После обновления Windows я получаю эту ошибку при попытке подключиться к серверу с помощью Remote Desktop Connection.
Когда читаешь ссылку, предоставленную сообщением об ошибке, кажется, что это связано с обновлением 2018/05/08:
8 мая 2018 г.
Обновление для изменения настройки по умолчанию с "Уязвимый" на "Защищенный".
Соответствующие номера базы знаний Microsoft перечислены в CVE-2018-0886.
Есть ли решение для этого?
]2
Альтернативный метод в gpedit с использованием УМК:
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2
Я нашел одно решение. Как описано в справочной ссылке, я попробовал откатиться от обновления 2018/05/08, изменив значение этой групповой политики:
Запустить gpedit.msc.
Конфигурация компьютера -> Административные шаблоны -> Система -> Делегирование учетных данных -> Шифрование Oracle Remediation.
Измените его на Enable, а в пункте Protection level измените обратно на Vulnerable.
Я не уверен, что это может снизить риск того, что злоумышленник воспользуется моим подключением. Я надеюсь, что Microsoft скоро исправит это, и я смогу восстановить настройки до рекомендуемого значения Смягченный.
(Отвечал от имени автора вопроса).
Как в ответы, лучшее решение для этой ошибки является обновление сервера и клиента до версии >= обновление 2018-05-08 от Microsoft.
Если вам не удается обновить оба они (т. е. вы можете только обновить клиент сервер or), то можно применить один из обходных путей, из ответов ниже, и измените настройки обратно как можно скорее, так что вы свести к минимуму продолжительность уязвимость представлен обходной путь.
Другой способ - установить клиент Microsoft Remote Desktop из MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps.
Эта проблема происходит только в моей гипер-V ВМ, и удаленного взаимодействия с физическими машинами-это нормально.
Перейти к . Этот ПК Системные → настройки → дополнительные параметры системы на сервере и тогда я решил ее сняв целевом VM "не разрешать подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети (рекомендуется) и"
После ac19501'ы ответ я создал два файла реестра, чтобы сделать это проще:
rdp_insecure_on.Рег
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002
rdp_insecure_off.Рег
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
Обновление групповой политики на примере на экране печати.
На основании ответа на "Добавить reg "в разделе реестра HKLM\программное обеспечение\Microsoft\окна\CurrentVersion равное\политики\система\проверку подлинности CredSSP\параметры" У /Ф /Х AllowEncryptionOracle /Т REG_DWORD С /Д 2 и"
Путь к разделу: программное обеспечение\Microsoft\окна\CurrentVersion равное\политики\система\проверку подлинности CredSSP\параметры <БР> Значение Имени: AllowEncryptionOracle <БР> Значение: 2<БР>
Я столкнулся с теми же проблемами. Лучшим решением было бы обновить машину, к которой вы подключаетесь, вместо того, чтобы использовать Pham X Bach answer для снижения уровня безопасности.
Однако, если вы не можете обновить машину по какой-то причине, его обходной путь работает.
Вам нужно обновить вашу Windows Server с помощью Центра Обновления Windows. Все необходимые исправления будут установлены. Затем вы можете подключиться к своему серверу через удаленный рабочий стол.
Вам нужно установить kb4103725
Подробнее на: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725
Для сервера, мы можем также изменить настройку с помощью удаленной оболочки PowerShell (при условии WinRM не включен, и т. д...)
$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)
Теперь, если этот параметр управляемый объект групповой политики домена, он's возможно, что это'МР вернуться, поэтому необходимо для проверки объектов групповой политики. Но для быстрого решения, это работает.
Ссылка: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell
Удаление:
Это обновление содержит исправление для уязвимости CVE-2018-0886. На не пропатченную, он позволяет им без них.
Другой вариант, если у вас есть доступ к командной строке (у нас есть SSH сервер работает на поле), чтобы запустить "и средство sconfig.УМК" из командной строки. Появится меню, как показано ниже:
Выберите вариант 7 и включите его для всех клиентов, не только безопасно.
Как только это's сделать, вы можете удаленного рабочего стола. Похоже, для нас проблема была нашим клиентом системы получили обновление для новой системы безопасности, но наш сервер ящики были за обновления. Я'd предлагает получать обновления, а затем включите этот параметр безопасности обратно.
Вам нужно установить обновление Windows для сервера и всех клиентов. Искать обновления, перейдите к https://portal.msrc.microsoft.com/en-us/security-guidance тогда искать 2018-0886 CVE и выбрать обновления для установленной версии Windows.