновления не'т бежать).
Я могу подтвердить, что если вы патч на машины для версии 1803 он содержит все исправить. Если вам нужен быстрый путь, чтобы исправить это, я использовал обновления Windows помощник (сверху ссылку Обновить) для обновления напрямую (кажется более стабильной, чем обновления Windows по какой-то причине).
Этот парень имеет решение для вашего конкретного вопроса:
По сути - вы'будете иметь, чтобы изменить параметры групповой политики и принудительного обновления. Но эти изменения требуют перезагрузки, чтобы быть в силе.
- Скопируйте эти два файла из свеже обновленная машина;
C:\Windows\PolicyDefinitions\CredSsp.admx
(ДТД же февраля 2018)C:\Windows\PolicyDefinitions\en-US\CredSsp.adml
(ДТД февраля 2018 – локальной папке могут быть разные, т. е. Ан-ГБ)
- На контроллере домена, выполните следующие команды:
C:\Windows\SYSVOL\sysvol\<домен> политики\папку policydefinitions
- переименование проверку подлинности CredSSP текущей.файлы ADMX " на " проверку подлинности CredSSP.файлы ADMX.старый
- копия проверку подлинности CredSSP нового.ADMX-файлы в этой папке.
- На одном ДЦ перейдите к:
C:\Windows\SYSVOL\sysvol\<домен> политика\\\папку policydefinitions ан-Нас
(или местном языке)- переименование проверку подлинности CredSSP текущей.adml-файлы " на " проверку подлинности CredSSP.adml-файлы.старый
- копия проверку подлинности CredSSP нового.файл adml-файлы в этой папке.
- Попробуйте еще раз ваш групповой политики.
Как другие сказали, это из-за мартовского патча, которые Microsoft выпустила. Они выпустили патч мая на 8 мая, что фактически навязывает мартовский патч. Так что если у вас есть рабочая станция, которая получила патч может и вы'вновь пытается подключиться к серверу, который еще'т получил мартовский патч, вы'будете получать сообщение об ошибке в Google.
Разрешение Вы действительно хотите патч сервера, так что они имеют мартовский патч. В противном случае, в то же время вы можете применить групповую политику или изменение в реестре.
Вы можете прочитать подробные инструкции в этой статье: [Как исправить ошибка функции проверки подлинности не поддерживает проверку подлинности CredSSP ошибка РДП][1]
Вы также можете найти копии ADMX и adml-файлы в случае, если вам нужно их найти.
[1]: https://www.tecklyfe.com/how-to-fix-authentication-error-function-not-supported-credssp-error-rdp/ "Как исправить ошибки функция проверки подлинности не поддерживает проверку подлинности CredSSP ошибку RDP"и
Я нашел ответ hereтак может'т сказать, что это мой собственный, но добавив следующий ключ в реестр и перезагрузки установил ее для меня.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
Мы удалены, что последнее обновление KB410731 безопасности, и мы смогли соединиться с окном 10 машин на Build 1709 и раньше. Для ПК's мы могли бы модернизировать, чтобы построить 1803, решить проблему без удаления KB4103731.