88

После обновления Windows я получаю эту ошибку при попытке подключиться к серверу с помощью подключения к удаленному рабочему столу.

Когда читаете ссылку, представленную в сообщении об ошибке, кажется, из-за обновления на 2018/05/08:

8 мая 2018 г.

Обновление, позволяющее изменить настройку по умолчанию с Уязвимые на Сниженные.

Соответствующие номера базы знаний Майкрософт перечислены в CVE-2018-0886.

Есть ли решение для этого?

Ошибка RDC

13 ответов13

88

Альтернативный метод для gpedit с использованием cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2
39

Я нашел одно решение. Как описано в справочной ссылке, я попытался откатиться с обновления 2018/05/08, изменив значение этой групповой политики:

  • Запустите gpedit.msc

  • Конфигурация компьютера -> Административные шаблоны -> Система -> Делегирование учетных данных -> Шифрование Oracle Remediation

Измените его на « Включить» и на уровне защиты, верните обратно в « Уязвимый».

Я не уверен, может ли это снизить риск того, что злоумышленник воспользуется моим соединением. Я надеюсь, что Microsoft исправит это в ближайшее время, чтобы я мог восстановить настройку на рекомендованную настройку Mitigated.

Введите описание изображения здесь

19

(Размещен ответ от имени автора вопроса).

Как и в некоторых ответах, лучшим решением для этой ошибки является обновление как сервера, так и клиентов до версии> = обновление от 2018-05-08 от Microsoft.

Если вы не можете обновить их оба (т. Е. Вы можете обновить только клиента или сервер), вы можете применить один из обходных путей из ответов ниже и изменить конфигурацию обратно как можно скорее, чтобы минимизировать продолжительность уязвимости, вызванной обходным решением.

12

Другой способ - установить клиент Microsoft Remote Desktop из MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps.

5

Эта проблема возникает только в моей виртуальной машине Hyper-V, и удаленное взаимодействие с физическими машинами в порядке.

Перейдите в раздел « Этот ПК» → «Параметры системы» → «Дополнительные параметры системы» на сервере, а затем я решил эту проблему, сняв флажок с целевой виртуальной машины «разрешать подключения только с компьютеров, работающих под управлением удаленного рабочего стола с аутентификацией на уровне сети (рекомендуется)».

Снимите этот флажок

3

После ответа ac19501 я создал два файла реестра, чтобы сделать это проще:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
2

Я сталкивался с такими же проблемами. Лучшим решением было бы обновить компьютер, к которому вы подключаетесь, вместо использования ответа Pham X Bach до более низкого уровня безопасности.

Однако, если вы не можете обновить машину по какой-то причине, его обходной путь работает.

1

Удаление:

  • Для Windows 7 и 8.1: KB4103718 и / или KB4093114 
  • Для Windows 10: сервер KB4103721 и / или KB4103727 без обновлений 

Это обновление содержит патч для уязвимости CVE-2018-0886. На непатчированном сервере это позволяет им без них.

1

Обновление примера GPO на экране печати.

На основании ответа "reg add" HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters "/f /v Разрешить шифрованиеOracle /t REG_DWORD /d 2"

Снимок экрана

Ключевой путь: Программное обеспечение \Microsoft \Windows \CurrentVersion \Policies \System \CredSSP \Parameters
Имя значения: AllowEncryptionOracle
Значение данных: 2

1

Вам необходимо установить Центр обновления Windows для сервера и всех клиентов. Чтобы найти обновление, перейдите по адресу https://portal.msrc.microsoft.com/en-us/security-guidance, затем найдите CVE 2018-0886 и выберите Обновление безопасности для установленной версии Windows.

1

Другой вариант, если у вас есть доступ к командной строке (у нас на сервере работает SSH-сервер), это запустить «sconfig.cmd» из командной строки. Вы получаете меню, как показано ниже:

Введите описание изображения здесь

Выберите опцию 7 и включите ее для всех клиентов, а не только для безопасности.

Как только это будет сделано, вы можете подключиться к удаленному рабочему столу. Похоже, для нас проблема была в том, что наши клиентские системы были обновлены для обеспечения новой безопасности, но наши серверные блоки отставали от обновлений. Я бы предложил получить обновления, а затем снова включить этот параметр безопасности.

1

Вам необходимо обновить Windows Server с помощью Центра обновления Windows. Все необходимые патчи будут установлены. Затем вы можете снова подключиться к серверу через удаленный рабочий стол.

Вам необходимо установить kb4103725

Узнайте больше по адресу:https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725

1

Для серверов мы также можем изменить настройку через Remote PowerShell (при условии, что WinRM включен и т.д.)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Теперь, если этот параметр управляется доменным объектом групповой политики, возможно, он вернется, поэтому вам нужно проверить объекты групповой политики. Но для быстрого исправления это работает.

Ссылка: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .