Nakon instaliranja sigurnosnih ažuriranja sustava Windows koja su izašla nakon svibnja 2018. godine, možda ćete naići na pogrešku Sanacija oracle kriptiranja CredSSP kada je RDP povezan s udaljenim serverom i Windows računarom u sljedećim slučajevima:
- Povezujete se s udaljenom radnom površinom računala s nedavno instaliranom starom (na primjer, RTM) verzijom Windowsa (na primjer, Windows 10 ispod verzije gradnje 1803, Windows Server 2012 R2, Windows Server 2016) na kojoj nisu instalirane najnovije sigurnosne nadopune sustava Windows;
- Pokušavate se povezati s RDP računarom na kojem već duže vrijeme niste instalirali Microsoftova ažuriranja;
- RDP veza blokira udaljeno računalo, jer na računalu vašeg klijenta nisu potrebna sigurnosna ažuriranja.
Pokušajmo shvatiti što znači RDP pogreška. Sanacija oracle kriptiranja CredSSP i kako to mogu popraviti.
Dakle, pri pokušaju povezivanja s aplikacijom RemoteApp na RDS poslužiteljima pod Windows Server 2016/2012 R2 / 2008 R2 ili na udaljene radne površine drugih korisnika koji koriste RDP protokol (u sustavu Windows 10, 8.1 ili 7) pojavljuje se pogreška:
Veza s radnom površinomDošlo je do pogreške kod provjere autentičnosti.
Funkcija nije podržana.
Udaljeno računalo: ime računala
Do toga može doći zbog sanacije oracle oročenja za CredSSP kriptiranje.Veza s udaljenom radnom površinom
Autentifikacija nije uspjela.
Navedena funkcija nije podržana..
Uzrok pogreške može biti ispravka CredSSP enkripcije.
Ova je pogreška posljedica činjenice da na Windows Serveru ili na uobičajenoj verziji sustava Windows na koju se pokušavate povezati putem RDP-a Windows sigurnosna ažuriranja nisu instalirana (barem od ožujka 2018.).
Ova pogreška može izgledati i ovako: Došlo je do pogreške autentifikacije. Navedena funkcija nije podržana..Činjenica je da je Microsoft u ožujku 2018. objavio ažuriranje koje zatvara mogućnost daljinskog izvršenja koda koristeći ranjivost u protokolu CredSSP (Credential Security Support Provider). Problem je detaljno opisan u biltenu CVE-2018-0886. U svibnju 2018. objavljeno je dodatno ažuriranje u kojem se Windows klijentima prema zadanim postavkama nije dopušteno povezivati s udaljenim RDP poslužiteljima s ranjivom (nepatkiranom) verzijom CredSSP protokola.
Dakle, ako od ožujka 2018. niste instalirali kumulativna sigurnosna ažuriranja na Windows RDS / RDP poslužiteljima (računalima), a na RDP klijentima instalirana su majska ažuriranja (ili novija), onda kad se pokušate povezati na RDS poslužitelje s nepatkiranom verzijom CredSSP pojavljuje se pogreška zbog nemogućnosti povezivanja: Do toga može doći zbog sanacije oracle oročenja za CredSSP kriptiranje
.
Pogreška RDP-a klijenta pojavljuje se nakon instaliranja sljedećih sigurnosnih ažuriranja:
- Windows 7 / Windows Server 2008 R2 - KB4103718
- Windows 8.1 / Windows Server 2012 R2 - KB4103725
- Windows Server 2016 - KB4103723
- Windows 10 1803 - KB4103721
- Windows 10 1709 - KB4103727
- Windows 10 1703 - KB4103731
- Windows 10 1609 - KB4103723
Da biste vratili udaljenu vezu na radnu površinu, možete ukloniti sigurnosna ažuriranja na klijentu iz kojeg je uspostavljena RDP veza (ali ovo vrlo ne preporučuje se, odnosno postoji sigurnije i ispravnije rješenje).
Da biste riješili problem, možete privremeno na računalu s kojeg se povezujete putem RDP-a onemogućite provjeru verzije CredSSP-a na udaljenom računalu. To se može postići putem uređivača pravila lokalne grupe. Da biste to učinili:
- Pokrenite lokalni GPO editor - gpedit.msc;
- Idite na odjeljak s pravilima Konfiguracija računala -> Administrativni predlošci -> Sustav -> Delegacija vjerodajnica (Konfiguracija računala -> Administrativni predlošci -> Sustav -> Prijenosne vjerodajnice);
- Pronađite pravilo s imenom Šifriranje Oracle sanacija (Popravite ranjivost oracle ranjivosti). Uključite pravilo (Omogućeno/ Omogućeno) i kao parametar na padajućem popisu odaberite ranjiv / Napustiti ranjivost;
- Ostaje ažurirati pravila na vašem računalu (naredba
gpupdate / force
) i pokušajte se povezati putem RDP-a s udaljenim računalom. Uz omogućeno pravilo Šifriranje proročanstvo sanacija s vrijednošću ranjiv vaše terminalne aplikacije omogućene za CredSSP mogu se čak povezati s RDS / RDP poslužiteljima i Windows računalima koji nemaju trenutna sigurnosna ažuriranja.
- sila obnovljeno klijenti - najviši stupanj zaštite kada RDP poslužitelj zabranjuje povezivanje s klijentima koji nisu ažurirani. Obično bi ovo pravilo trebalo uključiti nakon potpunog ažuriranja cjelokupne infrastrukture i integracije trenutnih sigurnosnih ažuriranja u instalacijske slike sustava Windows za poslužitelje i radne stanice;
- ublažen - U tom je modu blokirana odlazna daljinska RDP veza s RDP poslužiteljima s ranjivom verzijom CredSSP. Međutim, i druge usluge koje koriste CredSSP funkcioniraju;
- ranjiv -dopuštena je najniža razina zaštite prilikom povezivanja s RDP poslužiteljem s ranjivom verzijom CredSSP.
Ako nemate lokalni GPO uređivač (na primjer, u izdanjima Početna izdanja sustava Windows), možete izvršiti promjenu koja će omogućiti RDP-u da se poveže s poslužiteljima s nepačuriranom verzijom CredSSP-a izravno u registar pomoću naredbe:REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2
Ovaj parametar možete promijeniti u registru odmah na mnogim računalima u AD-u pomoću domene GPO (gpmc.msc konzola) ili s takvom PowerShell skriptu (popis računala u domeni može se dobiti pomoću cmdleta Get-ADComputer iz modula RSAT-AD-PowerShell):
Uvozni modul ActiveDirectory
$ PSs = (Get-ADComputer -Filter *). DNSHostName
Foreach ($ računalo u $ PC)
Invoke-Command -ComputerName $ computer -ScriptBlock
REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2
Nakon uspješnog povezivanja s udaljenim RDP serverom (računarom), na njega morate instalirati najnovija sigurnosna ažuriranja putem usluge Windows Update (provjerite je li usluga uključena) ili ručno. Preuzmite i instalirajte najnovije kumulativne Windows ažuriranja kao što je prikazano gore. Ako se pogreška "Ovo ažuriranje ne odnosi na vaše računalo" pojavi se prilikom instaliranja ažuriranja MSU-a, pogledajte članke na.
Za Windows XP / Windows Server 2003 koji više nisu podržani, trebate instalirati ažuriranja za Windows Embedded POSReady 2009. Na primjer, https://support.microsoft.com/en-us/help/4056564Nakon što instalirate ažuriranja i ponovno pokrenete poslužitelj, ne zaboravite onemogućiti pravilo klijentima (ili je postavite na forsiranje ažuriranih klijenata) ili vratite vrijednost 0 za registarski ključ AllowEncryptionOracle. U tom slučaju vaše računalo neće biti u opasnosti da se poveže s nesigurnim domaćinima s CredSSP-om i iskoristi ranjivost..
REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0 / f
Postoji još jedan scenarij gdje ažuriranja nisu dostupna na vašem računalu. Na primjer, RDP poslužitelj je ažuriran, ali ima pravilo koje blokira RDP veze s računala s ranjivom verzijom CredSSP (sila obnovljeno klijenti). U ovom slučaju, tijekom RDP veze, vidjet ćete i pogrešku "To bi moglo biti posljedica CredSSP kriptiranja oracle kriptiranja".
Provjerite najnoviji datum instaliranja Windows ažuriranja na vaše računalo pomoću modula PSWindowsUpdate ili putem naredbe WMI u PowerShell konzoli:
gwmi win32_quickfixengineering | vrsta instaliranja -desc
Ovaj primjer pokazuje da su najnovija sigurnosna ažuriranja sustava Windows instalirana 17. lipnja 2018. godine. Preuzmite i instalirajte noviju .msu datoteku s kumulativnim ažuriranjem za svoje izdanje sustava Windows (pogledajte gore).