सवाल यह CredSSP एन्क्रिप्शन ऑरैकल उपचार के कारण हो सकता है - आरडीपी विंडोज 10 समर्थक मेजबान के लिए


त्रुटि

मई 2018 में विंडोज सुरक्षा अद्यतनों के बाद, जब Windows 10 प्रो वर्कस्टेशन में आरडीपी करने का प्रयास किया जाता है तो उपयोगकर्ता प्रमाण-पत्र सफलतापूर्वक दर्ज करने के बाद निम्न त्रुटि संदेश प्रदर्शित होता है:

एक प्रमाणीकरण त्रुटि हुई। अनुरोध किया गया फ़ंक्शन समर्थित नहीं है।

यह CredSSP एन्क्रिप्शन ऑरैकल उपचार के कारण हो सकता है

स्क्रीनशॉट

enter image description here

डिबगिंग

  • हमने पुष्टि की है कि उपयोगकर्ता प्रमाण-पत्र सही हैं।

  • वर्कस्टेशन रीबूट किया।

  • प्री निर्देशिका निर्देशिका पर पुष्टि की गई है।

  • मई सुरक्षा पैच लागू करने के लिए अभी तक अलग वर्कस्टेशन प्रभावित नहीं हैं।

क्लाइंट आधारित सर्वर एक्सेस के बारे में चिंतित, परम होस्ट पर अंतरिम में प्रबंधित कर सकते हैं। अभी तक सर्वर 2016 पर कोई घटना नहीं है।

धन्यवाद


41
2018-05-10 08:40


मूल




जवाब:


पूरी तरह से आधारित ग्राहम कुथबर्ट का जवाब मैंने निम्नलिखित पंक्तियों के साथ नोटपैड में एक टेक्स्ट फ़ाइल बनाई है, और बाद में इसे डबल क्लिक किया गया है (जो विंडोज रजिस्ट्री में जो भी पैरामीटर फाइल में हैं, जोड़ना चाहिए)।

बस ध्यान दें कि पहली पंक्ति इस बात पर निर्भर करती है कि आप किस विंडोज संस्करण का उपयोग कर रहे हैं, इसलिए यह खोलना एक अच्छा विचार हो सकता है regedit और किसी भी नियम को निर्यात करने के लिए बस पहली पंक्ति में क्या है और अपनी फ़ाइल में एक ही संस्करण का उपयोग करें।

इसके अलावा, मैं इस विशेष स्थिति में सुरक्षा को कम करने के बारे में चिंतित नहीं हूं क्योंकि मैं एन्क्रिप्टेड वीपीएन से कनेक्ट कर रहा हूं और मेजबान विंडोज के पास इंटरनेट तक पहुंच नहीं है और इस प्रकार नवीनतम अपडेट नहीं है।

फ़ाइल rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

17
2018-05-10 15:05



विंडोज 10 का घर संस्करण, ऊपर और चलने का सबसे तेज़ अस्थायी तरीका है। - ahmad molaie
यह आरईजी फ़ाइल क्लाइंट या सर्वर पर आयात की जानी चाहिए? - nivs1978
@ nivs1978, यह फ़ाइल क्लाइंट पक्ष में उपयोग की जाने वाली है, यह मानते हुए कि क्लाइंट के पास नए अपडेट हैं और सर्वर नहीं है। तो यह मूल रूप से सबसे अद्यतन क्लाइंट को उस सर्वर से कनेक्ट करने की अनुमति देगा जिसे हाल ही में अपडेट नहीं किया गया है। - Rodriguez
धन्यवाद! मैं विन 10 होम का उपयोग कर रहा हूँ। मैंने जीत अपडेट को अनइंस्टॉल कर दिया है जिसने इस समस्या को 10 बार बनाया है, और एमएस इसे रोकने के लिए सब कुछ करने के बावजूद इसे वापस रखता है। विंडोज के इस संस्करण पर कोई नीति संपादक भी नहीं है (या इसका सम्मान नहीं है)। मैंने इन रेग कुंजियों की तलाश की, प्रति दस्तावेज़ जो मैंने पढ़े और अस्तित्व में नहीं थे, इसलिए मुझे लगा कि वे काम नहीं करेंगे। लेकिन मैंने वैसे भी अपनी reg फ़ाइल चलाने की कोशिश की, यह एक आकर्षण की तरह मुद्दा तय किया! - BuvinJ


प्रमाण पत्र सुरक्षा समर्थन प्रदाता प्रोटोकॉल (CredSSP) एक है   प्रमाणीकरण प्रदाता जो प्रमाणीकरण अनुरोधों को संसाधित करता है   अन्य अनुप्रयोगों।

एक दूरस्थ कोड निष्पादन भेद्यता unpatched संस्करणों में मौजूद है   CredSSP। एक हमलावर जो सफलतापूर्वक इस भेद्यता का शोषण करता है   लक्ष्य प्रणाली पर कोड निष्पादित करने के लिए उपयोगकर्ता प्रमाण-पत्र रिले कर सकते हैं। कोई भी   प्रमाणीकरण के लिए CredSSP पर निर्भर अनुप्रयोग हो सकता है   इस तरह के हमले के लिए कमजोर।

[...]

13 मार्च, 2018

प्रारंभिक मार्च 13, 2018, रिलीज को क्रेडिटस्प्रस प्रमाणीकरण अद्यतन करता है   प्रोटोकॉल और रिमोट डेस्कटॉप क्लाइंट सभी प्रभावित प्लेटफार्मों के लिए।

कमी में सभी योग्य ग्राहक पर अद्यतन स्थापित करना शामिल है   और सर्वर ऑपरेटिंग सिस्टम और फिर समूह नीति शामिल का उपयोग कर   सेटिंग विकल्प प्रबंधित करने के लिए सेटिंग्स या रजिस्ट्री-आधारित समकक्ष   क्लाइंट और सर्वर कंप्यूटर पर। हम प्रशासकों की सलाह देते हैं   नीति लागू करें और इसे "अद्यतन ग्राहकों को मजबूर करें" या "मिटिगेटेड" पर सेट करें   जितनी जल्दी हो सके क्लाइंट और सर्वर कंप्यूटर पर। यह परिवर्तन   प्रभावित सिस्टम के रिबूट की आवश्यकता होगी।

समूह नीति या रजिस्ट्री सेटिंग जोड़े पर ध्यान दें   परिणामस्वरूप ग्राहकों और सर्वरों के बीच "अवरुद्ध" इंटरैक्शन   बाद में इस आलेख में संगतता तालिका।

17 अप्रैल, 2018

केबी 40 9 3120 में रिमोट डेस्कटॉप क्लाइंट (आरडीपी) अपडेट अपडेट होगा   एक अद्यतन क्लाइंट जब प्रस्तुत किया गया त्रुटि संदेश को बढ़ाएं   उस सर्वर से कनेक्ट करने में विफल रहता है जिसे अद्यतन नहीं किया गया है।

8 मई, 2018

भेद्यता से मिटिगेटेड से डिफ़ॉल्ट सेटिंग बदलने के लिए एक अद्यतन।

स्रोत: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

यह reddit धागा भी देखें: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

माइक्रोसॉफ्ट के कामकाज:

  • सर्वर और ग्राहक अद्यतन करें। (पुनरारंभ की आवश्यकता है, अनुशंसित)

यदि आपका सर्वर सार्वजनिक रूप से उपलब्ध है, या यदि आपके आंतरिक नेटवर्क में सख्त ट्रैफ़िक नियंत्रण नहीं है, तो कभी-कभी काम करने के लिए वर्कअराउंड की अनुशंसा नहीं की जाती है, लेकिन कभी-कभी कार्य घंटों में आरडीपी सर्वर को पुनरारंभ करना कोई नहीं है।

  • जीपीओ या रजिस्ट्री के माध्यम से CredSSP पैचिंग नीति सेट करें। (पुनरारंभ या gpupdate / बल की आवश्यकता है)
  • अनइंस्टॉल KB4103727 (कोई पुनरारंभ करने की आवश्यकता नहीं है)
  • मुझे लगता है कि एनएलए (नेटवर्क लेयर प्रमाणीकरण) को अक्षम करना भी काम कर सकता है। (कोई पुनरारंभ की आवश्यकता नहीं है)

उनको उपयोग करते समय जोखिमों को समझना सुनिश्चित करें और अपने सिस्टम ASAP को पैच करें।

[1] सभी जीपीओ क्रेडिट्सएसपी विवरण और रजिस्ट्री संशोधनों का वर्णन यहां किया गया है।

[2] माइक्रोसॉफ्ट की साइट डाउन होने पर जीपीओ और रजिस्ट्री सेटिंग्स के उदाहरण।


15
2018-05-10 09:21



मुझे ऐसा लगता है, हाँ। :) जहां तक ​​मैं विंडोज 7, विंडोज 8.1, विंडोज 10 और सर्वर 2016 को बता सकता हूं, मेरे पर्यावरण में प्रभावित है। निष्कर्ष निकालने के लिए हमें हर समर्थित विंडोज संस्करण को पैच करना होगा। - Michal Sokolowski
लक्ष्य सर्वर पर एनएलए को अक्षम करने की पुष्टि एक अस्थायी कार्यवाही के रूप में काम करता है। - Ketura
किसी के पास कुछ पीएस (पावरहेल) स्क्रिप्ट आसान है, इसे कैसे जांचें? सर्वर और ग्राहक पर? - Tilo
क्या यह त्रुटि है क्योंकि सर्वर पर आरडीपी अपडेट किया गया है, और क्लाइंट नहीं है, या यह क्लाइंट अद्यतन है, और सर्वर नहीं है? - nivs1978
@ nivs1978, AFAIR, दोनों परिदृश्य एक ही लक्षण देंगे। - Michal Sokolowski


