Uy
Sharhlar
RDP autentifikatsiya xatosi. CredSSP shifrlash tuzatish. RDP autentifikatsiyasi Rdp windows 7 da belgilangan funksiya qoʻllab-quvvatlanmaydi.

RDP autentifikatsiya xatosi. CredSSP shifrlash tuzatish. RDP autentifikatsiyasi Rdp windows 7 da belgilangan funksiya qoʻllab-quvvatlanmaydi.

Bu xato CVE-2018–0886 uchun CredSSP yangilanishlarini o'rnatish bilan bog'liq. Muammo yangilanishni o'rnatish orqali hal qilinadi.

Kirish

2018-yil 13-mart kuni CredSSP autentifikatsiya protokoli uchun Windows xavfsizlik yangilanishi chiqarildi, u CVE-2018–0886 zaifligini yopadi. Hisob maʼlumotlari xavfsizligini qoʻllab-quvvatlash provayderi protokolida (CredSSP) zaiflikka ruxsat berilgan masofadan boshlash ixtiyoriy kod zaif tizimda.

2018-yilning 8-mayida Microsoft ulanish xavfsizligi darajasini “Zaif”dan “Mitigated”ga o‘zgartirdi va RDP orqali masofaviy ish stoliga ulanishda muammolar boshlandi.

Hisob ma'lumotlarini kiritgandan so'ng, xato paydo bo'ladi:

Haqiqiylikni tekshirishda xatolik yuz berdi.
Belgilangan funksiya qo'llab-quvvatlanmaydi.
Xato CredSSP shifrlashda tuzatish tufayli yuzaga kelishi mumkin

Yechim 1: Windows xavfsizlik yangilanishini serverga o'rnating.

  • CVE-2018–0886 zaiflik sahifasiga tashrif buyuring
  • Yuklashlar ustunidagi Ta'sir qilingan mahsulotlar bo'limida tegishli faylni tanlang, yuklab oling va o'rnating.

Yechim 2: Mijozda Windows xavfsizlik yangilanishini olib tashlang.

Yechim 3: Mijoz/serverdagi xavfsizlik siyosatini tahrirlang.

Agar siz serverga ulana olmasangiz va yangilanishni o'rnatolmasangiz, undan foydalanishga arziydi. Yangilanishni o'rnatgandan so'ng, siyosat asl holatiga qaytarilishi kerak.

Mahalliy guruh siyosati muharririni oching:

  • Win + R tugmalarini bosing
  • Gpedit.msc buyrug'ini kiriting va Enter tugmasini bosing

Xavfsizlik sozlamalarini o'zgartirish:

  • Kompyuter konfiguratsiyasi > Ma’muriy shablonlar > Tizim > Hisob ma’lumotlari delegatsiyasi
  • Encryption Oracle Remediation opsiyasini oching
  • "Enabled" ni tanlang.
  • Himoya darajasini "Zaif holda qoldiring" ("Zaif") ga o'rnating.

Siyosatda 3 ta variant mavjud:

  • Zaif - mijozlar zaif mashinalarga ulanishi mumkin.
  • Yengillashtirilgan - mijozlar zaif serverlarga ulana olmaydi, lekin serverlar zaif mijozlarni qabul qilishi mumkin.
  • Majburiy yangilangan mijozlar - mijozlar bilan o'zaro aloqaning xavfsiz darajasi.

Agar mijoz mashinasida Mahalliy guruh siyosati muharriri bo'lmasa, o'zgarishlar ro'yxatga olish kitobiga kiritiladi.

Keyingi yangilanishdan keyin operatsion tizim 2018 yil 8-may kuni bo'lgan Windows deyarli barcha foydalanuvchilar masofaviy ish stoliga (RDP va masofaviy dastur) ulanish muammosiga duch kelishdi.

