อาจเป็นเพราะการแก้ไข oracle การเข้ารหัส CredSSP - โฮสต์ RDP เป็น Windows 10 pro


47

ความผิดพลาด

การปรับปรุงความปลอดภัยของ Windows ต่อไปนี้ในเดือนพฤษภาคม 2018 เมื่อพยายาม RDP ไปยังเวิร์กสเตชัน Windows 10 Pro ข้อความแสดงข้อผิดพลาดต่อไปนี้จะปรากฏขึ้นหลังจากป้อนข้อมูลรับรองผู้ใช้สำเร็จแล้ว:

เกิดข้อผิดพลาดในการรับรองความถูกต้อง ไม่รองรับฟังก์ชั่นที่ร้องขอ

อาจเป็นเพราะการแก้ไข oracle การเข้ารหัส CredSSP

ภาพหน้าจอ

ป้อนคำอธิบายรูปภาพที่นี่

แก้จุดบกพร่อง

  • เราได้ยืนยันข้อมูลรับรองผู้ใช้ถูกต้องแล้ว

  • รีบูตเวิร์กสเตชัน

  • ยืนยันบริการไดเรกทอรีก่อนเปิดใช้งาน

  • เวิร์คสเตชั่ที่แยกต่างหากที่ยังใช้งานแพตช์ความปลอดภัยเดือนพฤษภาคมจะไม่ได้รับผลกระทบ

สามารถจัดการได้ในระหว่างกาลสำหรับโฮสต์ที่อนุญาต, กังวลเกี่ยวกับการเข้าถึงเซิร์ฟเวอร์ที่ใช้ระบบคลาวด์ ยังไม่มีเหตุการณ์ใน Server 2016

ขอขอบคุณ

คำตอบ:


20

จากการตอบกลับทั้งหมดของGraham Cuthbertฉันสร้างไฟล์ข้อความใน Notepad ด้วยบรรทัดต่อไปนี้และคลิกสองครั้งหลังจากนั้น (ซึ่งควรเพิ่มลงใน Windows Registry พารามิเตอร์ใดก็ตามที่อยู่ในไฟล์)

โปรดทราบว่าบรรทัดแรกจะแตกต่างกันไปขึ้นอยู่กับว่าคุณใช้ Windows เวอร์ชันใดดังนั้นจึงควรเปิดregeditและส่งออกกฎใด ๆ เพื่อดูว่ามีอะไรในบรรทัดแรกและใช้เวอร์ชันเดียวกันในไฟล์ของคุณ

นอกจากนี้ฉันไม่ได้กังวลเกี่ยวกับความปลอดภัยที่ลดลงในสถานการณ์นี้เพราะฉันกำลังเชื่อมต่อกับ VPN ที่เข้ารหัสและโฮสต์ Windows ไม่สามารถเข้าถึงอินเทอร์เน็ตได้ดังนั้นจึงไม่มีการอัปเดตล่าสุด

ไฟล์rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

สำหรับผู้ที่ต้องการสิ่งที่ง่ายต่อการคัดลอก / วางลงในพร้อมท์คำสั่งยกระดับ

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

1
มี windows 10 เป็นรุ่นที่บ้านวิธีที่เร็วที่สุดในการเปิดใช้งาน
ahmad molaie

1
ไฟล์ REG นี้ควรนำเข้าจากไคลเอนต์หรือเซิร์ฟเวอร์?
nivs1978

@ nivs1978 ไฟล์นี้มีไว้เพื่อใช้ในฝั่งไคลเอ็นต์โดยสมมติว่าไคลเอนต์มีการอัพเดตที่ใหม่กว่าและเซิร์ฟเวอร์ไม่มี ดังนั้นโดยทั่วไปจะอนุญาตให้ไคลเอนต์ที่อัปเดตล่าสุดสามารถเชื่อมต่อกับเซิร์ฟเวอร์ที่ไม่ได้อัปเดตล่าสุด
Rodriguez