  1. "स्थानीय समूह नीति संपादक> प्रशासनिक टेम्पलेट्स> सिस्टम> प्रमाण-पत्र प्रतिनिधिमंडल> एन्क्रिप्शन ओरेकल उपचार" पर जाएं, इसे संपादित करें और सक्षम करें, फिर "सुरक्षा स्तर" को "मिटिगेटेड" पर सेट करें।
  2. पंजीकरण कुंजी सेट करें (00000001 से 00000002 तक) [HKEY_LOCAL_MACHINE \ सॉफ़्टवेयर \ माइक्रोसॉफ्ट \ विंडोज \ CurrentVersion \ Policies \ System \ CredSSP \ पैरामीटर] "AllowEncryptionOracle" = dword:
  3. यदि आवश्यक हो तो आपको सिस्टम को पुनरारंभ करें।

7
2018-05-13 05:34



मैंने इसे सक्षम करने और इसे कमजोर करने के अपवाद के अपवाद के साथ पहला कदम इस्तेमाल किया। तब मैं अपने W10 को नेटवर्क पर W7 मशीन पर आरडीपी करने में सक्षम था - seizethecarp
जैसा आपने बताया और काम किया है मैंने किया है! क्लाइंट डब्ल्यू 10 और सर्वर डब्ल्यूएस2012 आर 2। धन्यवाद! - Phi


रजिस्ट्री मान मेरी विंडोज 10 मशीन पर नहीं था। मुझे निम्नलिखित स्थानीय समूह नीति पर जाना पड़ा और मेरे ग्राहक पर परिवर्तन लागू करना पड़ा:

कंप्यूटर कॉन्फ़िगरेशन -> प्रशासनिक टेम्पलेट्स -> सिस्टम -> प्रमाण पत्र प्रतिनिधिमंडल - एन्क्रिप्शन ओरेकल उपचार

सक्षम करें और मूल्य पर सेट करें vulnerable.


4
2018-05-14 12:12



यह मेरे नेटवर्क पर W7 मशीन से कनेक्ट W10 पर मेरे लिए काम किया - seizethecarp


अनुसंधान

इस लेख का जिक्र करते हुए:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

मई 2018 टेंटेटिव अपडेट जो किसी संगठन के भीतर रिमोट होस्ट आरडीपी सत्र कनेक्शन स्थापित करने की क्षमता को प्रभावित कर सकता है। यह समस्या तब हो सकती है जब स्थानीय क्लाइंट और रिमोट होस्ट रजिस्ट्री के भीतर "एन्क्रिप्शन ओरेकल रेमेडियेशन" सेटिंग्स को अलग करता है जो परिभाषित करता है कि CredSSP के साथ आरडीपी सत्र कैसे बनाया जाए। "एन्क्रिप्शन ओरेकल रेमेडियेशन" सेटिंग विकल्प नीचे परिभाषित किए गए हैं और यदि सर्वर या क्लाइंट की सुरक्षित आरडीपी सत्र की स्थापना पर अलग-अलग अपेक्षाएं हैं तो कनेक्शन अवरुद्ध किया जा सकता है।

एक दूसरा अपडेट, जिसे 8 मई, 2018 को जारी किया जाना है, डिफ़ॉल्ट व्यवहार को "कमजोर" से "मिटिगेटेड" में बदल देगा।

यदि आप देखते हैं कि क्लाइंट और सर्वर दोनों को पैच किया गया है, लेकिन डिफ़ॉल्ट नीति सेटिंग "कमजोर" पर छोड़ी गई है तो आरडीपी कनेक्शन हमला करने के लिए "कमजोर" है। एक बार डिफ़ॉल्ट सेटिंग "मिटिगेटेड" में संशोधित हो जाने के बाद कनेक्शन डिफ़ॉल्ट रूप से "सुरक्षित" हो जाता है।

संकल्प

इस जानकारी के आधार पर मैं यह सुनिश्चित करने के लिए आगे बढ़ रहा हूं कि सभी ग्राहक पूरी तरह से पैच किए गए हैं, फिर मैं इस मुद्दे को कम करने की उम्मीद करूंगा।


3
2018-05-10 09:21





त्रुटि को बाईपास करने के लिए इस तरह की स्क्रिप्ट के बजाय क्लाइंट को अपडेट करने की अनुशंसा की जाती है, लेकिन अपने जोखिम पर आप क्लाइंट पर ऐसा कर सकते हैं और क्लाइंट पीसी को पुनरारंभ करने की आवश्यकता नहीं है। सर्वर पर किसी भी चीज को बदलने की जरूरत नहीं है।

