Проблема жизненных ошибок и возможности их исправления аргументы

Прежде чем показать вам известные мне способы устранения, я хотел бы как обычно подробно описать ситуацию. Вчера, когда я попытался подключиться к своему рабочему компьютеру под управлением Windows 10 1709 из таблицы терминалов, которая является частью фермы RDS на Windows Server 2012 R2, я получил сообщение об ошибке после ввода логина и пароля:

Произошла ошибка аутентификации. Запрошенная функция не поддерживается. Имя удаленного компьютера. Это должно быть для восстановления шифрования Oracle CredSSP.

Ну и конечно в русской версии:

Произошла ошибка во время аутентификации. Указанная функция не поддерживается. Имя удаленного компьютера. Исправление шифрования CredSSP может быть причиной ошибки

Получается двойная ситуация, что RDP вроде работает, но по какой-то причине ваши учетные данные на принимающей стороне не соответствуют некоторым критериям, выясняем, что это за зверюга CredSSP.

Назначение CredSSP

Что такое CredSSP – это Win32 API, используемый системами Microsoft Windows для выполнения различных операций, связанных с безопасностью, таких как аутентификация. SSPI работает как общий интерфейс для нескольких поставщиков поддержки безопасности (SSP). Поставщик поддержки безопасности – это библиотека динамической компоновки (DLL), которая делает один или несколько пакетов безопасности доступными для приложений.

СredSSP позволяет приложению делегировать учетные данные пользователя от клиента на целевой сервер для удаленной аутентификации. CredSSP обеспечивает зашифрованный протокол безопасности транспортного уровня. Клиент аутентифицируется по зашифрованному каналу с использованием простого и безопасного согласования (SPNEGO) с Microsoft Kerberos или Microsoft NTLM.

После аутентификации клиента и сервера клиент передает на сервер учетные данные пользователя. Учетные данные шифруются дважды с использованием ключей сеанса SPNEGO и TLS. CredSSP поддерживает вход на основе пароля и вход со смарт-картой на основе X.509 и PKINIT.

Подробнее о Microsoft https://docs.microsoft.com/en-us/windows/desktop/secauthn/credential-security-support-provider

Поставщик общих служб Windows

Следующие SSP устанавливаются вместе с Windows:

• NTLM (введено в Windows NT 3.51) (msv1_0.dll) – обеспечивает проверку подлинности запроса / ответа NTLM для доменов клиент / сервер до Windows 2000 и проверку подлинности вне домена (SMB / CIFS).
• Kerberos (введен в Windows 2000 и обновлен в Windows Vista для поддержки AES) (kerberos.dll). Предпочтительно для взаимной аутентификации домена клиент / сервер в Windows 2000 и более поздних версиях.
• Согласование (введено в Windows 2000) (secur32.dll): выберите Kerberos и, если он недоступен, протокол NTLM. SSP обеспечивает функцию единого входа, иногда называемую встроенной проверкой подлинности Windows (особенно в контексте IIS). Windows 7 и более поздние версии представляют NEGOExts, который согласовывает использование установленных настраиваемых SSP, поддерживаемых на клиенте и сервере для аутентификации.
• Безопасный канал (также известный как SChannel) – введен в Windows 2000 и обновлен в Windows Vista и более поздних версиях для поддержки более надежного шифрования AES и ECC. Этот провайдер использует записи SSL / TLS для шифрования полезной нагрузки. (Schannel.dll)
• Реализация TLS / SSL в Microsoft PCT (устаревшая) – это шифрование SSP с открытым ключом, которое обеспечивает безопасную связь и шифрование для аутентификации клиентов и серверов в Интернете. Обновлено в Windows 7 для поддержки TLS 1.2.
• SSP Digest (введено в Windows XP) (wdigest.dll) – обеспечивает аутентификацию на основе запросов / ответов HTTP и SASL между системами Windows и другими системами, в которых протокол Kerberos недоступен.
• Учетные данные (CredSSP) (введены в Windows Vista и доступны в Windows XP SP3) (credssp.dll) – обеспечивает аутентификацию на уровне сети и SSO для служб удаленных рабочих столов.
• Распределенная аутентификация по паролю (DPA) – (введена в Windows 2000) (msapsspc.dll) – обеспечивает аутентификацию через Интернет с использованием цифровых сертификатов.
• Шифрование открытого ключа между пользователями (PKU2U) (введено в Windows 7) (pku2u.dll) – обеспечивает одноранговую аутентификацию с использованием цифровых сертификатов между системами, которые не являются частью домена.

Подробнее на https://en.wikipedia.org/wiki/Security_Support_Provider_Interface

Причины ошибки шифрования CredSSP

В марте 2018 года Microsoft выпустила обновление безопасности для устранения уязвимостей для протокола поставщика поддержки безопасности учетных данных (CredSSP) CVE-2018-0886 (https://support.microsoft.com/en-us/help/4093492/credssp -updates- for-cve-2018-0886-march-13-2018), используемый соединениями по протоколу удаленного рабочего стола (RDP) для клиентов Windows и Windows Server. Как только пользователи и системные администраторы установили обновления, во всем мире начались массовые жалобы на то, что люди не могут подключиться через RDP к серверам, компьютерам, получая ошибку, что причиной ошибки могло быть шифрование CredSSP.

К сожалению, 99% людей и администраторов совершают ту же ошибку, сразу устанавливая обновления, не дожидаясь пары дней после выпуска. Этого времени обычно достаточно, чтобы поставщик смог выявить проблемы и собрать неисправное обновление.

Уязвимость в Credential Security Support Provider (CredSSP – Credential Security Provider) позволила удаленно выполнить произвольный код в уязвимой системе, а 8 мая 2018 года Microsoft изменила уровень безопасности соединения с Vulnerable на Mitigated и инициировала проблемы с подключением RDP к удаленному рабочему столу. Раньше можно было удаленно подключаться с обновленной машины к машинам без обновления безопасности, так сказать в мягком режиме. Однако с последним обновлением Microsoft усилила безопасность, и теперь невозможно подключиться к компьютерам без обновления исправления CVE-2018-0886.

Буквально все упало в развертывание клиентской операционной системы Windows 7, Windows 8.1, Windows 10, из которой были предприняты попытки подключиться к ферме RDS или приложениям RemoteApp, работающим на Windows Server 2008 R2 и новее. Если вы прочитаете эту ветку в наши дни, вы поймете все возмущение людей, особенно Запада.

Варианты исправления ошибки CredSSP

На самом деле вариантов много, есть правильные, есть временные и альтернативные решения, которые нужно делать быстро, чтобы хоть как-то работало, так как компания прямо сейчас может бездействовать и терять деньги.

• Вы можете удалить новое обновление безопасности, худший вариант, но в критические моменты его иногда используют для переноса работы на вечер или ночь
• Если вам нужно быстро получить доступ к серверу и избежать аутентификации credssp, я рекомендую вам отключить флажок NLA (Network Level Authentication) на подключении к принимающему серверу в русской версии «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с аутентификацией в сети уровень”
• Тот же быстрый метод массового внедрения – использование групповой политики, которая изменит шифрование Oracle Remediation
• Хороший самый правильный метод, это для установки обновлений на все ваши системы

Отключаем credssp в Windows через NLA

Я бы рассмотрел этот способ выхода из ситуации как быстрое и временное решение перед установкой обновлений безопасности. Чтобы разрешить удаленное подключение к серверу и избежать ситуации, когда произошла ошибка аутентификации credssp, сделайте следующее. Откройте свойства моего компьютера, попав в систему, вы также можете одновременно нажать WIN + Pause Breake или ввести control / name Microsoft.System в командной строке. В окне «Система» находим пункт меню «Настройки удаленного доступа”

Снимите флажок «Разрешать подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети”

После этого вы без проблем сможете подключиться к этому компьютеру или серверу, но что поделаешь, что не можешь попасть и снять эту галку, тогда реестр Windows придет нам на помощь. Вы можете удаленно создать необходимые ключи реестра, которые отключат флажок NLA или политику CredSSP. Для этого можно поступить двумя способами:

1. Используйте сетевой журнал Windows
2. Используйте удаленное управление компьютером, например PsExec.exe, я уже показал вам, как удаленно открывать порты в брандмауэре.

Попробуем через удаленный реестр, открыв Regedit через окно «Выполнить”.

В меню «Файл» выберите «Подключить сетевой журнал», затем найдите нужный сервер.

У вас будет дополнительный журнал, связанный с двумя ульями. Следуйте по пути (если у вас нет CredSSP \ Parameters, вам нужно будет их создать):

HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters\

Здесь вам нужно создать ключ REG_DWORD с именем AllowEncryptionOracle и значением 2. В этом случае политика CredSSP установит уровень Vulnerable – это самый низкий уровень безопасности. Это позволит вам подключаться к серверам удаленно по протоколу RDP. Однако это подвергнет серверы атаке.