ขอบคุณ! ฉันใช้ Win 10 Home ฉันถอนการติดตั้งการอัปเดตชนะที่สร้างปัญหานี้ 10 ครั้งแล้วและ MS ก็นำมันกลับมาใช้ใหม่แม้ว่าฉันจะทำทุกอย่างเพื่อหยุดเช่นนั้น นอกจากนี้ยังไม่มีตัวแก้ไขนโยบาย (หรือไม่ได้รับการเคารพ) ใน Windows รุ่นนี้ ฉันค้นหาคีย์ reg เหล่านี้ตามเอกสารที่ฉันอ่านและไม่มีอยู่ดังนั้นฉันจึงคิดว่าจะไม่ทำงาน แต่ฉันลองใช้ไฟล์ reg ของคุณต่อไปมันช่วยแก้ไขปัญหาอย่างมีเสน่ห์!
BuvinJ

16

Credential Security Support Provider protocol (CredSSP) เป็นผู้ให้บริการการตรวจสอบความถูกต้องที่ประมวลผลคำขอการรับรองความถูกต้องสำหรับแอปพลิเคชันอื่น

ช่องโหว่การเรียกใช้รหัสระยะไกลมีอยู่ใน CredSSP รุ่นที่ไม่ตรงกัน ผู้โจมตีที่โจมตีช่องโหว่นี้สามารถส่งผ่านข้อมูลรับรองผู้ใช้เพื่อรันโค้ดบนระบบเป้าหมาย แอปพลิเคชันใด ๆ ที่ขึ้นอยู่กับ CredSSP สำหรับการตรวจสอบอาจมีความเสี่ยงต่อการโจมตีประเภทนี้

[ ... ]

13 มีนาคม 2561

วันที่ 13 มีนาคม 2561 เริ่มวางจำหน่ายอัปเดตโปรโตคอลการตรวจสอบความน่าเชื่อถือ CredSSP และไคลเอนต์เดสก์ท็อประยะไกลสำหรับแพลตฟอร์มที่ได้รับผลกระทบทั้งหมด

การบรรเทาประกอบด้วยการติดตั้งการอัปเดตบนระบบปฏิบัติการไคลเอนต์และเซิร์ฟเวอร์ที่มีสิทธิ์ทั้งหมดจากนั้นใช้การตั้งค่านโยบายกลุ่มหรือการเทียบเท่าที่ใช้รีจิสทรีเพื่อจัดการตัวเลือกการตั้งค่าบนคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์ เราขอแนะนำให้ผู้ดูแลระบบใช้นโยบายและตั้งเป็น "บังคับให้มีการอัพเดทไคลเอนต์" หรือ "บรรเทา" ในคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์โดยเร็วที่สุด การเปลี่ยนแปลงเหล่านี้จะต้องมีการรีบูตระบบที่ได้รับผลกระทบ

เอาใจใส่อย่างใกล้ชิดกับนโยบายกลุ่มหรือการตั้งค่ารีจิสทรีที่ส่งผลให้เกิดการโต้ตอบ“ ถูกบล็อก” ระหว่างไคลเอนต์และเซิร์ฟเวอร์ในตารางความเข้ากันได้ในภายหลังในบทความนี้

17 เมษายน 2561

การปรับปรุงการปรับปรุงไคลเอนต์เดสก์ท็อประยะไกล (RDP) ใน KB 4093120 จะปรับปรุงข้อความแสดงข้อผิดพลาดที่แสดงเมื่อไคลเอนต์ที่ได้รับการปรับปรุงไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ที่ไม่ได้รับการปรับปรุง

8 พฤษภาคม 2018

การปรับปรุงเพื่อเปลี่ยนการตั้งค่าเริ่มต้นจากความเสี่ยงเป็น Mitigated

ที่มา: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

ดูเพิ่มเติมที่กระทู้ reddit นี้: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_remote_desktop_connections_over/ [2]

วิธีแก้ปัญหาของ Microsoft:

  • อัปเดตเซิร์ฟเวอร์และไคลเอนต์ (ต้องรีสตาร์ทแนะนำ)

ไม่แนะนำวิธีแก้ไขหากเซิร์ฟเวอร์ของคุณพร้อมใช้งานแบบสาธารณะหรือถ้าคุณไม่มีการควบคุมปริมาณการใช้งานที่เข้มงวดในเครือข่ายภายในของคุณ แต่บางครั้งการรีสตาร์ทเซิร์ฟเวอร์ RDP ในเวลาทำงานก็ไม่เป็นไร

  • ตั้งค่านโยบายการแก้ไข CredSSP ผ่าน GPO หรือรีจิสทรี (ต้องรีสตาร์ทหรือ gpupdate / แรง)
  • ถอนการติดตั้ง KB4103727 (ไม่ต้องรีสตาร์ท)
  • ฉันคิดว่าการปิดใช้งาน NLA (Network Layer Authentication) อาจใช้งานได้เช่นกัน (ไม่ต้องรีสตาร์ท)

โปรดเข้าใจความเสี่ยงเมื่อใช้สิ่งเหล่านี้และแก้ไขระบบของคุณโดยเร็ว

[1] คำอธิบาย GPO CredSSP ทั้งหมดและการแก้ไขรีจิสทรีมีการอธิบายไว้ที่นี่

[2] ตัวอย่างของ GPO และการตั้งค่ารีจิสทรีในกรณีที่ไซต์ของ Microsoft ไม่ทำงาน


ฉันคิดอย่างนั้นใช่ :) เท่าที่ฉันสามารถบอกได้ว่า Windows 7, Windows 8.1, Windows 10 และ Server 2016 ได้รับผลกระทบในสภาพแวดล้อมของฉัน สรุปเราต้องแก้ไขทุกเวอร์ชั่นของ Windows ที่รองรับ
Michal Sokolowski

3
การยืนยันการปิดใช้งาน NLA บนเซิร์ฟเวอร์เป้าหมายจะทำงานเป็นวิธีแก้ไขปัญหาชั่วคราว
Ketura

ใครมีสคริปต์ PS (Powershell) ที่มีประโยชน์จะตรวจสอบเรื่องนี้ได้อย่างไร บนเซิร์ฟเวอร์และลูกค้า?
Tilo

ข้อผิดพลาดนี้เกิดขึ้นเนื่องจาก RDP บนเซิร์ฟเวอร์ได้รับการอัปเดตและลูกค้าไม่ได้เป็นหรือเป็นไคลเอ็นต์ที่ได้รับการอัปเดตและเซิร์ฟเวอร์ไม่
nivs1978

@ nivs1978, AFAIR ทั้งสองสถานการณ์จะให้อาการเหมือนกัน
Michal Sokolowski

7
  1. ไปที่ "ตัวแก้ไขนโยบายกลุ่มโลคัล> เทมเพลตการดูแล> ระบบ> การมอบสิทธิ์> การเข้ารหัส Oracle Remediation" แก้ไขและเปิดใช้งานจากนั้นตั้งค่า "ระดับการป้องกัน" เป็น "บรรเทา"
  2. ตั้งค่าคีย์ลงทะเบียน (จาก 00000001 ถึง 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters] HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion นี้ "AllowEncryptionOracle" = dword:
  3. รีสตาร์ทระบบหากจำเป็น

ฉันใช้ขั้นตอนแรกยกเว้นการเปิดใช้งานและตั้งค่าเป็นช่องโหว่ จากนั้นฉันสามารถ RDP W10 ของฉันไปยังเครื่อง W7 บนเครือข่าย
seizethecarp

ฉันทำตามที่คุณพูดและทำงาน! ไคลเอนต์ W10 และเซิร์ฟเวอร์ WS2012 R2 ขอบคุณ!
พี่

4

การวิจัย

อ้างถึงบทความนี้:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

พฤษภาคม 2018 อัปเดตเบื้องต้นที่อาจส่งผลต่อความสามารถในการสร้างการเชื่อมต่อเซสชันโฮสต์ RDP ระยะไกลภายในองค์กร ปัญหานี้อาจเกิดขึ้นหากไคลเอ็นต์โลคัลและโฮสต์ระยะไกลมีการตั้งค่า“ การเข้ารหัส Oracle Remediation” ที่แตกต่างกันภายในรีจิสตรีที่กำหนดวิธีการสร้างเซสชัน RDP ด้วย CredSSP ตัวเลือกการตั้งค่า“ การเข้ารหัส Oracle Remediation” มีการกำหนดไว้ด้านล่างและหากเซิร์ฟเวอร์หรือไคลเอนต์มีความคาดหวังที่แตกต่างกันในการสร้างเซสชัน RDP ที่ปลอดภัยการเชื่อมต่ออาจถูกบล็อก