Serverga ulanishga urinayotganda, mijoz mashinasi xatoni ko'rsatadi:
Masofaviy ish stoliga ulanish
Haqiqiylikni tekshirishda xatolik yuz berdi.
Belgilangan funksiya qo'llab-quvvatlanmaydi

Masofaviy kompyuter:
Xato CredSSP shifrlashda tuzatish tufayli yuzaga kelishi mumkin.
Qo'shimcha ma'lumot uchun https://go.microsoft.com/fwlink/?linkid=866660 sahifasiga qarang.

Mavjud ikki yo'l CredSSP shifrlash xatosini tuzatadi. Birinchi usul eng to'g'ri, ikkinchisi eng tezkor.

№1 CredSSP server tomonidagi shifrlashni tuzatish uchun yangilanishni o'rnating.

Muammoni hal qilish uchun CVE-2018-0886 yangilanishini server tomoniga o'rnatishingiz kerak yoki shaxsiy kompyuter RDP masofaviy ish stoli orqali ulanishingiz kerak.

№2 Mijoz kompyuterida CredSPP shifrlash xatosi haqida bildirishnomani o'chirib qo'ying.

Serverni yangilash bilan bezovta qilishni istamaydiganlar uchun ikkinchi usul - qutqaruvchi!

Nima qilsa bo'ladi:

1. Dasturni ishga tushiring " Bajarish" va u erda buyruqni yozing gpedit.msc Siz "" ko'rasiz
2. Keyin biz boramiz: Kompyuter konfiguratsiyasi - Ma'muriy shablonlar - Tizim - Hisob ma'lumotlarini topshirish.
Windows OS ning inglizcha versiyasi uchun yo'l quyidagicha: Kompyuter konfiguratsiyasi - Ma'muriy shablonlar - Tizim - Ishonch yorliqlari delegatsiyasi.

3. Bu erda siz "" ("Encryption Oracle Remediation") parametrini ochishingiz va "ni tanlashingiz kerak. kiritilgan"("Yoqilgan"). Va himoya darajasi " Zaiflikni qoldiring"("Zaif").

4. "tugmasini bosib o'zgarishlarni qo'llang KELISHDIKMI" va hammasi shu! Kompyuteringizni qayta ishga tushirishingiz kerak bo'lishi mumkin.

"Hisob ma'lumotlarini o'tkazish" da shunday bo'ladi. parametr yo'q"Oracle shifrlash zaifligini tuzatish." Keyin o'zgarishlarni ro'yxatdan o'tkazishingiz kerak ro'yxatga olish kitobiga qo'lda.

1. Dasturni ishga tushiring " Bajarish" va u erda buyruqni yozing regedit"Siz ochasiz" Ro'yxatga olish kitobi muharriri".

2. Biz quyidagi yo'l bo'ylab harakat qilamiz:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

3. Siz parametrni topishingiz kerak DWORD sarlavha bilan AllowEncryptionOracle va qiymatni qo'ying 2 . Agar bu parametr Yo'q, keyin sizga kerak uni yarating.

4. Kompyuterni qayta ishga tushirishni unutmang.

Ro'yxatga olish kitobiga o'zgartirish kiritishning yanada oson yo'li bor, siz shunchaki quyidagi buyruqni ishga tushirishingiz mumkin buyruq qatori(siz administrator huquqlariga ega bo'lishingiz kerak):

Bo'ldi shu!

Windows-ning Home versiyasi uchun tuzatish

1. Ishga tushirish buyruq qatori (cmd) Administrator nomidan.

2. Buyruqni joylashtiring yoki yozing:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Tugmachani bosgandan so'ng Kirish xabar paydo bo'lishi kerak: Operatsiya muvaffaqiyatli yakunlandi.

Bu buyruq o'zgarishlar kiritadi Windows ro'yxatga olish kitobi va kompyuterga CredSSP shifrlash protokoli yordamida ulanish imkonini beradi.

Hammaga omad va omad!

O'qing 47964 bir marta

Maqola tarkibi:

2018 yil 8-maydan keyin ko'plab operatsion tizim foydalanuvchilari Windows tizimlari Masofaviy ish stoli orqali boshqa Windows kompyuteriga kirishga urinayotganda (yoki masofaviy ilovadan foydalanganda) muammoga duch keldilar, ular quyidagi xatolikni oladi:

Haqiqiylikni tekshirishda xatolik yuz berdi.
Belgilangan funksiya qo'llab-quvvatlanmaydi
Xato CredSSP shifrlashda tuzatish tufayli yuzaga kelishi mumkin.

Umumiy ma'lumot

Xato matni bilan skrinshot

Ushbu maqolada biz ushbu xatoni tuzatishning 3 usulini ko'rib chiqamiz. Birinchi usul eng to'g'ri va agar siz ushbu muammoga duch kelsangiz, uni ishlatishingiz kerak. Ikkinchi va uchinchi usullar, garchi ular xatoni olib tashlashga imkon bersa ham, faqat yamoqni o'rnatish imkoni bo'lmagan taqdirda qo'llanilishi kerak.

1-usul: CreedSSP shifrlashni tuzatish uchun yangilanishni o'rnating

Ushbu xatoning sababi CVE-2018-0886 yangilanishi server tomonida yoki siz masofaviy ish stoli (RDP) yordamida ulanishga harakat qilayotgan kompyuterda yo'qligidadir. Buni bartaraf qilish uchun ushbu yangilanishni server vazifasini bajaradigan kompyuterga o'rnatish kifoya. Quyidagi havolalar orqali kerakli OS versiyasi uchun yangilanishni yuklab olishingiz mumkin:

2-usul: CreedSSP shifrlash xatosi haqida bildirishnomani guruh siyosati orqali o'chirib qo'ying

Agar biron sababga ko'ra yangilanishlarni o'rnatishning iloji bo'lmasa, ushbu xato xabarnomasini o'chirib qo'yishingiz mumkin. Buning uchun mijoz sifatida ishlaydigan kompyuterda biz quyidagi amallarni bajaramiz:

3-usul: Ro'yxatga olish kitobini tahrirlash orqali CreedSSP shifrlash xatosi haqida xabarnomani o'chirib qo'ying

Agar sizning Windows versiyangizda muharrir bo'lmasa guruh siyosati(masalan, Windows 10 Home), keyin siz ro'yxatga olish kitobiga kerakli o'zgarishlarni qo'lda qilishingiz kerak bo'ladi. Buning uchun mijoz sifatida ishlaydigan kompyuterda biz quyidagi amallarni bajaramiz:

  1. Ro'yxatga olish kitobi muharririni oching va quyidagi yo'lga o'ting: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
  2. Parametr qidirilmoqda DWORD chaqirdi AllowEncryptionOracle, va qiymatni o'rnating 2 . Agar bunday parametr bo'lmasa, uni yarating.
  3. Kompyuterni qayta yoqing

Ro'yxatga olish kitobi bilan chalkashishni istamaydiganlar uchun administrator huquqlari bilan buyruq satrida quyidagi buyruqni bajaring:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

13 mart kuni Microsoft CredSSP autentifikatsiya protokolidagi CVE-2018-0886 zaifligi tavsifini e'lon qildi, bu ayniqsa RDP orqali terminal serverlariga ulanishda qo'llaniladi. Keyinchalik Microsoft ushbu zaiflikka ega bo'lgan yangilanmagan serverlarga ulanishni bloklashini e'lon qildi. Natijada, ko'plab mijozlar RDP orqali ulanishda muammolarga duch kelishdi.

