web-dev-qa-db-ja.com

これは、CredSSP暗号化によるOracleの修復が原因である可能性があります-Windows 10プロホストへのRDP

エラー

2018年5月のWindowsセキュリティアップデートに続いて、Windows 10 ProワークステーションにRDPしようとすると、ユーザー資格情報を正常に入力した後に次のエラーメッセージが表示されます。

認証エラーが発生しました。要求された機能はサポートされていません。

これは、CredSSP暗号化によるOracleの修復が原因である可能性があります

スクリーンショット

enter image description here

デバッグ中

  • ユーザーの資格情報が正しいことを確認しました。

  • ワークステーションを再起動。

  • Premで確認されたディレクトリサービスは動作しています。

  • 5月のセキュリティ更新プログラムをまだ適用していない隔離されたワークステーションは影響を受けません。

ただし、クラウドベースのサーバーアクセスを懸念して、パーマホストで暫定的に管理できます。 Server 2016ではまだ発生していません。

ありがとうございました

47
scott_lotus

研究

この記事を参照してください:

https://blogs.technet.Microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

2018年5月の暫定的なアップデート。組織内でリモートホストRDPセッション接続を確立する機能に影響を与える可能性があります。この問題は、ローカルクライアントとリモートホストのCredSSPでRDPセッションを構築する方法を定義するレジストリ内の「暗号化Oracle修復」設定が異なる場合に発生する可能性があります。 「暗号化Oracle修復」設定オプションを以下に定義します。サーバーまたはクライアントが安全なRDPセッションの確立について異なる期待を持っている場合、接続がブロックされる可能性があります。

2018年5月8日にリリースされる予定の2番目のアップデートでは、デフォルトの動作が「脆弱」から「緩和」に変更されます。

クライアントとサーバーの両方にパッチが適用されているが、デフォルトのポリシー設定が「脆弱」のままになっていることに気付いた場合、RDP接続は攻撃に対して「脆弱」です。デフォルト設定が「緩和」に変更されると、接続はデフォルトで「安全」になります。

解決

この情報に基づいて、すべてのクライアントに完全にパッチが適用されていることを確認するために進めています。問題が緩和されることを期待します。

4
scott_lotus

完全に Graham Cuthbertの返信 に基づいて、次の行を含むメモ帳でテキストファイルを作成し、その後それをダブルクリックしました(ファイル内のすべてのパラメーターがWindowsレジストリに追加されます)。

最初の行は使用しているWindowsのバージョンによって異なるため、regeditを開いてルールをエクスポートし、最初の行の内容を確認して同じバージョンを使用することをお勧めします。ファイル。

また、暗号化されたVPNに接続していて、ホストウィンドウがインターネットにアクセスできないため、最新のアップデートがないため、この特定の状況でのセキュリティの低下については心配していません。

ファイルrd_patch.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

管理者特権のコマンドプロンプトに簡単にコピー/貼り付けできるものを希望する場合:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
20
Rodriguez

資格情報セキュリティサポートプロバイダープロトコル(CredSSP)は、他のアプリケーションの認証要求を処理する認証プロバイダーです。

パッチが適用されていないバージョンのCredSSPにリモートでコードが実行される脆弱性が存在します。この脆弱性の悪用に成功した攻撃者は、ユーザーの資格情報を中継して、ターゲットシステムでコードを実行する可能性があります。認証のためにCredSSPに依存するアプリケーションはすべて、このタイプの攻撃に対して脆弱である可能性があります。

[...]

2018年3月13日

2018年3月13日の最初のリリースでは、影響を受けるすべてのプラットフォームのCredSSP認証プロトコルとリモートデスクトップクライアントが更新されます。

軽減策は、対象となるすべてのクライアントとサーバーのオペレーティングシステムに更新プログラムをインストールし、含まれているグループポリシー設定またはレジストリベースの同等機能を使用して、クライアントコンピューターとサーバーコンピューターの設定オプションを管理することで構成されます。管理者がポリシーを適用し、できるだけ早くクライアントおよびサーバーコンピューターで「強制更新クライアント」または「緩和」に設定することをお勧めします。これらの変更では、影響を受けるシステムを再起動する必要があります。

この記事の後半にある互換性の表で、クライアントとサーバー間の「ブロックされた」相互作用を引き起こすグループポリシーまたはレジストリ設定のペアに細心の注意を払ってください。

2018年4月17日

KB 4093120のリモートデスクトップクライアント(RDP)更新の更新により、更新されたクライアントが、更新されていないサーバーへの接続に失敗したときに表示されるエラーメッセージが強化されます。

2018年5月8日

デフォルト設定を「脆弱」から「緩和」に変更するアップデート。

出典: https://support.Microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

このredditスレッドも参照してください。 https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Microsoftの回避策:

  • サーバーとクライアントを更新します。 (再起動が必要、推奨)

サーバーが公開されている場合、または内部ネットワークでトラフィックを厳密に制御していない場合は、推奨される回避策ではありませんが、勤務時間中にRDPサーバーを再起動することができない場合があります。

  • GPOまたはレジストリを使用してCredSSPパッチポリシーを設定します(再起動またはgpupdate/forceが必要))
  • KB4103727をアンインストールします(再起動は必要ありません)
  • NLA(Network Layer Authentication)を無効にすることもうまくいくと思います。 (再起動は必要ありません)

それらを使用する場合はリスクを理解し、できるだけ早くシステムにパッチを適用してください。

[1]すべてGPO CredSSPの説明とレジストリの変更については、こちらをご覧ください。

[2] GPOおよびMicrosoftのサイトがダウンした場合のレジストリ設定の例.

16
  1. 「ローカルグループポリシーエディター>管理用テンプレート>システム>資格情報の委任> Oracleの暗号化の暗号化」に移動し、編集して有効にしてから、「保護レベル」を「軽減」に設定します。
  2. 登録キーを設定(00000001から00000002)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle" = dword:
  3. 必要に応じてシステムを再起動します。
7
Mohammad Lotfi

レジストリ値がWindows 10マシンにありませんでした。次のローカルグループポリシーに移動して、クライアントに変更を適用する必要がありました。

コンピューターの構成->管理用テンプレート->システム->資格情報の委任-暗号化Oracle修復

有効にして値をvulnerable.に設定します

4
Ion Cojocaru

エラーをバイパスするために、これらの種類のスクリプトの代わりにクライアントを更新することをお勧めしますが、自己責任でクライアント上でこれを行うことができ、クライアントPCを再起動する必要はありません。また、サーバー上で何かを変更する必要はありません。

  1. Runを開き、gpedit.mscと入力してOKをクリックします。
  2. Administrative Templatesを展開します。
  3. Systemを展開します。
  4. Credentials Delegationを開きます。
  5. 右側のパネルでEncryption Oracle Remediationをダブルクリックします。
  6. Enableを選択します。
  7. Protection LevelリストからVulnerableを選択します。

このポリシー設定は、CredSSPコンポーネントを使用するアプリケーションに適用されます(例:リモートデスクトップ接続)。

CredSSPプロトコルの一部のバージョンは、クライアントに対する暗号化Oracle攻撃に対して脆弱です。このポリシーは、脆弱なクライアントおよびサーバーとの互換性を制御します。このポリシーでは、暗号化Oracleの脆弱性に必要な保護レベルを設定できます。

このポリシー設定を有効にすると、次のオプションに基づいてCredSSPバージョンのサポートが選択されます。

クライアントを強制的に更新する:CredSSPを使用するクライアントアプリケーションは、安全でないバージョンにフォールバックできず、CredSSPを使用するサービスはパッチが適用されていないクライアントを受け入れません。注:この設定は、すべてのリモートホストが最新バージョンをサポートするまで展開しないでください。

軽減:CredSSPを使用するクライアントアプリケーションは安全でないバージョンにフォールバックできなくなりますが、CredSSPを使用するサービスはパッチを適用していないクライアントを受け入れます。パッチを適用していないクライアントが残っていることによるリスクに関する重要な情報については、以下のリンクを参照してください。