การอัปเดตครั้งที่สองซึ่งมีกำหนดจะวางจำหน่ายในวันที่ 8 พฤษภาคม 2018 จะเปลี่ยนพฤติกรรมเริ่มต้นจาก“ ช่องโหว่” เป็น“ บรรเทา”

หากคุณสังเกตเห็นว่าทั้งไคลเอนต์และเซิร์ฟเวอร์ได้รับการติดตั้งหรือไม่ แต่การตั้งค่านโยบายเริ่มต้นจะอยู่ที่“ ช่องโหว่” การเชื่อมต่อ RDP คือ“ เสี่ยงต่อการถูกโจมตี” เมื่อแก้ไขการตั้งค่าเริ่มต้นเป็น“ บรรเทา” แล้วการเชื่อมต่อจะกลายเป็น“ ปลอดภัย” โดยค่าเริ่มต้น

มติ

จากข้อมูลนี้ฉันกำลังดำเนินการเพื่อให้มั่นใจว่าลูกค้าทุกรายได้รับการแก้ไขอย่างสมบูรณ์ฉันจึงคาดว่าปัญหาจะได้รับการแก้ไข


4

ค่ารีจิสตรีไม่มีอยู่ในเครื่อง Windows 10 ของฉัน ฉันต้องไปที่นโยบายกลุ่มท้องถิ่นต่อไปนี้และใช้การเปลี่ยนแปลงกับลูกค้าของฉัน:

การกำหนดค่าคอมพิวเตอร์ -> เทมเพลตการดูแลระบบ -> ระบบ -> การมอบหมายหนังสือรับรอง - Oracle Remediation การเข้ารหัส

เปิดใช้งานและตั้งค่าเป็น vulnerable.


สิ่งนี้ใช้ได้กับฉันใน W10 ที่เชื่อมต่อกับเครื่อง W7 บนเครือข่ายของฉัน
seizethecarp

3

ขอแนะนำให้อัปเดตไคลเอนต์แทนสคริปต์ประเภทนี้เพียงแค่ข้ามข้อผิดพลาด แต่ด้วยความเสี่ยงของคุณเองคุณสามารถทำได้บนไคลเอนต์และไม่จำเป็นต้องรีสตาร์ทเครื่องพีซีไคลเอนต์ ยังไม่จำเป็นต้องเปลี่ยนสิ่งใดบนเซิร์ฟเวอร์

  1. เปิดRunชนิดและคลิกgpedit.mscOK
  2. Administrative Templatesขยายตัว
  3. Systemขยายตัว
  4. Credentials Delegationเปิด
  5. บน pannel Encryption Oracle Remediationขวาดับเบิลคลิกที่
  6. Enableเลือก
  7. เลือกVulnerableจากProtection Levelรายการ

การตั้งค่านโยบายนี้ใช้กับแอปพลิเคชันที่ใช้ส่วนประกอบ CredSSP (ตัวอย่างเช่น: การเชื่อมต่อเดสก์ท็อประยะไกล)

โพรโทคอล CredSSP บางเวอร์ชันมีความเสี่ยงต่อการโจมตีด้วยออราเคิลเข้ารหัสจากไคลเอนต์ นโยบายนี้ควบคุมความเข้ากันได้กับไคลเอนต์และเซิร์ฟเวอร์ที่มีช่องโหว่ นโยบายนี้ช่วยให้คุณสามารถกำหนดระดับการป้องกันที่ต้องการสำหรับช่องโหว่การเข้ารหัสของ Oracle

หากคุณเปิดใช้งานการตั้งค่านโยบายการสนับสนุนรุ่น CredSSP จะถูกเลือกตามตัวเลือกต่อไปนี้:

บังคับให้อัปเดตไคลเอ็นต์: แอปพลิเคชันไคลเอนต์ที่ใช้ CredSSP จะไม่สามารถถอยกลับไปใช้เวอร์ชันที่ไม่ปลอดภัยและบริการที่ใช้ CredSSP จะไม่ยอมรับไคลเอ็นต์ที่ไม่ได้จับคู่ หมายเหตุ: การตั้งค่านี้ไม่ควรปรับใช้จนกว่าโฮสต์ระยะไกลทั้งหมดจะสนับสนุนเวอร์ชันใหม่ล่าสุด

บรรเทาลง: แอปพลิเคชันไคลเอนต์ที่ใช้ CredSSP จะไม่สามารถถอยกลับไปใช้เวอร์ชันที่ไม่ปลอดภัย แต่บริการที่ใช้ CredSSP จะยอมรับไคลเอ็นต์ที่ไม่ได้จับคู่ ดูลิงค์ด้านล่างสำหรับข้อมูลที่สำคัญเกี่ยวกับความเสี่ยงที่เกิดจากลูกค้าที่ยังไม่ได้จับคู่

ช่องโหว่: แอปพลิเคชันไคลเอนต์ที่ใช้ CredSSP จะเปิดเผยเซิร์ฟเวอร์ระยะไกลเพื่อโจมตีด้วยการสนับสนุนการถอยกลับไปยังเวอร์ชันที่ไม่ปลอดภัยและการบริการโดยใช้ CredSSP จะยอมรับไคลเอนต์ที่ไม่ตรงกัน

  1. คลิกนำไปใช้
  2. คลิกตกลง
  3. เสร็จสิ้น

ป้อนคำอธิบายรูปภาพที่นี่ การอ้างอิง


คุณกำลังแนะนำให้คนอื่นคลิกที่ตัวเลือกที่พูดว่า "ใจอ่อน" มันจะเป็นการดีที่จะอธิบายว่าผลที่ตามมาของสิ่งนี้จะเป็นอย่างไรแทนที่จะเพียงแค่ให้สคริปต์ที่ดีที่จะทำ
Law29

@ Law29 ถูกต้องอัพเดทแล้ว!
AVB

0

ผู้ชายคนนี้มีทางออกสำหรับปัญหาที่แน่นอนของคุณ:

เป็นหลัก - คุณจะต้องเปลี่ยนการตั้งค่า GPO และบังคับการอัปเดต แต่การเปลี่ยนแปลงเหล่านี้จะต้องมีการรีบูตเพื่อให้ได้ผล

  1. คัดลอกสองไฟล์เหล่านี้จากเครื่องที่อัพเดตใหม่

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd ถึง ก.พ. 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd ก.พ. 2018 - โฟลเดอร์ในเครื่องของคุณอาจแตกต่างกันเช่น en-GB)
  2. บน DC ไปที่:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • เปลี่ยนชื่อปัจจุบันCredSsp.admxเป็นCredSsp.admx.old
    • คัดลอกใหม่CredSsp.admxไปยังโฟลเดอร์นี้
  3. ใน DC เดียวกันไปที่:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (หรือภาษาท้องถิ่นของคุณ)
    • เปลี่ยนชื่อปัจจุบันCredSsp.admlเป็นCredSsp.adml.old
    • คัดลอกCredSsp.admlไฟล์ใหม่ไปยังโฟลเดอร์นี้
  4. ลองนโยบายกลุ่มของคุณอีกครั้ง

https://www.petenetlive.com/KB/Article/0001433


0

ดังที่คนอื่น ๆ พูดกันว่าเป็นเพราะแพตช์มีนาคมที่ไมโครซอฟท์เปิดตัว พวกเขาเปิดตัว Patch เดือนพฤษภาคมในวันที่ 8 พฤษภาคมที่จริงบังคับใช้ Patch เดือนมีนาคม ดังนั้นหากคุณมีเวิร์กสเตชันที่ได้รับการแก้ไขพฤษภาคมและคุณพยายามเชื่อมต่อกับเซิร์ฟเวอร์ที่ไม่ได้รับการแก้ไขมีนาคมคุณจะได้รับข้อความแสดงข้อผิดพลาดในภาพหน้าจอของคุณ

ความละเอียดที่คุณต้องการแก้ไขเซิร์ฟเวอร์เพื่อให้พวกเขามีโปรแกรมแก้ไขมีนาคม มิฉะนั้นในระหว่างนี้คุณสามารถใช้นโยบายกลุ่มหรือแก้ไขรีจิสทรี

