Полностью на основе Ответ Грэма Катберта Я создал текстовый файл в Блокноте со следующими строками и после этого просто дважды щелкнул по нему (что должно добавить в реестр Windows все параметры, содержащиеся в файле).

Просто обратите внимание, что первая строка зависит от того, какую версию Windows вы используете, поэтому было бы неплохо открыть regedit и экспортируйте любое правило, чтобы увидеть, что находится в первой строке, и использовать ту же версию в своем файле.

Кроме того, меня не беспокоит снижение безопасности в этой конкретной ситуации, потому что я подключаюсь к зашифрованной VPN, а хост Windows не имеет доступа к Интернету и, следовательно, не имеет последнего обновления.

файл rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Для тех, кто хотел бы что-то легко скопировать / вставить в командную строку с повышенными привилегиями:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

Протокол поставщика поддержки безопасности учетных данных (CredSSP) - это провайдер аутентификации, который обрабатывает запросы аутентификации для других приложений.

Уязвимость удаленного выполнения кода существует в непропатченных версиях CredSSP. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может передать учетные данные пользователя для выполнения кода в целевой системе. Любое приложение, которое зависит от CredSSP для аутентификации, может быть уязвимо для этого типа атаки.

[...]

13 марта 2018 г.

В первом выпуске от 13 марта 2018 г. обновлен протокол аутентификации CredSSP и клиенты удаленного рабочего стола для всех затронутых платформ.

Снижение риска заключается в установке обновления на все подходящие клиентские и серверные операционные системы, а затем в использовании включенных параметров групповой политики или эквивалентов на основе реестра для управления параметрами параметров на клиентских и серверных компьютерах. Мы рекомендуем администраторам как можно скорее применить политику и установить для нее значение «Принудительно обновлять клиенты» или «Смягчено» на клиентских и серверных компьютерах. Эти изменения потребуют перезагрузки затронутых систем.

Обратите особое внимание на пары параметров групповой политики или реестра, которые приводят к «заблокированным» взаимодействиям между клиентами и серверами в таблице совместимости далее в этой статье.

17 апреля 2018 г.

Обновление клиента удаленного рабочего стола (RDP) в KB 4093120 улучшит сообщение об ошибке, которое появляется, когда обновленный клиент не может подключиться к серверу, который не был обновлен.

8 мая 2018 г.

Обновление для изменения настройки по умолчанию с "Уязвимые" на "Умеренные".

Источник: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

См. Также эту ветку Reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Обходной путь Microsoft:

• Сервер обновлений и клиент. (требуется перезагрузка, рекомендуется)

Не рекомендуются обходные пути, если ваш сервер общедоступен, или если у вас нет строгого контроля трафика во внутренней сети, но иногда перезапуск сервера RDP в рабочее время не подходит.

• Установите политику исправлений CredSSP через GPO или реестр. (требуется перезагрузка или gpupdate / force)
• Удалите KB4103727 (перезагрузка не требуется)
• Я думаю, что отключение NLA (Network Layer Authentication) тоже может сработать. (перезапуск не требуется)

Обязательно осознайте риски при их использовании и исправьте свои системы как можно скорее.

[1] Все описания GPO CredSSP и модификации реестра описаны здесь.

[2] примеры параметров GPO и реестра на случай, если сайт Microsoft выйдет из строя.

1. Перейдите в «Редактор локальной групповой политики> Административные шаблоны> Система> Делегирование учетных данных> Шифрование Oracle Remediation», отредактируйте и включите его, затем установите «Уровень защиты» на «Сниженный».
2. Установите регистрационный ключ (от 00000001 до 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters] «AllowEncryptionOracle» = dword:
3. При необходимости перезагрузите систему.

На моем компьютере с Windows 10 не было значения реестра. Мне пришлось перейти к следующей локальной групповой политике и применить изменения к моему клиенту:

Конфигурация компьютера -> Административные шаблоны -> Система -> Делегирование учетных данных - Шифрование Oracle Remediation

Включите и установите значение на vulnerable.

Исследовательская работа

Ссылаясь на эту статью:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Предварительное обновление, май 2018 г., которое может повлиять на возможность установления сеансовых соединений RDP удаленного хоста в организации. Эта проблема может возникнуть, если локальный клиент и удаленный хост имеют разные параметры «Encryption Oracle Remediation» в реестре, которые определяют, как создать сеанс RDP с CredSSP. Параметры настройки «Encryption Oracle Remediation» определены ниже, и если сервер или клиент имеют разные ожидания при установлении безопасного сеанса RDP, соединение может быть заблокировано.

Второе обновление, которое предварительно планируется выпустить 8 мая 2018 г., изменит поведение по умолчанию с «Уязвимое» на «Смягченное».

Если вы заметили, что и клиент, и сервер исправлены, но параметр политики по умолчанию оставлен на «Уязвимый», соединение RDP является «Уязвимым» для атаки. После изменения настройки по умолчанию на «Смягчено» соединение по умолчанию становится «Безопасным».

разрешение

Основываясь на этой информации, я стараюсь убедиться, что все клиенты полностью исправлены, и тогда я ожидаю, что проблема будет устранена.

Рекомендуется обновлять клиент вместо таких сценариев, чтобы просто обойти ошибку, но на свой страх и риск вы можете сделать это на клиенте и не перезагружать клиентский компьютер. Также не нужно ничего менять на сервере.

1. открыто Run, тип gpedit.msc и нажмите OK.
2. Развернуть Administrative Templates.
3. Развернуть System.
4. открыто Credentials Delegation.
5. На правой панели дважды щелкните на Encryption Oracle Remediation.
6. Выбрать Enable.
7. Выбрать Vulnerable из Protection Level список.

Этот параметр политики применяется к приложениям, использующим компонент CredSSP (например: подключение к удаленному рабочему столу).

Некоторые версии протокола CredSSP уязвимы для атаки оракула шифрования на клиента. Эта политика контролирует совместимость с уязвимыми клиентами и серверами. Эта политика позволяет вам установить желаемый уровень защиты от уязвимости оракула шифрования.

Если вы включите этот параметр политики, поддержка версии CredSSP будет выбрана на основе следующих параметров:

Принудительно обновленные клиенты: клиентские приложения, использующие CredSSP, не смогут откатиться к небезопасным версиям, а службы, использующие CredSSP, не будут принимать клиентов без исправлений. Примечание: этот параметр не следует развертывать, пока все удаленные узлы не будут поддерживать новейшую версию.

Смягчено: клиентские приложения, использующие CredSSP, не смогут вернуться к небезопасной версии, но службы, использующие CredSSP, будут принимать клиентов без исправлений. По ссылке ниже вы найдете важную информацию о рисках, связанных с тем, что клиенты не исправлены.

Уязвимость: клиентские приложения, использующие CredSSP, будут подвергать удаленные серверы атакам, поддерживая возврат к небезопасным версиям, а службы, использующие CredSSP, будут принимать клиентов без исправлений.

8. Щелкните Применить.
9. Щелкните ОК.
10. Готово.

Ссылка

Просто попробуйте отключить Network Level Authentication С удаленного рабочего стола. Не могли бы вы проверить следующее изображение:

У этого парня есть решение вашей конкретной проблемы:

По сути - вам нужно будет изменить настройки GPO и принудительно обновить. Но чтобы эти изменения вступили в силу, потребуется перезагрузка.

1. Скопируйте эти два файла с недавно обновленной машины;

   • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Did, февраль 2018 г.)
   • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd, февраль 2018 г. - ваша локальная папка может отличаться, например, en-GB)

2. На DC перейдите к:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
   • Переименовать текущий CredSsp.admx к CredSsp.admx.old
   • Скопируйте новый CredSsp.admx в эту папку.

3. На том же DC перейдите к:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (или ваш местный язык)
   • Переименовать текущий CredSsp.adml к CredSsp.adml.old
   • Скопируйте новый CredSsp.adml файл в эту папку.

4. Попробуйте еще раз свою групповую политику.

https://www.petenetlive.com/KB/Article/0001433

Как говорили другие, это из-за мартовского патча, выпущенного Microsoft. 8 мая они выпустили майский патч, который фактически обеспечивает соблюдение мартовского патча. Поэтому, если у вас есть рабочая станция, на которую был установлен майский патч, и вы пытаетесь подключиться к серверу, на который не был установлен мартовский патч, вы получите сообщение об ошибке на своем скриншоте.

Решение Вы действительно хотите пропатчить серверы, чтобы на них был мартовский патч. В противном случае вы тем временем можете применить групповую политику или изменить реестр.

Вы можете прочитать подробную инструкцию в этой статье: Как исправить ошибку аутентификации Функция не поддерживается Ошибка CredSSP RDP

Вы также можете найти копии файлов ADMX и ADML на случай, если вам понадобится их найти.

У меня такая же проблема. Клиенты находятся на Win7, а серверы RDS - 2012R2. Клиенты получили «ежемесячное обновление качества безопасности 2018-05 (kb4019264)». После этого все хорошо.

Я обнаружил, что некоторые из наших машин перестали выполнять Центр обновления Windows (мы запускаем локальные WSUS в нашем домене) где-то в январе. Я предполагаю, что проблему вызвал предыдущий патч (машина жаловалась на то, что она устарела, но не устанавливала патчи Jan, которые, по ее словам, были необходимы). Из-за обновления 1803 мы не могли просто использовать Центр обновления Windows от MS напрямую, чтобы исправить это (по какой-то причине истекло время ожидания и обновления не запускались).

Я могу подтвердить, что если вы исправите машину до версии 1803, она будет содержать исправление. Если вам нужен быстрый способ исправить это, я использовал Помощник по обновлению Windows (верхняя ссылка с надписью «Обновление»), чтобы выполнить обновление напрямую (по какой-то причине кажется более стабильным, чем Центр обновления Windows).

Мы удалили последнее обновление безопасности KB410731, и мы смогли подключиться к машинам Windows 10 в сборке 1709 и ранее. Для ПК мы могли обновиться до сборки 1803, это решило проблему без удаления KB4103731.

Откройте PowerShell от имени администратора и выполните эту команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Попробуйте сейчас подключиться к серверу. Это сработает.

Я нашел ответ Вот, поэтому не могу утверждать, что это мой собственный, но добавление следующего ключа в мой реестр и перезапуск исправили его для меня.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002