Вы знаете, что CVE-2019-0708 уже существует, и все ищут PoC, и я следил за ним. Эта статья чтобы сделать обходной путь, чтобы укрепить мой старый сервер Windows. Да, я включил NLA. NLA работает. Но после перезагрузки NLA не работает должным образом, я был отключен от сервера сразу после ввода пароля и нажатия кнопки ОК. Нет всплывающего сообщения. Я только что отключился. Странно.
При необходимости я могу предоставить вам пакеты захвата Wireshark.
Вы можете мельком увидеть, что происходит. С автозаполнением пароля. Захваченные пакеты Wireshark
Так, что происходит? Я не знаком с окнами и действительно не знаю почему ... И хуже всего то, что я не могу подключиться к нему сейчас, потому что это действительно удаленный сервер ... T_T ...
У меня тоже есть следующий журнал ошибок:
[I] RDP ClientActiveX is trying to connect to the server (srv1.domain.com)
[I] Server supports SSL = supported
[I]Base64(SHA256(UserName)) is = -
[W] RDPClient_SSL: An error was encountered when transitioning from TsSslStateHandshakeInProgress to TsSslStateDisconnecting in response to TsSslEventHandshakeContinueFailed (error code 0x80004005)
[I] The multi-transport connection has been disconnected.
[I] RDP ClientActiveX has been disconnected (Reason = xx)
[I] The multi-transport connection has been disconnected.
Возможно, виноват процесс обновления.
Перейдите в настройки RDP, вкладка Advanced.
Выберите «Подключиться и не предупреждать» вместо «Не подключаться» в области «Если проверка подлинности сервера не удалась».
Если это не помогло, попробуйте удалить KB2984972.
Учитывая ваш обновленный вопрос, вы также должны убедиться, что в Компьютер -> Свойства -> Удаленные настройки -> вкладка Удаленный -> «Разрешить подключения с компьютеров с использованием любой версии RDP». Также сделайте так, чтобы в «Select Users» была добавлена учетная запись локального администратора.
Обычно клиент удаленного рабочего стола немедленно отключается без сообщения об ошибке, если вы пытаетесь подключиться к компьютеру, который находится в процессе завершения работы. Чаще всего это происходит, если удаленный компьютер устанавливает обновления, потому что это затягивает процесс завершения работы.
Я получаю немного другой код ошибки, чем вы (0x8000FFFF скорее, чем 0x80004005), но это, вероятно, просто зависит от точной версии клиента и сервера и, возможно, других факторов, таких как качество установленного (на короткое время) соединения.
В pslist команда (доступна на веб-сайте MS) с -s Параметр может быть полезен для определения того, что делает удаленный компьютер, и, в частности, для различения компьютера, который фактически устанавливает обновления, от компьютера, зависшего при попытке установить обновления. Вы также можете проверить журнал обслуживания на основе компонентов, который можно найти по адресу c:\windows\logs\cbs\cbs.log, за активность.