Fout in de verbinding met het bureaublad op afstand na het updaten van Windows 2018/05/08 - CredSSP-updates voor CVE-2018-0886

Ik heb één oplossing gevonden. Zoals beschreven in de helplink , heb ik geprobeerd terug te rollen vanaf update 2018/05/08 door de waarde van dit groepsbeleid te wijzigen:

• Run gpedit. msc

• Computerconfiguratie -> Administratieve sjablonen -> Systeem -> Credentials Delegatie -> Encryptie Oracle Remediation

Verander het in Enable en in Protection level, verander terug naar Vulnerable.

Ik weet niet zeker of het risico dat een aanvaller mijn connectie uitbuit, kan worden teruggedraaid. Ik hoop dat Microsoft dit snel zal verhelpen zodat ik de instelling kan herstellen naar de aanbevolen instelling Mitigated.

(Plaats een antwoord namens de vraagsteller).

Zoals in sommige antwoorden is de beste oplossing voor deze fout het updaten van zowel de server als de clients naar versie >= de 2018-05-08 update van Microsoft.

Als je ze niet allebei kunt updaten (d.w.z. je kunt alleen client of server updaten) dan kun je een van de workarounds uit de onderstaande antwoorden toepassen, en de configuratie zo snel mogelijk weer wijzigen zodat je de duur van de door de workaround geïntroduceerde kwetsbaarheid tot een minimum kunt beperken.

Een andere manier is het installeren van Microsoft Remote Desktop client van MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Dit probleem doet zich alleen voor in mijn Hyper-V VM, en het afrollen naar fysieke machines is OK.

Ga naar Deze PC → Systeeminstellingen → Geavanceerde systeeminstellingen op de server en dan heb ik het opgelost door de doel-VM uit te schakelen “laat alleen verbindingen toe van computers met een Remote Desktop met Network Level Authentication (aanbevolen)”.

Na het antwoord van ac19501 heb ik twee registerbestanden gemaakt om dit makkelijker te maken:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

Update op GPO voorbeeld op afdrukscherm.

Gebaseerd op het antwoord “reg add "HKLMsoftwaresoftware”: Software: AllowEncryptionOracle Waardegegevens: 2

Een andere optie als u toegang heeft tot de commandoregel (we hebben een SSH-server op de doos) is om “sconfig.cmd” uit te voeren vanaf de commandoregel. U krijgt dan een menu zoals hieronder:

Kies optie 7, en zet deze aan voor alle clients, niet alleen voor de beveiliging.

Als dat klaar is, kun je het bureaublad op afstand binnenhalen. Het lijkt erop dat het probleem voor ons was dat onze client-systemen werden geüpdatet voor de nieuwe beveiliging, maar onze serverboxen lagen achter op de updates. Ik stel voor om de updates te krijgen en dan deze beveiligingsinstelling weer aan te zetten.

De-installeren:

• Voor Windows 7 en 8.1: KB4103718 en/of KB4093114 
• Voor Windows 10: KB4103721 en/of  KB4103727  server zonder updates 

Deze update bevat een patch voor de kwetsbaarheid CVE-2018-0886. Op een niet-gepatchte server laat hij ze binnen zonder ze.

Voor servers kunnen we de instelling ook wijzigen via Remote PowerShell (aangenomen dat WinRM is ingeschakeld, etc…)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Nu, als deze instelling wordt beheerd door een domein GPO, is het mogelijk dat deze terugkeert, dus je moet de GPO’s controleren. Maar voor een snelle oplossing werkt dit.

Referentie: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell