Исправление шифрования CredSSP

Исправление шифрования CredSSP - при подключении через RDP появляется ошибка с описанием: "Причиной ошибки может быть исправление шифрования CredSSP". Разбираемся почему возникает данная ошибка и устраняем её.

Причина ошибки

Microsoft активно фиксит уязвимости, особенно усердно после эпического фейла с WannaCry. Получается не очень. Когда-то давно уже было, что после обновлений поотваливались политики в домене. Теперь снова - в январе 18 после обновлений были массовые проблемы на процессорах AMD, в мае 18 - проблемы с RDP. Поэтому первое - на домашних компьютерах выключайте автоматическое обновление.

На этот раз MS выпустило обновление CVE-2018-0886.

Common Vulnerabilities and Exposures — база данных общеизвестных уязвимостей информационной безопасности

Обновление вышло ещё в марте, а в мае MS "дёрнула рубильник" и подключения с компьютеров, где обнова есть, на компьютеры, где обновы нет, стало выдавать ошибку:

Исправление шифрования CredSSP

С точки зрения MS 2 месяца достаточный срок, чтобы обновление установилось на все компьютеры и затем смена уровня безопасности подключения прошла и тихо и незаметно. Как видим это не так. Поэтому второе - на предприятии нужно разворачивать WSUS. Развертывание несложное, даёт много преимуществ:

  • Контроль за всеми обновлениями по всему предприятию из единой консоли;
  • Массовая установка обновлений по расписанию на рабочие станции;
  • Ручной запуск обновлений на выбранные рабочие станции;
  • Значительная экономия трафика;
  • Синхронизация WSUS с серверами MS в ночное время.

С WSUS выбранные обновления будут гарантированно установлены одновременно на все машины, а если где-то обновление не установилось, то это будет видно в отчёте.

Решение

На компьютере, с которого происходит подключение, запустить Редактор групповых политик:

gpedit.msc

Конфигурация компьютера - Административные шаблоны - Система - Передача учетных данных параметр Исправление уязвимости шифрующего оракула (Encryption Oracle Remediation):

  • Включить политику;
  • Выбрать Оставить уязвимость (Vulnerable).

Исправление шифрования CredSSP

Остальные 2 значения:

  1. Принудительно применять обновлённые клиенты (Force Updated Clients) — подключение на компьютер без обновления с данного выдаст ошибку, подключение с компьютера без обновления на данный выдаст ошибку;
  2. Уменьшить риск (Mitigated) — подключение на компьютер без обновления с данного выдаст ошибку, подключение с компьютера без обновления на данный пройдёт успешно.

Если политика не задана, то по умолчанию используется Уменьшить риск (с марта по май по умолчанию использовалось значение Оставить уязвимость, поэтому и работало).

Что ещё?

После того, как ошибка устранилась и подключение произошло, нужно таки установить обновление на удалённый компьютер, особенно если он смотрит в интернет. Затем нужно вернуть политику в исходное состояние.

Уязвимость позволяет запустить произвольный код на компьютере без обновления. Обновление покрывает все версии Windows от 7 и 2008 до 10 и 2016.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *