Полностью на основе Ответ Грэма Катберта Я создал текстовый файл в Блокноте со следующими строками и после этого просто дважды щелкнул по нему (что должно добавить в реестр Windows все параметры, содержащиеся в файле).

Просто обратите внимание, что первая строка зависит от того, какую версию Windows вы используете, поэтому было бы неплохо открыть regedit и экспортируйте любое правило, чтобы увидеть, что находится в первой строке, и использовать ту же версию в своем файле.

Кроме того, меня не беспокоит снижение безопасности в этой конкретной ситуации, потому что я подключаюсь к зашифрованной VPN, а хост Windows не имеет доступа к Интернету и, следовательно, не имеет последнего обновления.

файл rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Для тех, кто хотел бы что-то легко скопировать / вставить в командную строку с повышенными привилегиями:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

Протокол поставщика поддержки безопасности учетных данных (CredSSP) - это провайдер аутентификации, который обрабатывает запросы аутентификации для других приложений.

Уязвимость удаленного выполнения кода существует в непропатченных версиях CredSSP. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может передать учетные данные пользователя для выполнения кода в целевой системе. Любое приложение, которое зависит от CredSSP для аутентификации, может быть уязвимо для этого типа атаки.

[...]

13 марта 2018 г.

В первом выпуске от 13 марта 2018 г. обновлен протокол аутентификации CredSSP и клиенты удаленного рабочего стола для всех затронутых платформ.

Снижение риска заключается в установке обновления на все подходящие клиентские и серверные операционные системы, а затем в использовании включенных параметров групповой политики или эквивалентов на основе реестра для управления параметрами параметров на клиентских и серверных компьютерах. Мы рекомендуем администраторам как можно скорее применить политику и установить для нее значение «Принудительно обновлять клиенты» или «Смягчено» на клиентских и серверных компьютерах. Эти изменения потребуют перезагрузки затронутых систем.

Обратите особое внимание на пары параметров групповой политики или реестра, которые приводят к «заблокированным» взаимодействиям между клиентами и серверами в таблице совместимости далее в этой статье.

17 апреля 2018 г.

Обновление клиента удаленного рабочего стола (RDP) в KB 4093120 улучшит сообщение об ошибке, которое появляется, когда обновленный клиент не может подключиться к серверу, который не был обновлен.

8 мая 2018 г.

Обновление для изменения настройки по умолчанию с "Уязвимые" на "Умеренные".

Источник: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

См. Также эту ветку Reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Обходной путь Microsoft:

• Сервер обновлений и клиент. (требуется перезагрузка, рекомендуется)

Не рекомендуются обходные пути, если ваш сервер общедоступен, или если у вас нет строгого контроля трафика во внутренней сети, но иногда перезапуск сервера RDP в рабочее время не подходит.

• Установите политику исправлений CredSSP через GPO или реестр. (требуется перезагрузка или gpupdate / force)
• Удалите KB4103727 (перезагрузка не требуется)
• Я думаю, что отключение NLA (Network Layer Authentication) тоже может сработать. (перезапуск не требуется)

Обязательно осознайте риски при их использовании и исправьте свои системы как можно скорее.

[1] Все описания GPO CredSSP и модификации реестра описаны здесь.

[2] примеры параметров GPO и реестра на случай, если сайт Microsoft выйдет из строя.

1. Перейдите в «Редактор локальной групповой политики> Административные шаблоны> Система> Делегирование учетных данных> Шифрование Oracle Remediation», отредактируйте и включите его, затем установите «Уровень защиты» на «Сниженный».
2. Установите регистрационный ключ (от 00000001 до 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters] «AllowEncryptionOracle» = dword:
3. При необходимости перезагрузите систему.

На моем компьютере с Windows 10 не было значения реестра. Мне пришлось перейти к следующей локальной групповой политике и применить изменения к моему клиенту:

Конфигурация компьютера -> Административные шаблоны -> Система -> Делегирование учетных данных - Шифрование Oracle Remediation

Включите и установите значение на vulnerable.

Исследовательская работа

Ссылаясь на эту статью:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Предварительное обновление, май 2018 г., которое может повлиять на возможность установления сеансовых соединений RDP удаленного хоста в организации. Эта проблема может возникнуть, если локальный клиент и удаленный хост имеют разные параметры «Encryption Oracle Remediation» в реестре, которые определяют, как создать сеанс RDP с CredSSP. Параметры настройки «Encryption Oracle Remediation» определены ниже, и если сервер или клиент имеют разные ожидания при установлении безопасного сеанса RDP, соединение может быть заблокировано.

Второе обновление, которое предварительно планируется выпустить 8 мая 2018 г., изменит поведение по умолчанию с «Уязвимое» на «Смягченное».

Если вы заметили, что и клиент, и сервер исправлены, но параметр политики по умолчанию оставлен на «Уязвимый», соединение RDP является «Уязвимым» для атаки. После изменения настройки по умолчанию на «Смягчено» соединение по умолчанию становится «Безопасным».

разрешение

Основываясь на этой информации, я стараюсь убедиться, что все клиенты полностью исправлены, и тогда я ожидаю, что проблема будет устранена.

Рекомендуется обновлять клиент вместо таких сценариев, чтобы просто обойти ошибку, но на свой страх и риск вы можете сделать это на клиенте и не перезагружать клиентский компьютер. Также не нужно ничего менять на сервере.

1. открыто Run, тип gpedit.msc и нажмите OK.
2. Развернуть Administrative Templates.
3. Развернуть System.
4. открыто Credentials Delegation.
5. На правой панели дважды щелкните на Encryption Oracle Remediation.
6. Выбрать Enable.
7. Выбрать Vulnerable из Protection Level список.

Этот параметр политики применяется к приложениям, использующим компонент CredSSP (например: подключение к удаленному рабочему столу).

Некоторые версии протокола CredSSP уязвимы для атаки оракула шифрования на клиента. Эта политика контролирует совместимость с уязвимыми клиентами и серверами. Эта политика позволяет вам установить желаемый уровень защиты от уязвимости оракула шифрования.

Если вы включите этот параметр политики, поддержка версии CredSSP будет выбрана на основе следующих параметров:

Принудительно обновленные клиенты: клиентские приложения, использующие CredSSP, не смогут откатиться к небезопасным версиям, а службы, использующие CredSSP, не будут принимать клиентов без исправлений. Примечание: этот параметр не следует развертывать, пока все удаленные узлы не будут поддерживать новейшую версию.

Смягчено: клиентские приложения, использующие CredSSP, не смогут вернуться к небезопасной версии, но службы, использующие CredSSP, будут принимать клиентов без исправлений. По ссылке ниже вы найдете важную информацию о рисках, связанных с тем, что клиенты не исправлены.

Уязвимость: клиентские приложения, использующие CredSSP, будут подвергать удаленные серверы атакам, поддерживая возврат к небезопасным версиям, а службы, использующие CredSSP, будут принимать клиентов без исправлений.

8. Щелкните Применить.
9. Щелкните ОК.
10. Готово.

Ссылка

Просто попробуйте отключить Network Level Authentication С удаленного рабочего стола. Не могли бы вы проверить следующее изображение: