2018年5月のWindowsセキュリティ更新プログラムに続いて、Windows 10 ProワークステーションにRDPを試みると、ユーザー資格情報を正常に入力した後に次のエラーメッセージが表示されます。
認証エラーが発生しました。要求された機能はサポートされていません。
これは、CredSSP暗号化Oracle修復が原因である可能性があります
ユーザー資格情報が正しいことを確認しました。
ワークステーションを再起動しました。
premディレクトリサービスで動作確認済み。
5月のセキュリティパッチをまだ適用していない隔離されたワークステーションは影響を受けません。
ただし、クラウドベースのサーバーアクセスを懸念して、permホストで暫定的に管理できます。Server 2016ではまだ発生していません。
ありがとうございました
回答:
Graham Cuthbertの回答に完全に基づいて、次の行を含むメモ帳でテキストファイルを作成し、その後、それをダブルクリックしました(ファイル内のパラメーターがWindowsレジストリに追加されるはずです)。
最初の行は使用しているWindowsのバージョンによって異なることに注意してください。したがってregedit、最初の行の内容を確認してファイルで同じバージョンを使用するためだけに、ルールを開いてエクスポートすることをお勧めします。
また、暗号化されたVPNに接続していて、ホストのWindowsがインターネットにアクセスできないため、最新の更新プログラムがないため、この特定の状況でセキュリティが低下する心配はありません。
ファイルrd_patch.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
昇格されたコマンドプロンプトに何かを簡単にコピー/貼り付けたい場合:
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
資格情報セキュリティサポートプロバイダープロトコル(CredSSP)は、他のアプリケーションの認証要求を処理する認証プロバイダーです。
CredSSPのパッチが適用されていないバージョンにリモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、ユーザー資格情報を中継して、標的システムでコードを実行する可能性があります。認証のためにCredSSPに依存するアプリケーションは、このタイプの攻撃に対して脆弱である可能性があります。
[...]
2018年3月13日
2018年3月13日の最初のリリースでは、影響を受けるすべてのプラットフォームのCredSSP認証プロトコルとリモートデスクトップクライアントが更新されます。
緩和策は、すべての対象となるクライアントおよびサーバーオペレーティングシステムに更新プログラムをインストールし、含まれるグループポリシー設定またはレジストリベースの同等物を使用して、クライアントコンピューターとサーバーコンピューターの設定オプションを管理することです。管理者はポリシーを適用し、できるだけ早くクライアントコンピューターとサーバーコンピューターで「強制的に更新されたクライアント」または「軽減」に設定することをお勧めします。これらの変更には、影響を受けるシステムの再起動が必要です。
グループポリシーまたはレジストリ設定のペアに細心の注意を払ってください。このペアは、この記事の後半の互換性テーブルでクライアントとサーバー間の「ブロックされた」相互作用をもたらします。
2018年4月17日
KB 4093120のリモートデスクトップクライアント(RDP)更新プログラムの更新により、更新されたクライアントが更新されていないサーバーへの接続に失敗した場合に表示されるエラーメッセージが強化されます。
2018年5月8日
デフォルト設定をVulnerableからMitigatedに変更するアップデート。
ソース:https : //support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]
このredditスレッドも参照してください:https : //www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]
Microsoftの回避策:
サーバーが公開されている場合、または内部ネットワークで厳格なトラフィック制御を行っていない場合は、回避策としてはお勧めしませんが、勤務時間内にRDPサーバーを再起動する必要はありません。
それらを使用するときは、リスクを理解し、できるだけ早くシステムにパッチを適用してください。
[1]すべてのGPO CredSSPの説明とレジストリの変更について、ここで説明します。
[2] Microsoftのサイトがダウンした場合のGPOおよびレジストリ設定の例。
この記事を参照:
https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/
組織内でリモートホストRDPセッション接続を確立する機能に影響を与える可能性がある2018年5月の暫定的な更新。この問題は、ローカルクライアントとリモートホストのレジストリ内でCredSSPでRDPセッションを構築する方法を定義する「暗号化Oracle修復」設定が異なる場合に発生する可能性があります。「暗号化Oracle修復」設定オプションを以下に定義します。サーバーまたはクライアントが安全なRDPセッションの確立に対して異なる期待を持っている場合、接続がブロックされる可能性があります。
2018年5月8日に暫定的にリリースされる予定の2番目の更新プログラムは、デフォルトの動作を「脆弱」から「軽減」に変更します。
クライアントとサーバーの両方にパッチが適用されているが、デフォルトのポリシー設定が「脆弱」のままであることに気付いた場合、RDP接続は攻撃に対して「脆弱」です。デフォルト設定が「軽減」に変更されると、接続はデフォルトで「セキュア」になります。
この情報に基づいて、すべてのクライアントに完全にパッチが適用されるように進めており、問題が軽減されることを期待しています。
Windows 10マシンにレジストリ値がありませんでした。次のローカルグループポリシーに移動して、クライアントに変更を適用する必要がありました。
コンピューターの構成->管理用テンプレート->システム->資格情報の委任-暗号化Oracle Remediation
有効にし、値を vulnerable.