คุณสามารถอ่านคำแนะนำโดยละเอียดได้ในบทความนี้: วิธีแก้ไขฟังก์ชั่นตรวจสอบข้อผิดพลาดไม่รองรับ CredSSP Error RDP

คุณสามารถค้นหาสำเนาของไฟล์ ADMX และ ADML ในกรณีที่คุณต้องการค้นหา


0

ฉันได้รับปัญหาเดียวกัน ลูกค้าอยู่บนเซิร์ฟเวอร์ Win7 และ RDS คือ 2012R2 ลูกค้าได้รับ "2018-05 การรักษาความปลอดภัยรายเดือนที่มีคุณภาพสะสม (kb4019264)" หลังจากลบมันก็ดี


0

ฉันพบว่าบางส่วนของเครื่องของเราหยุดการทำงานของ Windows Update (เราเรียกใช้ WSUS ท้องถิ่นผ่านโดเมนของเรา) บางครั้งในเดือนมกราคม ฉันคาดว่าแพตช์ก่อนหน้าจะทำให้เกิดปัญหา (เครื่องจะบ่นเกี่ยวกับการล้าสมัย แต่จะไม่ติดตั้งแพทช์ Jan ที่มันบอกว่าจำเป็น) เนื่องจากการอัปเดต 1803 เราไม่สามารถใช้ Windows Update จาก MS โดยตรงเพื่อแก้ไข (หมดเวลาด้วยเหตุผลบางอย่างและการอัปเดตจะไม่ทำงาน)

ฉันสามารถยืนยันได้ว่าถ้าคุณแก้ไขเครื่องเป็นรุ่น 1803 จะมีการแก้ไขปัญหานี้ หากคุณต้องการเส้นทางที่รวดเร็วในการแก้ไขปัญหานี้ฉันใช้Windows Update Assistant (ลิงก์บนสุดที่ระบุว่า Update) เพื่อดำเนินการอัปเดตโดยตรง (ดูเหมือนจะมีเสถียรภาพมากกว่า Windows Update ด้วยเหตุผลบางประการ)


ลิงก์นั้นเสนอให้ฉันดาวน์โหลด Windows 10 ISO นั่นคือสิ่งที่คุณหมายถึงการเชื่อมโยงไปยัง?
Michael Hampton

@MichaelHampton ลิงค์ด้านล่างใช้สำหรับเครื่องมือ ISO ลิงก์อัปเดตตอนนี้มีไว้สำหรับผู้ช่วยอัปเดต
ชาวี่

0

เราลบการอัปเดตความปลอดภัยล่าสุด KB410731 และเราสามารถเชื่อมต่อกับเครื่อง Window 10 ที่สร้าง 1709 และรุ่นก่อนหน้า สำหรับพีซีของเราสามารถอัปเกรดเพื่อสร้าง 1803 สิ่งนี้แก้ปัญหาได้โดยไม่ต้องถอนการติดตั้ง KB4103731



0

เปิด PowerShell ในฐานะผู้ดูแลและเรียกใช้คำสั่งนี้:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

ลองตอนนี้เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ มันจะทำงาน.


0

ฉันพบคำตอบที่นี่ดังนั้นจึงไม่สามารถอ้างสิทธิ์ได้ว่าเป็นของฉันเอง แต่เพิ่มคีย์ต่อไปนี้ในรีจิสตรีของฉันและรีสตาร์ทเพื่อแก้ไขให้ฉัน

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

6
ซึ่งหมายความว่าการสื่อสารของคุณกับเซิร์ฟเวอร์ทั้งหมดที่ไม่บังคับใช้การแก้ไขการถอดรหัส oracle ได้รับอนุญาตให้ลดระดับลงและสามารถถอดรหัสได้ ดังนั้นคุณต้องตกอยู่ในความเสี่ยง ในปัจจุบันแม้กระทั่งเซิร์ฟเวอร์ที่มี creditSSP ที่อัปเกรดแล้วจะไม่ปฏิเสธลูกค้าที่ถูกลดระดับโดยค่าเริ่มต้นดังนั้นจึงหมายความว่าเซสชันเดสก์ท็อประยะไกลทั้งหมดของคุณมีความเสี่ยง
user188737

1
ไม่แนะนำให้เปลี่ยนแปลงรีจิสทรีนี้
spuder
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.