سؤال خطأ اتصال سطح المكتب البعيد بعد تحديث Windows 2018/05/08 - تحديثات CredSSP لـ CVE-2018-0886


بعد Windows Update ، أتلقى هذا الخطأ عند محاولة الاتصال بخادم باستخدام "الاتصال بسطح المكتب البعيد".

عندما تقرأ الرابط المقدمة من رسالة الخطأ ، يبدو بسبب تحديث في 2018/05/08:

8 مايو 2018

تحديث لتغيير الإعداد الافتراضي من Vulnerable إلى Mitigated.

يتم سرد أرقام قاعدة معارف Microsoft ذات الصلة في CVE-2018-0886.

هل هناك حل لهذا؟

Error RDC


86
2018-05-09 03:54


الأصل


(Meta: تحديثات في نهاية المشاركات ، للتأكد من أنها لا تزال مفهومة للقراء الجدد ، وتذهب الإجابات في مساحة الإجابة ، ولا يتم دمجها في الأسئلة. شكرًا). - halfer


الأجوبة:


(تم نشر إجابة نيابة عن صاحب السؤال).

كما هو الحال في بعض الإجابات ، فإن أفضل حل لهذا الخطأ هو تحديث كل من الخادم والعملاء إلى الإصدار> = تحديث 2018-05-08 من Microsoft.

إذا لم تتمكن من تحديث كل منهما (بمعنى أنه يمكنك فقط تحديث العميل أو الخادم) ثم يمكنك تطبيق أحد الحلول من الإجابات أدناه ، وتغيير التكوين مرة أخرى في أسرع وقت ممكن بحيث يمكنك تقليل مدة الثغرة التي يقدمها الحل.


18
2018-05-09 14:51



هذه واحدة من تلك الحالات النادرة حيث تكون الإجابة المقبولة هي أيضاً أفضل إجابة. إجابات أخرى تجعلك عرضة ل CVE-2018-0886: "وجود ثغرة تنفيذ التعليمات البرمجية عن بعد في إصدارات غير مرقمة من CredSSP. يمكن للمهاجم الذي يستغل هذه الثغرة بنجاح بيانات اعتماد المستخدم relay لتنفيذ التعليمات البرمجية على النظام الهدف. قد يكون أي تطبيق يعتمد على CredSSP للمصادقة عرضة لهذا النوع من الهجوم. " - Braiam
لقد وجدنا حلًا بديهيًا غير تدخلي - تمكنا من RDP باستخدام أحد خوادمنا كصندوق قفزة - OutstandingBill
أي فكرة مدى خطورة نقطة الضعف إذا كان كلا من العميل والخادم في نفس الشبكة المحلية وتعرض فقط للإنترنت وراء جهاز توجيه دون أي منافذ مفتوحة؟ - Kevkong
Kevkong: هذا هو رد wiki قمت بنشره لمؤلف السؤال. يمكنك اختبارها تحت السؤال إذا كنت ترغب في ذلك. - halfer
مرحبًا @ بيتر: شكرًا لتحريراتك. أتفق معهم في الغالب ، لكن التعريف التلوي هو ضروري IMO للبقاء ضمن قواعد ترخيص الإسناد. لدي عدة مئات من هؤلاء على Stack Overflow ، والرأي من Meta هو أن هذا لا يحتاج فقط إلى البقاء ، ولكن بعض الناس يعتقدون أنه غير كاف ، ويجب تسمية OP. لم تفِد وجهة النظر هذه بفارق كبير ، لكنها تُظهر اتساع نطاق الرأي حول كيفية تحقيق الإحالة بشكل أفضل. ولكن ، في الأساس ، لا يمكننا محو التأليف. هل يمكن استعادة هذا من فضلك؟ - halfer


طريقة بديلة ل gpedit باستخدام كمد:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

82
2018-05-09 04:21



المنقذ. بالنسبة لأولئك الذين يستخدمون Windows 10 Home ، يجب أن يعمل ذلك بشكل مثالي. فقط تذكر أن تشغل كمد كمسؤول.
هذا الأمر يعمل على ويندوز 8. شكرا لك - Naveen Soni
في الواقع كانت المشكلة أن التحديثات لا تزال قيد التثبيت على الخادم وبالتالي لم يكن هناك اتصال ممكن. انتظرت للتو وعملت. serverfault.com/questions/387593/... - tobiak777
pghcpa تجاهل ذلك ، ينشئ الأمر عقد التسجيل المفقودة ويقوم بإدراج المعلمة من أجلك. هذا هو حقا الحياة المنقذ إذا كنت لا تستطيع تحديث الخادم مع تصحيح الأمان الذي تسبب في هذه المشكلة. - Gergely Lukacsy
أنا لا أعرف لماذا ، ولكن في عملها شكرا لك - dian


لقد وجدت حلا واحدا. كما هو موضح في رابط المساعدة، لقد حاولت التراجع عن التحديث 2018/05/08 عن طريق تغيير قيمة سياسة المجموعة هذه:

  • يركض GPEDIT.MSC

  • تكوين الكمبيوتر -> قوالب الإدارة -> النظام -> تفويض بيانات الاعتماد -> تشفير علاج أوراكل

تغييره إلى مكن وفي مستوى الحماية ، قم بالرجوع إلى غير حصين.