Или вы также можете отключить NLA, для этого найдите ключ реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-Tcp

Найдите там ключ SecurityLayer и установите для него значение 0, чтобы отключить аутентификацию на уровне сети.

Теперь то же самое можно сделать через PsExec.exe, установив минимальный уровень безопасности для CredSSP, либо отключить NLA, для этого, находясь в cmd в режиме администратора, введите команду:

PsExec.exe \\ w10-cl01 -u root \ Administrator -p пароль cmd

w10-cl01 – это имя компьютера.

Затем, запустив сеанс cmd для удаленного компьютера, выполните команду:

REG ADD HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters \ / v AllowEncryptionOracle / t REG_DWORD / d 2 (0 вернет все как было)

То же самое можно сделать и для отключения аутентификации на сетевом уровне, команда будет выглядеть так:

REG ADD “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-Tcp” / v SecurityLayer / t REG_DWORD / d 0

Опять же обращаю ваше внимание на то, что этот способ временный и наиболее опасный, применяется в тех случаях, когда вы не можете делать что-либо или дольше, но он вам уже нужен вчера, обязательно установите все необходимые обновления.

Отключаем шифрование credssp через GPO

Если у вас большая инфраструктура с сотнями компьютеров и сотнями серверов, вы можете временно отключить новый уровень шифрования CredSSP и удалить ошибку «Имя удаленного компьютера. Исправление шифрования CredSSP» перед установкой необходимых обновлений вечером. Для этого мы можем воспользоваться всеми преимуществами доменной инфраструктуры Active Directory. Есть два варианта: вы можете создать групповую политику, чтобы распространить ее среди необходимых организационных единиц, или, если у вас есть один или два локальных компьютера, вы можете запустить на них редактор локальной групповой политики, тем самым внося изменения только в них.

Напоминаю, что вы можете найти оснастку «Управление групповой политикой» на контроллере домена или компьютере с установленным RSAT, открыть ее можно с помощью команды в окне «Выполнить gpmc.msc». Если вы хотите открыть редактор локальной групповой политики, введите gpedit.msc в окне «Выполнить.

Вам нужно перейти в ветку:

Конфигурация компьютера – Административные шаблоны – Система – Делегирование учетных данных – Oracle Remediation Encryption

Откройте настройку «Oracle Remediation Encryption». Включаем политику, включена опция «Уровень защиты», на выбор будет три варианта:

• Принудительно обновлять клиентов – он будет активен по умолчанию из-за максимального уровня безопасности, вам нужно изменить эту опцию. Это как бы самый безопасный уровень взаимодействия с клиентом, в идеале он должен быть после установки обновлений на всех серверах и компьютерах.
• Оставить уязвимым: клиенты могут подключаться к уязвимым машинам.
• Смягчено: клиенты не могут подключаться к уязвимым серверам, но серверы могут принимать уязвимых клиентов.

Давайте на время выберем «Оставить уязвимым (Vulnerable)». Сохраним настройки.

Затем вам нужно обновить политику, для этого откройте командную строку и введите gpupdate / force. Если у вас нет компьютера домена, а также Windows 10 Home, в которой нет встроенного редактора локальной политики, то, как описано выше, вам необходимо отредактировать реестр

REG ADD HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters \ / v AllowEncryptionOracle / t REG_DWORD / d 2 (0 вернет все как было)

В Интернете запущен сценарий PowerShell, позволяющий включить эту политику на всех компьютерах в Active Directory

Модуль импорта ActiveDirectory
$ PSs = (Get-ADComputer -Filter *). DNSHostName
Foreach ($ компьютер на $ ПК) {
Recall-Command -ComputerName $ computer -Script Block {
REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2
}
}

Самый правильный метод, это установка обновлений

Когда вам удалось подключиться в любом месте и пришло время исправить ваши серверы, мы быстро устанавливаем обновления, чтобы восполнить пробел (CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability).

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886

Раньше такие КБ существовали, но со временем их количество может меняться, поэтому перейдите по ссылке выше, так будет надежнее.

• Windows Server 2012 R2 / Windows 8: KB4103715
• Windows Server 2008 R2 / Windows 7: KB4103712
• Windows Server 2016 / Windows 10 1607 – KB4103723
• Windows Server 2016 / Windows 10 1703 – KB4103731
• Windows Server 2016 / Windows 10 1709 – KB4103727
• Windows Server 2016 / Windows 10 1803 – KB4103721