Chyba nápravy šifrování CredSSP oprava RDP

Po instalaci aktualizací zabezpečení systému Windows, které vyšly po květnu 2018, se může objevit chyba Sanace šifrování Oracle CredSSP když je protokol RDP připojen ke vzdálenému serveru a počítači Windows v následujících případech:

  • Připojíte se ke vzdálené ploše počítače pomocí nedávno nainstalované staré (například RTM) verze Windows (například Windows 10 níže build 1803, Windows Server 2012 R2, Windows Server 2016), na které nejsou nainstalovány nejnovější aktualizace zabezpečení systému Windows;
  • Pokoušíte se připojit k počítači RDP, na kterém jste dlouho nenainstalovali aktualizace společnosti Microsoft;
  • Připojení RDP blokuje vzdálený počítač, protože v klientském počítači nejsou nutné žádné aktualizace zabezpečení.

Zkusme zjistit, co znamená chyba RDP. Sanace šifrování Oracle CredSSP a jak to mohu opravit.

Při pokusu o připojení k aplikaci RemoteApp na serverech RDS pod Windows Server 2016/2012 R2 / 2008 R2 nebo ke vzdáleným počítačům jiných uživatelů používajících protokol RDP (ve Windows 10, 8.1 nebo 7) se objeví chyba:

Připojení ke vzdálené ploše
Došlo k chybě ověřování.
Funkce není podporována.
Vzdálený počítač: název hostitele
Důvodem může být náprava šifrování Oracle CredSSP.

Připojení ke vzdálené ploše
Ověřování se nezdařilo.
Zadaná funkce není podporována..
Příčinou chyby může být oprava šifrování CredSSP.

Tato chyba je způsobena skutečností, že na systému Windows Server nebo na běžné stolní verzi systému Windows, ke které se pokoušíte připojit pomocí protokolu RDP, nebyly nainstalovány aktualizace zabezpečení systému Windows (alespoň od března 2018)..

Tato chyba může také vypadat takto: Došlo k chybě ověřování. Zadaná funkce není podporována..

Faktem je, že v březnu 2018 společnost Microsoft vydala aktualizaci, která uzavírá možnost vzdáleně vykonávat kód pomocí zranitelnosti v protokolu CredSSP (Credential Security Support Provider). Tento problém je podrobně popsán v bulletinu CVE-2018-0886. V květnu 2018 byla zveřejněna další aktualizace, ve které jsou klienti Windows ve výchozím nastavení povoleni připojit se ke vzdáleným serverům RDP se zranitelnou (neodeslanou) verzí protokolu CredSSP..

Pokud tedy nemáte nainstalované kumulativní aktualizace zabezpečení na serverech Windows RDS / RDP (v počítačích) od března 2018 a na klienty RDP byly nainstalovány květnové aktualizace (nebo novější), pokuste se připojit k serverům RDS s nepatřenou verzí CredSSP objeví se chyba o nemožnosti připojení: Důvodem může být náprava šifrování Oracle CredSSP.

Po instalaci následujících aktualizací zabezpečení se zobrazí chyba klienta RDP:

  • Windows 7 / Windows Server 2008 R2 - KB4103718
  • Windows 8.1 / Windows Server 2012 R2 - KB4103725
  • Windows Server 2016 - KB4103723
  • Windows 10 1803 - KB4103721
  • Windows 10 1709 - KB4103727
  • Windows 10 1703 - KB4103731
  • Windows 10 1609 - KB4103723
Seznam obsahuje čísla KB od května 2018, v tuto chvíli musíte stáhnout a nainstalovat novější balíček kumulativní aktualizace pro vaši edici Windows. Nejnovější aktualizace zabezpečení můžete získat prostřednictvím serveru Windows Update ze serverů Microsoft, z místního serveru WSUS nebo ručně stáhnout z katalogu aktualizací systému Windows - Katalog Microsoft Update - https://www.catalog.update.microsoft.com/Home.aspx. Chcete-li například vyhledat aktualizace pro srpen 2019 pro Windows 10 1803, musíte použít vyhledávací dotaz: okna 10 1803 8 / * / 2019. Stáhněte a nainstalujte kumulativní aktualizaci (v mém příkladu to bude „2019-08 kumulativní aktualizace pro Windows 10 verze 1803 pro systémy se systémem x64 (KB4512509)“..

Chcete-li obnovit vzdálené připojení k ploše, můžete odebrat aktualizace zabezpečení na klientovi, ze kterého je navázáno připojení RDP (ale toto extrémně nedoporučuje se, tj. existuje bezpečnější a správnější řešení).

