遠端連線Windows伺服器,提示 “這可能是由於 CredSSP 加密 Oracle 修正”
昨天,遠端桌面連線到伺服器,提示“這可能是由於 CredSSP 加密 Oracle 修正”。不太明白和Oracle有啥關係。搜了MOS也沒有太多的文件可以參考。
這個主要原因是微軟5月8日更新了補丁。安全性增強了。
該補丁的地址如下: https://support.microsoft.com/zh-cn/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018
該補丁的摘要如下:
CVE-2018-0886 的 CredSSP 更新
摘要
憑據安全支援提供程式協議 (CredSSP) 是處理其他應用程式的身份驗證請求的身份驗證提供程式。
CredSSP 的未修補版本中存在遠端程式碼執行漏洞。 成功利用此漏洞的攻擊者可以在目標系統上中繼使用者憑據以執行程式碼。 任何依賴 CredSSP 進行身份驗證的應用程式都可能容易受到此類攻擊。
此安全更新通過更正 CredSSP 在身份驗證過程中驗證請求的方式來修復此漏洞。
更新
2018 年 3 月 13 日
2018 年 3 月 13 日的初始版本更新了所有受影響平臺的 CredSSP 身份驗證協議和遠端桌面客戶端。
緩解措施包括在所有符合條件的客戶端和伺服器作業系統上安裝更新,然後使用包含的“組策略”設定或基於登錄檔的等效項管理客戶端和伺服器計算機上的設定選項。 我們建議管理員應用該策略,並儘快在客戶端和伺服器計算機上將其設定為“強制更新的客戶端”或“緩解”。這些更改將需要重啟受影響的系統。
請密切關注導致本文後面的相容性表中的客戶端和伺服器之間的“阻止”互動的組策略或登錄檔設定對。
2018 年 4 月 17 日
KB 4093120 中的遠端桌面客戶端 (RDP) 更新將增強更新的客戶端無法連線到尚未更新的伺服器時出現的錯誤訊息。
2018 年 5 月 8 日
將預設設定從“易受攻擊”更改為“緩解”的更新。
相關的 Microsoft 知識庫編號已在 CVE-2018-0886 中列出。
預設情況下,安裝此更新後,修補的客戶端無法與未修補的伺服器進行通訊。 使用本文中描述的互操作性矩陣和組策略設定來啟用“允許的”配置。
組策略
策略路徑和設定名稱 | 說明 |
策略路徑:“計算機配置”->“管理模板”->“系統”->“憑據分配” | 加密 oracle 修正 此策略設定可應用於使用 CredSSP 元件(例如,遠端桌面連線)的應用程式。 CredSSP 協議的某些版本容易受到針對客戶端的加密 oracle 攻擊。 此策略控制與易受攻擊的客戶端和伺服器的相容性。 此策略允許你設定針對加密 oracle 漏洞的防護級別。 如果啟用此策略設定,將會基於以下選項選擇 CredSSP 版本支援: 強制更新的客戶端– 使用 CredSSP 的客戶端應用程式將無法回退到不安全的版本,且使用 CredSSP 的服務將不接受未修補的客戶端。 注意 在所有遠端主機支援最新版本之前,不應部署此設定。 緩解– 使用 CredSSP 的客戶端應用程式將無法回退到不安全的版本,但使用 CredSSP 的服務將接受未修補的客戶端。 易受攻擊– 使用 CredSSP 的客戶端應用程式將通過支援回退到不安全的版本使遠端伺服器遭受攻擊,但使用 CredSSP 的服務將接受未修補的客戶端。 |
“加密 Oracle 修正組策略”支援以下三個選項,應將這些選項應用於客戶端和伺服器:
策略設定 | 登錄檔值 | 客戶端行為 | 伺服器行為 |
強制更新的客戶端 | 0 | 使用 CredSSP 的客戶端應用程式將無法回退到不安全的版本。 | 使用 CredSSP 的服務將不接受未修補的客戶端。 |
緩解 | 1 | 使用 CredSSP 的客戶端應用程式將無法回退到不安全的版本。 | 使用 CredSSP 的服務將接受未修補的客戶端。 |
易受攻擊 | 2 | 使用 CredSSP 的客戶端應用程式將通過支援回退到不安全的版本使遠端伺服器遭受攻擊。 | 使用 CredSSP 的服務將接受未修補的客戶端。 |
第二次更新(於 2018 年 5 月 8 日釋出)會將預設行為更改為“緩解”選項。
