Windows 2018/05/08の更新後のリモートデスクトップ接続エラー-CVE-2018-0886のCredSSP更新

Windows Updateの後、リモートデスクトップ接続を使用してサーバーに接続しようとすると、このエラーが発生します。

エラーメッセージで提供されるリンクを読むと、 2018/05/08の更新が原因のようです。

2018年5月8日

デフォルト設定をVulnerableからMitigatedに変更するアップデート。

関連するマイクロソフトサポート技術情報の番号は、CVE-2018-0886に記載されています。

これに対する解決策はありますか？

（質問作者に代わって回答を投稿しました）。

いくつかの回答のように、このエラーの最善の解決策は、サーバーとクライアントの両方をMicrosoftの2018-05-08更新バージョン以上に更新することです。

両方を更新できない場合（つまり、クライアントまたはサーバーのみを更新できる場合）は、以下の回答から回避策のいずれかを適用し、回避策によって導入される脆弱性の期間を最小限に抑えるために、構成をできるだけ早く変更することができます。

cmdを使用したgpeditの代替方法：

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

1つの解決策を見つけました。ヘルプリンクで説明されているように、このグループポリシーの値を変更して、2018/05/08の更新からロールバックしようとしました。

• gpedit.mscを実行します

• コンピューターの構成->管理用テンプレート->システム->資格情報の委任->暗号化Oracle Remediation

[ 有効]に変更し、[保護レベル]で[ 脆弱性]に戻ります。

攻撃者が私の接続を悪用するリスクをロールバックできるかどうかはわかりません。マイクロソフトがこの設定をすぐに修正して、設定を推奨設定のMitigatedに復元できることを願っています。

別の方法は、MS StoreからMicrosoftリモートデスクトップクライアントをインストールすることです-https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

この問題はHyper-V VMでのみ発生し、物理マシンへのリモート処理は問題ありません。

移動します。このPCサーバー上→システム設定→システムの詳細設定してから、私は「だけでネットワークレベル認証（推奨）でリモートデスクトップを実行しているコンピュータからの接続を許可する」ターゲットVMをオフにして、それを解決しました。

ac19501の答えに従って、これを簡単にするために2つのレジストリファイルを作成しました。

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

印刷画面のGPOの例を更新します。

「reg add "HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters" / f / v AllowEncryptionOracle / t REG_DWORD / d 2」という回答に基づいて

印刷画面

キーパス：Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters
値の名前：AllowEncryptionOracle
値のデータ：2

私は同じ問題に出会いました。より良い解決策は、Pham X Bachの回答を使用してセキュリティレベルを下げる代わりに、接続しているマシンを更新することです。

ただし、何らかの理由でマシンを更新できない場合、彼の回避策は機能します。

サーバーとすべてのクライアント用にWindows Updateをインストールする必要があります。更新プログラムを探すには、https： //portal.msrc.microsoft.com/en-us/security-guidance にアクセスし、2018-0886 CVEを検索して、インストールされているWindowsのバージョンのセキュリティ更新プログラムを選択します。

Windows Updateを使用してWindows Serverを更新する必要があります。必要なすべてのパッチがインストールされます。その後、リモートデスクトップ経由でサーバーに再度接続できます。

kb4103725をインストールする必要があります

続きを読む：https : //support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725

サーバーの場合、リモートPowerShellを使用して設定を変更することもできます（WinRMが有効になっていると仮定するなど）。

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

現在、この設定がドメインGPOによって管理されている場合、元に戻す可能性があるため、GPOを確認する必要があります。しかし、簡単な修正のために、これは機能します。

参照：https : //www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

コマンドラインにアクセスできる場合（ボックスでSSHサーバーが実行されている場合）、コマンドラインから "sconfig.cmd"を実行することもできます。次のようなメニューが表示されます。

オプション7を選択し、セキュリティだけでなく、すべてのクライアントに対して有効にします。

これが完了すると、リモートデスクトップを使用できます。問題は、新しいセキュリティのためにクライアントシステムが更新されたが、サーバーボックスが更新に遅れていたようです。更新プログラムを入手してから、このセキュリティ設定をオンに戻すことをお勧めします。

アンインストール：

• Windows 7および8.1の場合：KB4103718および/またはKB4093114 
• Windows 10の場合：KB4103721および/またはKB4103727サーバー（更新なし） 

このアップデートには、脆弱性CVE-2018-0886のパッチが含まれています。パッチが適用されていないサーバーでは、それらはサーバーなしで使用できます。