После обновления Windows я получаю эту ошибку при попытке подключиться к серверу с помощью подключения к удаленному рабочему столу.
Когда читаете ссылку, представленную в сообщении об ошибке, кажется, из-за обновления на 2018/05/08:
8 мая 2018 г.
Обновление, позволяющее изменить настройку по умолчанию с Уязвимые на Сниженные.
Соответствующие номера базы знаний Майкрософт перечислены в CVE-2018-0886.
Есть ли решение для этого?
Альтернативный метод для gpedit с использованием cmd:
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2
Я нашел одно решение. Как описано в справочной ссылке, я попытался откатиться с обновления 2018/05/08, изменив значение этой групповой политики:
Запустите gpedit.msc
Конфигурация компьютера -> Административные шаблоны -> Система -> Делегирование учетных данных -> Шифрование Oracle Remediation
Измените его на « Включить» и на уровне защиты, верните обратно в « Уязвимый».
Я не уверен, может ли это снизить риск того, что злоумышленник воспользуется моим соединением. Я надеюсь, что Microsoft исправит это в ближайшее время, чтобы я мог восстановить настройку на рекомендованную настройку Mitigated.
(Размещен ответ от имени автора вопроса).
Как и в некоторых ответах, лучшим решением для этой ошибки является обновление как сервера, так и клиентов до версии> = обновление от 2018-05-08 от Microsoft.
Если вы не можете обновить их оба (т. Е. Вы можете обновить только клиента или сервер), вы можете применить один из обходных путей из ответов ниже и изменить конфигурацию обратно как можно скорее, чтобы минимизировать продолжительность уязвимости, вызванной обходным решением.
Другой способ - установить клиент Microsoft Remote Desktop из MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps.
Эта проблема возникает только в моей виртуальной машине Hyper-V, и удаленное взаимодействие с физическими машинами в порядке.
Перейдите в раздел « Этот ПК» → «Параметры системы» → «Дополнительные параметры системы» на сервере, а затем я решил эту проблему, сняв флажок с целевой виртуальной машины «разрешать подключения только с компьютеров, работающих под управлением удаленного рабочего стола с аутентификацией на уровне сети (рекомендуется)».
После ответа ac19501 я создал два файла реестра, чтобы сделать это проще:
rdp_insecure_on.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002
rdp_insecure_off.reg
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
Я сталкивался с такими же проблемами. Лучшим решением было бы обновить компьютер, к которому вы подключаетесь, вместо использования ответа Pham X Bach до более низкого уровня безопасности.
Однако, если вы не можете обновить машину по какой-то причине, его обходной путь работает.
Удаление:
Это обновление содержит патч для уязвимости CVE-2018-0886. На непатчированном сервере это позволяет им без них.
Обновление примера GPO на экране печати.
На основании ответа "reg add" HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters "/f /v Разрешить шифрованиеOracle /t REG_DWORD /d 2"
Ключевой путь: Программное обеспечение \Microsoft \Windows \CurrentVersion \Policies \System \CredSSP \Parameters
Имя значения: AllowEncryptionOracle
Значение данных: 2
Вам необходимо установить Центр обновления Windows для сервера и всех клиентов. Чтобы найти обновление, перейдите по адресу https://portal.msrc.microsoft.com/en-us/security-guidance, затем найдите CVE 2018-0886 и выберите Обновление безопасности для установленной версии Windows.
Другой вариант, если у вас есть доступ к командной строке (у нас на сервере работает SSH-сервер), это запустить «sconfig.cmd» из командной строки. Вы получаете меню, как показано ниже:
Выберите опцию 7 и включите ее для всех клиентов, а не только для безопасности.
Как только это будет сделано, вы можете подключиться к удаленному рабочему столу. Похоже, для нас проблема была в том, что наши клиентские системы были обновлены для обеспечения новой безопасности, но наши серверные блоки отставали от обновлений. Я бы предложил получить обновления, а затем снова включить этот параметр безопасности.
Вам необходимо обновить Windows Server с помощью Центра обновления Windows. Все необходимые патчи будут установлены. Затем вы можете снова подключиться к серверу через удаленный рабочий стол.
Вам необходимо установить kb4103725
Узнайте больше по адресу:https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725
Для серверов мы также можем изменить настройку через Remote PowerShell (при условии, что WinRM включен и т.д.)
$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)
Теперь, если этот параметр управляется доменным объектом групповой политики, возможно, он вернется, поэтому вам нужно проверить объекты групповой политики. Но для быстрого исправления это работает.
Ссылка: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell