題 更新Windows 2018/05/08後的遠程桌面連接錯誤 - CVE-2018-0886的CredSSP更新


在Windows Update之後,嘗試使用遠程桌面連接連接到服務器時出現此錯誤。

閱讀時 鏈接 由錯誤消息提供,似乎是因為2018/05/08的更新:

2018年5月8日

用於將默認設置從“漏洞”更改為“緩解”的更新。

相關的Microsoft知識庫編號在CVE-2018-0886中列出。

這有解決方案嗎?

Error RDC


86
2018-05-09 03:54


起源


(Meta:更新發佈在帖子的末尾,以確保新讀者仍然可以理解它們,並且答案會進入答案空間,而不是合併到問題中。謝謝)。 - halfer


答案:


(代表作者提問回答)

在某些答案中,此錯誤的最佳解決方案是將服務器和客戶端更新為版本> = Microsoft的2018-05-08更新。

如果您無法更新它們(即您只能更新客戶端 要么 然後,您可以應用以下答案中的一個解決方法,並儘快更改配置,以便最小化變通方法引入的漏洞的持續時間。


18
2018-05-09 14:51



這是罕見的情況之一,其中接受的答案也是最佳答案。其他答案讓您容易受到CVE-2018-0886的攻擊:“未修補的CredSSP版本中存在遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以 中繼用戶憑據以在目標系統上執行代碼。任何依賴於CredSSP進行身份驗證的應用程序都可能容易受到此類攻擊。“ - Braiam
我們找到了一個方便,非侵入性的解決方法 - 我們能夠使用我們的服務器作為跳轉框進行RDP - OutstandingBill
如果客戶端和服務器都在同一個本地網絡中並且只暴露在沒有任何開放端口的路由器後面的互聯網上,那麼該漏洞有多嚴重? - Kevkong
@Kevkong:這是我為問題作者發布的wiki答案。如果您願意,可以在問題下ping它們。 - halfer
嗨@Peter:謝謝你的編輯。大多數人同意這些,但元介紹是IMO必須遵守歸屬許可規則的必要條件。我在Stack Overflow上有幾百個,而Meta的視圖不僅需要保留,而且有些人認為它不夠,OP應該被命名。該高級視圖並未獲得太多牽引力,但顯示了對如何最好地實現歸因的廣泛意見。但是,基本上,我們不能抹去作者身份。這可以恢復嗎? - halfer


使用cmd進行gpedit的替代方法:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

82
2018-05-09 04:21



救星。對於那些使用Windows 10 Home的人來說,這應該是完美的。請記住以管理員身份運行cmd。
此命令正在Windows 8上運行。謝謝 - Naveen Soni
實際上問題是服務器上仍然安裝了更新,因此無法連接。等等,它工作。 serverfault.com/questions/387593/... - tobiak777
@pghcpa忽略這一點,該命令創建缺少的註冊表節點並為您插入參數。如果您無法使用導致此問題的安全修補程序更新服務器,那麼這真的可以節省生命。 - Gergely Lukacsy
我不知道為什麼,但它的工作謝謝你 - dian


我找到了一個解決方案如中描述的那樣 幫助鏈接,我嘗試通過更改此組策略的值從更新2018/05/08回滾:

  • 輸入gpedit.msc

  • 計算機配置 - >管理模板 - >系統 - >憑據委派 - >加密Oracle補救

將其更改為 啟用 並在保護級別,更改回 弱勢

我不確定它是否可以回退攻擊者利用我的連接的任何風險。我希望微軟能盡快解決這個問題,以便將設置恢復到推薦設置 緩解

Enter image description here


36
2018-05-09 07:53



我的系統沒有“加密Oracle修復”的選項,它是一個Windows 2012服務器。看起來它應用了5/8安全更新。
我發現對我們來說客戶是“問題”。服務器沒有最新的更新。客戶確實有最新的更新,所以他們不會工作。服務器更新後,一切正常。
對於那些不確定從哪裡開始的人,請運行“gpedit.msc”然後按照上面的說明操作。 - Glen Little


另一種方法是從MS Store安裝Microsoft遠程桌面客戶端 - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps


12
2018-05-10 06:04



謝謝,希望有一天它會有復制/粘貼文件而不是共享文件夾。只有共享剪貼板才能複制/粘貼文本 - Pham X. Bach
Windows App Store RDP客戶端缺少內置的許多自定義和集成功能 mstsc.exe 很難認真對待。從安全角度來看,它甚至不允許您查看用於安全連接的證書(上次我檢查過),它還缺少智能卡支持,多監視器跨越,驅動器重定向等。微軟自己的比較表揭示了它是多麼貧乏: docs.microsoft.com/en-us/windows-server/remote/... - Dai


此問題僅發生在我的Hyper-V VM中,並且遠程連接到物理機可以。

這台電腦 →系統設置→服務器上的高級系統設置,然後通過取消選中目標VM“僅允許從運行帶有網絡級別身份驗證的遠程桌面的計算機(推薦)”解決它。

Uncheck this


5
2018-05-10 15:06



他媽的。我啟用了這個選項,忘記了,2個小時後我意識到這是問題所在。 - Shafiq al-Shaar


根據ac19501的回答,我創建了兩個註冊表文件,以簡化:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

3
2018-05-09 10:27





我遇到了同樣的問題。更好的解決方案是更新您連接的機器,而不是使用Pham X Bach來降低安全級別。

但是,如果由於某種原因無法更新機器,則其解決方法有效。


2
2018-05-09 15:55



很抱歉誤解了你的答案。是的,最好的解決方案應該是將服務器和所有客戶端更新為版本> =來自MS的2018/05/08更新 - Pham X. Bach


您需要為服務器和所有客戶端安裝Windows Update。要查找更新,請轉到 https://portal.msrc.microsoft.com/en-us/security-guidance,然後搜索2018-0886 CVE並選擇安裝的Windows版本的安全更新。


1
2018-05-09 18:09





您需要使用Windows Update更新Windows Server。將安裝所有必需的修補程序。然後,您可以再次通過遠程桌面連接到您的服務器。

你需要安裝kb4103725

閱讀更多: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


1
2018-05-10 11:02



對於那些無法訪問遠程服務器的人,我仍然可以通過Android桌面遠程桌面訪問我的服務器。然後,您可以安裝修補程序並解決Windows客戶端的遠程桌面連接問題。


對於服務器,我們也可以通過Remote PowerShell更改設置(假設啟用了WinRM等)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

現在,如果此設置由域GPO管理,則它可能會還原,因此您需要檢查GPO。但是為了快速解決問題,這是有效的。

參考: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell


1
2018-05-10 15:08