これらの種類のスクリプトの代わりにクライアントを更新してエラーをバイパスすることをお勧めしますが、ご自身のリスクでクライアントでこれを行うことができ、クライアントPCを再起動する必要はありません。また、サーバー上の何かを変更する必要もありません。
Run、入力しgpedit.msc、クリックしますOK。Administrative Templates。System。Credentials Delegation。Encryption Oracle Remediationます。Enableます。Vulnerableから選択しProtection Levelます。このポリシー設定は、CredSSPコンポーネントを使用するアプリケーションに適用されます(例:リモートデスクトップ接続)。
CredSSPプロトコルの一部のバージョンは、クライアントに対する暗号化オラクル攻撃に対して脆弱です。このポリシーは、脆弱なクライアントおよびサーバーとの互換性を制御します。このポリシーにより、暗号化オラクルの脆弱性に必要な保護レベルを設定できます。
このポリシー設定を有効にすると、次のオプションに基づいてCredSSPバージョンのサポートが選択されます。
強制的に更新されたクライアント:CredSSPを使用するクライアントアプリケーションは安全でないバージョンにフォールバックできず、CredSSPを使用するサービスはパッチが適用されていないクライアントを受け入れません。注:すべてのリモートホストが最新バージョンをサポートするまで、この設定は展開しないでください。
軽減:CredSSPを使用するクライアントアプリケーションは、安全でないバージョンにフォールバックできませんが、CredSSPを使用するサービスは、パッチが適用されていないクライアントを受け入れます。パッチ未適用の残りのクライアントがもたらすリスクに関する重要な情報については、以下のリンクを参照してください。
脆弱性:CredSSPを使用するクライアントアプリケーションは、セキュリティで保護されていないバージョンへのフォールバックをサポートすることでリモートサーバーを攻撃にさらし、CredSSPを使用するサービスはパッチ未適用のクライアントを受け入れます。
この男はあなたの正確な問題の解決策を持っています:
基本的に、GPO設定を変更し、更新を強制する必要があります。ただし、これらの変更を有効にするには再起動が必要です。
新しく更新されたマシンからこれらの2つのファイルをコピーします。
C:\Windows\PolicyDefinitions\CredSsp.admx(Dtdは2018年2月でした)C:\Windows\PolicyDefinitions\en-US\CredSsp.adml(Dtd 2018年2月–ローカルフォルダーは異なる場合があります(en-GB)DCで、次の場所に移動します。
C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions- 現在の名前
CredSsp.admxをCredSsp.admx.old- 新しい
CredSsp.admxフォルダーをこのフォルダーにコピーします。同じDCで、次の場所に移動します。
C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US(または現地語)- 現在の名前
CredSsp.admlをCredSsp.adml.old- 新しい
CredSsp.admlファイルをこのフォルダーにコピーします。グループポリシーをもう一度お試しください。
他の人が言ったように、これはMicrosoftがリリースした3月のパッチによるものです。5月8日に5月のパッチをリリースし、3月のパッチを実際に実施しました。5月のパッチを受け取ったワークステーションがあり、3月のパッチを受け取っていないサーバーに接続しようとすると、スクリーンショットにエラーメッセージが表示されます。
解決策本当にサーバーにパッチを適用して、3月のパッチが適用されるようにします。それ以外の場合は、その間にグループポリシーまたはレジストリの編集を適用できます。
この記事の詳細な手順を読むことができます: サポートされていない認証エラー機能を修正する方法CredSSPエラーRDP
また、ADMXファイルとADMLファイルのコピーを見つける必要がある場合に備えてそれらを見つけることもできます。
1月のどこかで、マシンの一部がWindows Update(ドメイン全体でローカルWSUSを実行している)の実行を停止したことがわかりました。以前のパッチが問題の原因だったと推測しています(マシンは古くなっていると文句を言いますが、それが必要だと言った1月のパッチはインストールしません)。1803の更新のため、MSのWindows Updateを直接使用して修正することはできませんでした(何らかの理由でタイムアウトし、更新が実行されません)。
マシンをバージョン1803にパッチすると、これに対する修正が含まれていることを確認できます。これを修正するために高速なパスが必要な場合は、Windows Updateアシスタント(更新というトップリンク)を使用して直接更新を実行しました(何らかの理由でWindows Updateより安定しているようです)。
単純に、Network Level Authenticationリモートデスクトップからの無効化を試みてください。次の画像を確認してください:
私はここで答えを見つけたので、それを自分のものとして主張することはできませんが、次のキーをレジストリに追加して再起動すると修正されました。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002