脆弱性:CredSSPを使用するクライアントアプリケーションは、安全でないバージョンへのフォールバックをサポートすることでリモートサーバーを攻撃にさらし、CredSSPを使用するサービスはパッチされていないクライアントを受け入れます。

  1. 「適用」をクリックします。
  2. OKをクリックします。
  3. できました。

enter image description here参考

3
AVB

この男はあなたの正確な問題の解決策を持っています:

基本的に、GPO設定を変更して強制的に更新する必要があります。ただし、これらの変更を有効にするには再起動が必要になります。

  1. 新しく更新されたマシンからこれら2つのファイルをコピーします。

    • C:\Windows\PolicyDefinitions\CredSsp.admx(Dtd 2018年2月に終了)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml(2018年2月Dtd –ローカルフォルダーが異なる場合があります(en-GBなど))
  2. DCで、次の場所に移動します。

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • 現在の名前を変更CredSsp.admxCredSsp.admx.old
    • 新しいCredSsp.admxをこのフォルダに追加します。
  3. 同じDCに移動します:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US(または現地の言語)
    • 現在の名前を変更CredSsp.admlCredSsp.adml.old
    • 新しいCredSsp.admlファイルをこのフォルダに追加します。
  4. グループポリシーを再試行してください。

https://www.petenetlive.com/KB/Article/00014

0
Justin

管理者としてPOWERSHELLを実行し、コマンドを実行する

REG  ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2
0
Hayk Jomardyan

他の人が言ったように、これはマイクロソフトがリリースした3月のパッチが原因です。彼らは実際に3月のパッチを適用する5月8日に5月のパッチをリリースしました。したがって、5月のパッチを受け取ったワークステーションがあり、3月のパッチを受け取っていないサーバーに接続しようとすると、スクリーンショットにエラーメッセージが表示されます。

解決策サーバーに3月のパッチが適用されるようにサーバーにパッチを適用する必要があります。それ以外の場合は、当面の間、グループポリシーまたはレジストリの編集を適用できます。

この記事の詳細な説明を読むことができます: サポートされていない認証エラー関数を修正する方法CredSSPエラーRDP

ADMXファイルとADMLファイルを見つける必要がある場合に備えて、それらのコピーを見つけることもできます。

0
Robert Russell

単に、無効にするNetwork Level Authenticationリモートデスクトップから。次の画像を確認してください。

enter image description here

0
Mike Darwish

同じ問題が発生しました。クライアントはWin7上にあり、RDSサーバーは2012R2です。クライアントは「2018-05セキュリティ月次品質ロールアップアップデート(kb4019264)」を受け取りました。それを取り除いた後、すべてうまくいきます。

0
Root Loop

管理者としてPowerShellを開き、次のコマンドを実行します。

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

今すぐサーバーに接続してみてください。それが動作します。

0
Mukesh Salaria

1月中に、一部のマシンでWindows Update(ドメイン全体でローカルWSUSを実行)の実行が停止したことがわかりました。以前のパッチで問題が発生したと思います(マシンは古くなっていると文句を言いますが、Janのパッチをインストールする必要はありませんでした)。 1803アップデートのため、MSから直接Windows Updateを使用して修正することはできませんでした(何らかの理由でタイムアウトし、アップデートが実行されませんでした)。

マシンにバージョン1803のパッチを適用すると、この修正が含まれていることを確認できます。これを修正するための高速パスが必要な場合は、 Windows Update Assistant (Updateと表示されているトップリンク)を使用して直接更新を実行しました(何らかの理由でWindows Updateよりも安定しているようです)。

0
Machavity

その最新のセキュリティ更新KB410731を削除し、ビルド1709以前でWindow 10マシンに接続することができました。 PCの場合、ビルド1803にアップグレードできるため、KB4103731をアンインストールせずに問題が解決しました。

0
Gabriel C

私は here という答えを見つけたので、自分のものとして主張することはできませんが、次のキーをレジストリに追加して再起動すると修正されました。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
0
Graham Cuthbert