Chcete-li problém vyřešit, můžete dočasně v počítači, ke kterému se připojujete pomocí protokolu RDP, zakažte kontrolu verze CredSSP na vzdáleném počítači. To lze provést prostřednictvím editoru místních skupinových zásad. Postupujte takto:

  1. Spusťte místní editor GPO - gpedit.msc;
  2. Přejděte do sekce zásad Konfigurace počítače -> Šablony pro správu -> Systém -> Delegování pověření (Konfigurace počítače -> Šablony pro správu -> Systém -> Přihlašovací údaje);
  3. Najděte zásadu s názvem Šifrování Sanace Oracle (Oprava chyby zabezpečení šifrovacího věštce). Zapnout zásady (Povoleno/ Enabled) a jako parametr v rozevíracím seznamu vyberte Zranitelné / Nechte zranitelnost;
  4. Zbývá aktualizovat zásady v počítači (příkaz gpupdate / force) a zkuste se připojit přes RDP ke vzdálenému počítači. S povolenou zásadou Šifrování Oracle Sanace s hodnotou Zranitelné vaše terminálové aplikace podporující CredSSP se mohou dokonce připojit k serverům RDS / RDP a počítačům Windows, které nemají aktuální aktualizace zabezpečení.
Zásady šifrování Aplikace Oracle Remediation nabízí 3 dostupné hodnoty pro ochranu před zranitelnostmi CredSSP:

  • Síla Aktualizováno Klienti - nejvyšší úroveň ochrany, když server RDP zakazuje připojení k neaktualizovaným klientům. Tato zásada by obvykle měla být zahrnuta po úplné aktualizaci celé infrastruktury a integraci aktuálních aktualizací zabezpečení do instalačních obrazů Windows pro servery a pracovní stanice;
  • Zmírněno - V tomto režimu je blokováno odchozí vzdálené RDP připojení k RDP serverům se zranitelnou verzí CredSSP. Ostatní služby využívající CredSSP však fungují dobře;
  • Zranitelné -je povolena nejnižší úroveň ochrany při připojení k serveru RDP se zranitelnou verzí CredSSP.

Pokud nemáte lokálního editoru GPO (například v domovských vydáních Windows), můžete provést změnu, která umožní RDP připojit se k serverům s nepatřenou verzí CredSSP přímo do registru pomocí příkazu:
REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2

Tento parametr můžete změnit v registru okamžitě na mnoha počítačích v AD pomocí domény GPO (konzola gpmc.msc) nebo pomocí takového skriptu PowerShell (seznam počítačů v doméně lze získat pomocí rutiny Get-ADComputer z modulu RSAT-AD-PowerShell):

Import-Module ActiveDirectory
$ PSs = (Get-ADComputer -Filter *). DNSHostName
Foreach ($ počítač v $ PC)
Invoke-Command -ComputerName $ computer -ScriptBlock
REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2

Po úspěšném připojení ke vzdálenému serveru RDP (počítač) je třeba do něj nainstalovat nejnovější aktualizace zabezpečení prostřednictvím služby Windows Update (zkontrolujte, zda je služba zapnutá) nebo ručně. Stáhněte a nainstalujte nejnovější kumulativní aktualizace systému Windows, jak je uvedeno výše. Pokud se při instalaci aktualizace MSU objeví chyba „Tato aktualizace se nevztahuje na váš počítač“, podívejte se na články na adrese.

Pro systémy Windows XP / Windows Server 2003, které již nejsou podporovány, je třeba nainstalovat aktualizace pro Windows Embedded POSReady 2009. Například https://support.microsoft.com/en-us/help/4056564

Po instalaci aktualizací a restartování serveru nezapomeňte deaktivovat zásadu pro klienty (buď ji nastavit na Vynutit aktualizované klienty), nebo vrátit hodnotu 0 pro klíč registru AllowEncryptionOracle. V takovém případě nebude váš počítač vystaven riziku připojení k nezabezpečeným hostitelům pomocí CredSSP a zneužití této chyby zabezpečení.

REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0 / f

Existuje další scénář, kdy aktualizace nejsou k dispozici ve vašem počítači. Například server RDP je aktualizován, ale má zásadu, která blokuje připojení RDP z počítačů se zranitelnou verzí CredSSP (Síla Aktualizováno Klienti) V takovém případě se během připojení RDP zobrazí také chyba „Mohlo by to být kvůli nápravě šifrování Oracle CredSSP“.

Podívejte se na nejnovější datum instalace aktualizací systému Windows do počítače pomocí modulu PSWindowsUpdate nebo pomocí příkazu WMI v konzole PowerShell:

gwmi win32_quickfixengineering | set Installedon -desc

Tento příklad ukazuje, že nejnovější aktualizace zabezpečení systému Windows byly nainstalovány 17. června 2018. Stáhněte si a nainstalujte novější soubor .msu s kumulativní aktualizací pro vaše vydání systému Windows (viz výše).