注意 對加密 Oracle 修正的任何更改都需要重啟。
登錄檔值
警告 如果使用登錄檔編輯器或其他方法修改登錄檔不當,可能會出現嚴重問題。 這些問題可能需要您重新安裝作業系統。 Microsoft 不能保證可解決這些問題。 請自行承擔修改登錄檔的風險。
此更新引入了以下注冊表設定:
登錄檔路徑 | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
值 | AllowEncryptionOracle |
資料型別 | DWORD |
是否需要重啟? | 是 |
互操作性矩陣
客戶端和伺服器都需要更新,否則,Windows 和第三方 CredSSP 客戶端可能無法連線到 Windows 或第三方主機。 有關易受攻擊或導致操作失敗的情況,請參閱以下互操作性矩陣。
伺服器 | |||||
未修補 | 強制更新的客戶端 | 緩解 | 易受攻擊 | ||
客戶端 | 未修補 | 允許 | 阻止 | 允許 | 允許 |
強制更新的客戶端 | 阻止 | 允許 | 允許 | 允許 | |
緩解 | 阻止 | 允許 | 允許 | 允許 | |
易受攻擊 | 允許 | 允許 | 允許 | 允許 | |
客戶端設定 | CVE-2018-0886 修補程式狀態 |
未修補 | 易受攻擊 |
強制更新的客戶端 | 安全 |
緩解 | 安全 |
易受攻擊 | 易受攻擊 |
Windows 事件日誌錯誤
如果在阻止的配置中配置客戶端和遠端主機,將在已修補的 Windows 客戶端上記錄事件 ID 6041。
事件日誌 | 系統 |
事件源 | LSA (LsaSrv) |
事件 ID | 6041 |
事件訊息文字 | 對 <主機名> 的 CredSSP 身份驗證無法協商通用協議版本。 遠端主機提供了加密 Oracle 修正不允許的版本 <協議版本>。 |
由未修補的 Windows RDP 客戶端通過 CredSSP 阻止的配置對生成的錯誤
由沒有 2018 年 4 月 17 日修補程式 (KB 4093120) 的遠端桌面客戶端提供的錯誤
與配置了“強制更新的客戶端”的伺服器配對的未修補的 Windows 8.1 之前的客戶端和 Windows Server 2012 R2 客戶端 | 由未修補的 Windows 8.1/Windows Server 2012 R2 和更高版本的 RDP 客戶端通過 CredSSP 阻止的配置對生成的錯誤 |
發生了身份驗證錯誤。 提供給函式的令牌無效 | 發生了身份驗證錯誤。 不支援請求的函式。 |
由具有 2018 年 4 月 17 日修補程式 (KB 4093120) 的遠端桌面客戶端提供的錯誤
與配置了“強制更新的客戶端”的伺服器配對的未修補的 Windows 8.1 之前的客戶端和 Windows Server 2012 R2 客戶端 | 這些錯誤是由未修補的 Windows 8.1/Windows Server 2012 R2 和更高版本的 RDP 客戶端通過 CredSSP 阻止的配置對生成的。 |
發生了身份驗證錯誤。 提供給函式的令牌無效。 |
第三方遠端桌面客戶端和伺服器
所有第三方客戶端或伺服器必須使用最新版本的 CredSSP 協議。 請聯絡供應商以確定其軟體是否與最新的 CredSSP 協議相容。
檔案變更
此更新中更新了以下系統檔案。
- tspkg.dll
credssp.dll 檔案保持不變。 有關更多資訊,請檢視相關文章以瞭解檔案版本資訊。
-- ---- 解決方法:
方法一、在本地電腦執行 gpedit.msc 中:“計算機配置”->“管理模板”->“系統”->“憑據分配”,這裡面有個“加密 Oracle 修正”,改之。
方法二、如果是 Windows 10 家庭版,沒有 gpedit.msc,那麼就直接修改本地電腦的登錄檔,在本地“執行”輸入: regedit 按以下目錄進入:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
新建一個 32 位的、DWORD 型別的記錄,名為:"AllowEncryptionOracle",十進位制數值改為 2 即可,如果連線遠端仍然提示,那麼重啟下本地電腦即可。