لست متأكداً مما إذا كان من الممكن أن يتراجع عن أي خطر يستغل أي مهاجم الاتصال الخاص بي. آمل أن تقوم Microsoft بإصلاح هذه المشكلة قريبًا حتى أتمكن من استعادة الإعداد إلى إعداد التوصية التخفيف.

Enter image description here


36
2018-05-09 07:53



لا يحتوي نظامي على خيار "Encryption Oracle Remediation" هناك ، إنه خادم Windows 2012. يبدو أنه تم تطبيق التحديث الأمني ​​5/8.
ما وجدته هو أن العميل كان "القضية". الخوادم لم يكن لديها آخر التحديثات. كان لدى العملاء آخر تحديث حتى لا يعملوا. بمجرد تحديث الخادم ، كل شيء يعمل.
لأولئك الذين ليسوا متأكدين من أين تبدأ ، قم بتشغيل "gpedit.msc" ثم اتبع التعليمات المذكورة أعلاه. - Glen Little


طريقة أخرى هي تثبيت عميل سطح المكتب البعيد من Microsoft من متجر MS - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps


12
2018-05-10 06:04



شكرا لك ، ونأمل أن يكون لديك ملف نسخ / لصق بدلا من مجلد حصة يوم واحد. لديك فقط مشاركة الحافظة لنسخ / لصق النص - Pham X. Bach
يفتقر عميل Windows App Store RDP إلى الكثير من ميزات التخصيص والتكامل المضمنة mstsc.exeمن الصعب أن تأخذ بجدية. من وجهة نظر أمنية ، لن يسمح لك حتى بعرض الشهادة المستخدمة للاتصالات الآمنة (آخر مرة قمت فيها بالتحقق) ، كما أنه يفتقر إلى دعم البطاقة الذكية ، وشبكة المراقبة المتعددة ، وإعادة توجيه القيادة ، وغيرها. يكشف جدول المقارنة الخاص بشركة Microsoft مدى فقر الدم: docs.microsoft.com/en-us/windows-server/remote/... - Dai


تحدث هذه المشكلة في My Hyper-V VM فقط ، والاتصال عن بُعد بالأجهزة الفعلية أمر جيد.

اذهب إلى هذا الكمبيوتر ← إعدادات النظام ← إعدادات النظام المتقدمة على الخادم ثم قمت بحلها عن طريق إلغاء تحديد الهدف VM "السماح للاتصالات فقط من أجهزة الكمبيوتر التي تعمل على سطح المكتب البعيد مع مصادقة مستوى الشبكة (مستحسن)".

Uncheck this


5
2018-05-10 15:06



لعنها الله. لقد مكنت هذا الخيار ، نسيت ، وبعد ساعتين أدركت أن هذه هي القضية. - Shafiq al-Shaar


بعد جواب ac19501 لقد قمت بإنشاء ملفين التسجيل لجعل هذا أسهل:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

3
2018-05-09 10:27





جئت عبر نفس القضايا. الحل الأفضل هو تحديث الجهاز الذي تقوم بالاتصال به بدلاً من استخدام إجابة Pham X Bach إلى مستوى أمان أقل.

ومع ذلك ، إذا لم تتمكن من تحديث الجهاز لسبب ما ، يعمل الحل البديل الخاص به.


2
2018-05-09 15:55



عذرا لسوء الفهم إجابتك. نعم يجب أن يكون أفضل حل خادم التحديث وجميع العملاء لإصدار> = التحديث 2018/05/08 من مرض التصلب العصبي المتعدد - Pham X. Bach


تحتاج إلى تثبيت Windows Update للملقم وجميع العملاء. للبحث عن التحديث ، انتقل إلى https://portal.msrc.microsoft.com/en-us/security-guidance، ثم ابحث عن CVE 2018-0886 واختر تحديث الأمان لإصدار Windows المثبت.


1
2018-05-09 18:09





يجب تحديث Windows Server الخاص بك باستخدام Windows Update. سيتم تثبيت جميع التصحيحات المطلوبة. ثم يمكنك الاتصال بالخادم عبر سطح المكتب البعيد مرة أخرى.

تحتاج إلى تثبيت kb4103725

اقرا المزيد من: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


1
2018-05-10 11:02



بالنسبة لأولئك الأشخاص الذين فقدوا إمكانية الوصول إلى الخادم البعيد الخاص بهم ، لا يزال بإمكاني الوصول إلى الخوادم الخاصة بي باستخدام Remote Desktop لـ Android. ثم يمكنك تثبيت التصحيحات وحل المشكلة مع اتصالات "سطح المكتب البعيد" من عملاء Windows.