Xususan, Windows 7 da siz xatoni ko'rishingiz mumkin: "Autentifikatsiya xatosi yuz berdi. Belgilangan xususiyat qo'llab-quvvatlanmaydi"
Windows 10-da xato batafsilroq tavsiflangan, xususan, "Xato CredSSP shifrlashning tuzatilishidan kelib chiqqan bo'lishi mumkin":


Mijoz tomonidagi xatoni chetlab o'tish uchun ko'pchilik qiymatni belgilash orqali Guruh siyosatini o'chirishni maslahat beradi Oracle Remediation shifrlash V Zaif:
Kompyuter konfiguratsiyasi / Ma'muriy shablonlar / Tizim / Hisob ma'lumotlarini uzatishda gpedit.msc dan foydalanib, chap tomonda "Oracle shifrlash zaifligini tuzatish" ni tanlang (kulgili tarjima, albatta), sozlamalarda "Yoqilgan" ni o'rnating va "Zaiflikni qoldirish" ni tanlang.


yoki ro'yxatga olish kitobi orqali (chunki, masalan, Windows Home-da gpedit.msc buyrug'i mavjud emas):

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\/v AllowEncryptionOracle /t REG_DWORD /d 2


LEKIN! Buni qilishning hojati yo'q! Chunki Shunday qilib, siz zaiflik va trafikni va boshqa maxfiy ma'lumotlarni, shu jumladan parollarni ushlab qolish xavfini qoldirasiz. Bu zarur bo'lishi mumkin bo'lgan yagona vaqt - yangilanishlarni o'rnatish uchun RDP orqali masofaviy serverga ulanishning boshqa usuli bo'lmaganda (garchi har qanday bulutli provayder server konsoliga ulanish imkoniyatiga ega bo'lishi kerak). Yangilanishlarni o'rnatgandan so'ng darhol siyosatlar asl holatiga qaytarilishi kerak.

Agar siz masofaviy serverga kirish imkoniga ega bo'lsangiz, vaqtinchalik chora sifatida NLA (Tarmoq darajasidagi autentifikatsiya) talabini o'chirib qo'yishingiz mumkin va server CredSSP-dan foydalanishni to'xtatadi. Buni amalga oshirish uchun yorliqdagi Tizim xususiyatlariga o'ting masofaviy ulanishlar"Tarmoq darajasidagi autentifikatsiyaga ega masofaviy ish stoli bilan ishlaydigan kompyuterlardan ulanishga ruxsat berish" tegishli katakchani olib tashlang:

Ammo bu ham noto'g'ri yondashuv.

To'g'ri yondashuv, CredSSP-dagi CVE-2018-0886 zaifligini yopuvchi operatsion tizimga kerakli yangilanishlarni o'rnatish, ya'ni siz ulanayotgan server va siz ulanayotgan mijoz.

Windows 7 dan boshlab barcha operatsion tizimlar uchun yangilanishlar ro'yxati va Windows Server 2008-yilda mavjud: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Tanlang kerakli versiya operatsion tizim, tegishli yangilanishni katalogdan yuklab oling, o'rnating va qayta yoqing. Shundan so'ng, xato yo'qolishi kerak.
Masalan, Windows Server 2016 da yuklab olish havolasi quyidagicha bo'ladi:

May xavfsizlik yangilanishlarini o'rnatgandan so'ng (2018 yil 8-may kuni Windows 7/8/10 platformalarida va Windows Server 2008 R2 / 2012 R2 / 2016 server platformalarida), foydalanuvchilar RDP va RemoteApp orqali masofaviy kompyuterga kira olmaydilar va quyidagi xatolik yuzaga keladi:

Skrinshot: mijoz mashinasidan serverga RDP ulanishini amalga oshirgandan so'ng CredSSP xato oynasi.

2018 yil bahorining boshida Microsoft CredSSP protokolidagi zaiflikdan foydalangan holda masofaviy kod bajarilishiga to'sqinlik qiluvchi yangilanishni chiqardi va may oyida o'rnatilgandan so'ng yangilanish chiqdi, sukut bo'yicha mijoz mashinalarining zaif versiyasi bilan masofaviy RDP serverlariga ulanishi taqiqlanadi. CredSSP protokoli. Shunga ko'ra, agar bahor yangilanishlari mijozlarga o'rnatilgan bo'lsa, lekin Windows Server OS bilan ishlaydigan serverlarda o'rnatilmagan bo'lsa, biz ulanishda xatoga duch kelamiz:

"Autentifikatsiya qilishda xatolik yuz berdi. Belgilangan funksiya qo'llab-quvvatlanmaydi. Xato CredSSP tomonidan tuzatilgan bo'lishi mumkin."

Yoki inglizcha versiyasi:

"Bu CredSSP shifrlash oracle remediatsiyasi tufayli bo'lishi mumkin."

RDP mijoz xatosi xavfsizlik yangilanishlarini o'rnatgandan so'ng paydo bo'ladi:

  • Windows 7 / Windows Server 2008 R2 - KB4103718 yangilanishi
  • Windows 8.1 / Windows Server 2012 R2 - KB4103725 yangilanishi
  • Windows 10 1803 - KB4103721 yangilanishi
  • Windows 10 1709 - KB4103727 yangilanishi
  • Windows 10 1703 - KB4103731 yangilanishi
  • Windows 10 1609 - KB4103723 yangilanishi
  • Windows Server 2016 - KB4103723 yangilanishi

Ulanishni tiklash uchun siz shunchaki yuqoridagi yangilanishlarni o'chirib tashlashingiz mumkin, ammo bu harakat topilgan zaiflikni ochadi, shuning uchun muammoni hal qilish bo'yicha harakatlar rejasi quyidagicha bo'ladi:

  1. Biz RDP orqali ulanadigan kompyuterdagi ulanishni bloklaydigan xavfsizlik bildirishnomasini vaqtincha olib tashlaymiz;
  2. Keling, unga allaqachon tiklangan RDP ulanishi orqali ulanamiz va kerakli xavfsizlik patchini o'rnatamiz;
  3. Harakatlar rejasining birinchi bandida vaqtincha o'chirilgan xavfsizlik bildirishnomasini qaytaraylik.
  • Mahalliy guruh siyosati muharririni oching: Boshlash - Ishga tushirish - gpedit.msc;
  • Kompyuter konfiguratsiyasi - Ma'muriy shablonlar - Tizim - Hisob ma'lumotlari delegatsiyasi - ingliz bo'limiga o'ting;
  • Biz Encryption Oracle Remediation nomli siyosatni topamiz. "Enabled" siyosatini yoqing va ochiladigan ro'yxatda "Zaiflikni qoldirish" variantini tanlang;

Skrinshot: GPO opsiyasini yoqish - shifrlash Oracle zaifligini tuzatish
  • Faqat kompyuterdagi siyosatlarni yangilash qoladi (buni amalga oshirish uchun Cmd-ni oching va gpupdate/force buyrug'ini ishlating) va RDP orqali ulanishga harakat qiling. Siyosat yoqilgan boʻlsa, CredSSP-ni qoʻllab-quvvatlaydigan mijoz ilovalari hatto yangilanmagan masofaviy ish stoli serverlariga ham ulanishi mumkin boʻladi.

Agar bu uy kompyuteri yalang'och holda Windows versiyasi, va siz mahalliy guruh siyosati konsoliga kira olmaysiz - muammo yo'q, biz ro'yxatga olish kitobi muharriridan (Regedit) foydalanamiz. Keling, uni ishga tushiramiz va yo'ldan boramiz:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

va AllowEncryptionOracle parametr qiymatini 2 (0x00000002) ga o'rnating.

Keyin, tizimingizga mos keladigan xavfsizlik yangilanishlarini yuklab olishingiz va o'rnatishingiz kerak (sizga qulay bo'lishi uchun men Windows Server yangilanishlariga to'g'ridan-to'g'ri havolalarni e'lon qilaman, ularni o'rnatishni tavsiya qilaman):

  • Windows Server 2016 / Windows 10 1607 - KB4103723
  • Windows Server 2012 R2 / Windows 8 -
Sharhlar

Sizga ham yoqishi mumkin