这可能是由于 CredSSP 加密 oracle 修复 - RDP 到 Windows 10 专业版主机

Question

错误

遵循 2018 年 5 月的 Windows 安全更新，当尝试 RDP 到 Windows 10 专业版工作站时，成功输入用户凭据后会显示以下错误消息：

发生身份验证错误。不支持请求的功能。

这可能是由于 CredSSP 加密 oracle 修复

截屏

调试

• 我们已确认用户凭据正确。

• 重新启动了工作站。

• 已确认本地目录服务可运行。

• 尚未应用 5 月安全补丁的隔离工作站不受影响。

可以临时管理永久主机，但关注基于云的服务器访问。尚未在 Server 2016 上发生。

谢谢

Answer 1

完全基于Graham Cuthbert 的回复，我在记事本中用以下几行创建了一个文本文件，然后双击它（这应该将文件中的任何参数添加到 Windows 注册表中）。

请注意，第一行因您使用的 Windows 版本而异，因此打开regedit和导出任何规则以查看第一行中的内容并在您的文件中使用相同版本可能是个好主意。

此外，我不担心在这种特殊情况下会降低安全性，因为我正在连接到加密的 VPN 并且主机 Windows 无法访问互联网，因此没有最新的更新。

文件rd_patch.reg：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

对于那些想要轻松复制/粘贴到提升的命令提示符中的人：

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

Answer 2

凭据安全支持提供程序协议 (CredSSP) 是一个身份验证提供程序，用于处理其他应用程序的身份验证请求。

CredSSP 的未修补版本中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以中继用户凭据以在目标系统上执行代码。任何依赖 CredSSP 进行身份验证的应用程序都可能容易受到此类攻击。

[...]

2018 年 3 月 13 日

2018 年 3 月 13 日的初始版本更新了所有受影响平台的 CredSSP 身份验证协议和远程桌面客户端。

缓解措施包括在所有符合条件的客户端和服务器操作系统上安装更新，然后使用包含的组策略设置或基于注册表的等效项来管理客户端和服务器计算机上的设置选项。我们建议管理员尽快在客户端和服务器计算机上应用该策略并将其设置为“强制更新客户端”或“已缓解”。这些更改将需要重新启动受影响的系统。

密切注意导致本文稍后兼容性表中客户端和服务器之间“被阻止”交互的组策略或注册表设置对。

2018 年 4 月 17 日

KB 4093120 中的远程桌面客户端 (RDP) 更新更新将增强当更新的客户端无法连接到尚未更新的服务器时显示的错误消息。

2018 年 5 月 8 日

将默认设置从易受攻击更改为已缓解的更新。

来源：https : //support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

另请参阅此 reddit 线程：https : //www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

微软的解决方法：

• 更新服务器和客户端。（需要重启，推荐）

如果您的服务器是公开可用的，或者您的内部网络没有严格的流量控制，则不推荐的解决方法，但有时在工作时间重新启动 RDP 服务器是不行的。

• 通过 GPO 或注册表设置 CredSSP 修补策略。（需要重启或 gpupdate /force）
• 卸载 KB4103727（无需重启）
• 我认为禁用 NLA（网络层身份验证）也可能有效。（无需重启）

请务必了解使用这些时的风险并尽快修补您的系统。

[1] 此处描述了所有 GPO CredSSP 描述和注册表修改。

[2] GPO 和注册表设置示例，以防 Microsoft 站点出现故障。

Answer 3

1. 转到“本地组策略编辑器 > 管理模板 > 系统 > 凭据委派 > 加密 Oracle 修复”，编辑并启用它，然后将“保护级别”设置为“缓解”。
2. 设置注册密钥（从 00000001 到 00000002）[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle"=dword:
3. 如果需要，重新启动系统。

Answer 4

研究

\n

参考这篇文章：

\n

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

\n

\n

2018 年 5 月的暂定更新可能会影响在组织内建立远程主机 RDP 会话连接的能力。如果本地客户端和远程主机在注册表中具有不同的 \xe2\x80\x9cEncryption Oracle Remediation\xe2\x80\x9d 设置（定义如何使用 CredSSP 构建 RDP 会话），则可能会出现此问题。\xe2\x80\x9cEncryption Oracle Remediation\xe2\x80\x9d 设置选项定义如下，如果服务器或客户端对建立安全 RDP 会话有不同的期望，则可能会阻止连接。

\n

第二个更新暂定于 2018 年 5 月 8 日发布，将默认行为从 \xe2\x80\x9cVulnerable\xe2\x80\x9d 更改为 \xe2\x80\x9cMitiated\xe2\x80\x9d。

\n

如果您注意到客户端和服务器都已修补，但默认策略设置保留在 \xe2\x80\x9cVulnerable\xe2\x80\x9d，则 RDP 连接是 \xe2\x80\x9cVulnerable\xe2\x80\x9d 进行攻击。将默认设置修改为 \xe2\x80\x9cMitiated\xe2\x80\x9d 后，连接默认变为 \xe2\x80\x9cSecure\xe2\x80\x9d。

\n

\n

解决

\n

根据这些信息，我将继续确保所有客户端都已完全修补，然后我希望问题能够得到缓解。

\n