  1. खुला Run, प्रकार gpedit.msc और क्लिक करें OK
  2. विस्तार Administrative Templates
  3. विस्तार System
  4. खुला Credentials Delegation
  5. दाहिनी पैनल पर डबल क्लिक करें Encryption Oracle Remediation
  6. चुनते हैं Enable
  7. चुनते हैं Vulnerable से Protection Level सूची।

यह नीति सेटिंग CredSSP का उपयोग कर अनुप्रयोगों पर लागू होती है   घटक (उदाहरण के लिए: दूरस्थ डेस्कटॉप कनेक्शन)।

CredSSP प्रोटोकॉल के कुछ संस्करण एक एन्क्रिप्शन के लिए कमजोर हैं   ग्राहक के खिलाफ ओरेकल हमला। यह नीति संगतता को नियंत्रित करती है   कमजोर ग्राहकों और सर्वर के साथ। यह नीति आपको सेट करने की अनुमति देती है   एन्क्रिप्शन ऑरैकल के लिए वांछित सुरक्षा का स्तर   भेद्यता।

यदि आप इस नीति सेटिंग को सक्षम करते हैं, तो CredSSP संस्करण समर्थन होगा   निम्नलिखित विकल्पों के आधार पर चयनित:

बल अद्यतन ग्राहक: क्लाइंट अनुप्रयोग जो CredSSP का उपयोग नहीं करेंगे   असुरक्षित संस्करणों और सेवाओं का उपयोग कर वापस गिरने में सक्षम हो   CredSSP अप्रतिबंधित ग्राहकों को स्वीकार नहीं करेगा। नोट: यह सेटिंग चाहिए   तब तक तैनात नहीं किया जाएगा जब तक सभी रिमोट होस्ट नवीनतम संस्करण का समर्थन नहीं करते।

खराब: क्लाइंट अनुप्रयोग जो CredSSP का उपयोग करते हैं, वे सक्षम नहीं होंगे   असुरक्षित संस्करण पर वापस आना लेकिन CredSSP का उपयोग कर सेवाएं   अप्रतिबंधित ग्राहकों को स्वीकार करें। महत्वपूर्ण जानकारी के लिए नीचे दिए गए लिंक को देखें   शेष अप्रतिबंधित ग्राहकों द्वारा जोखिम के बारे में।

कमजोर: क्लाइंट अनुप्रयोग जो CredSSP का उपयोग करते हैं, का पर्दाफाश करेंगे   असुरक्षित पर वापस गिरने के समर्थन से हमला करने के लिए रिमोट सर्वर   CredSSP का उपयोग कर संस्करण और सेवाएं अप्रतिबंधित क्लाइंट स्वीकार करेंगे।

  1. आवेदन पर क्लिक करें।
  2. ओके पर क्लिक करें।
  3. किया हुआ।

enter image description here संदर्भ


2
2017-07-08 17:46



आप सिफारिश कर रहे हैं कि लोग "कमजोर" कहने वाले विकल्प पर क्लिक करें। यह समझाने के लिए अच्छा होगा कि ऐसा करने के लिए केवल एक (अच्छी) स्क्रिप्ट देने के बजाय इसका क्या परिणाम होगा। - Law29
@ लॉ 2 9 आप सही हैं, अपडेटेड! - AVB


इस लड़के के पास आपके सटीक मुद्दे का समाधान है:

अनिवार्य रूप से - आपको जीपीओ सेटिंग्स बदलना होगा और एक अद्यतन को मजबूर करना होगा। लेकिन इन परिवर्तनों के लिए एक रिबूट प्रभावी होने की आवश्यकता होगी।

  1. इन दो फ़ाइलों को ताज़ा अद्यतन मशीन से कॉपी करें;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (डीटी ने फरवरी 2018 किया था)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (डीआईटी फरवरी 2018 - आपका स्थानीय फ़ोल्डर भिन्न हो सकता है यानी एन-जीबी)
  2. डीसी पर, नेविगेट करें:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • वर्तमान का नाम बदलें CredSsp.admx सेवा मेरे CredSsp.admx.old
    • नया कॉपी करें CredSsp.admx इस फ़ोल्डर में।
  3. उसी डीसी पर नेविगेट करें:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (या आपकी स्थानीय भाषा)
    • वर्तमान का नाम बदलें CredSsp.adml सेवा मेरे CredSsp.adml.old
    • नया कॉपी करें CredSsp.adml इस फ़ोल्डर में फ़ाइल करें।
  4. अपनी समूह नीति को दोबारा प्रयास करें।

https://www.petenetlive.com/KB/Article/0001433


0
2018-05-10 13:14