Windowsをアップデートした後のリモートデスクトップ接続エラー2018/05/08 - CVE-2018-0886用のCredSSPアップデート
Windows Updateの後、リモートデスクトップ接続を使用してサーバーに接続しようとすると、このエラーが発生します。
エラーメッセージで link と表示されている場合、それは2018/05/08の更新によるものです。
2018年5月8日
デフォルト設定を「脆弱」から「緩和」に変更するための更新。
関連するマイクロソフトサポート技術情報番号は、CVE-2018-0886に記載されています。
これに対する解決策はありますか?
(質問の作者に代わって回答を投稿しました)。
いくつかの回答のように、このエラーに対する最善の解決策は、サーバーとクライアントの両方をMicrosoftの2018-05-08更新プログラムのバージョンに更新することです。
両方を更新できない場合(つまり、クライアントまたはサーバーのみを更新できます)、以下の回答からいずれかの回避策を適用して変更することができます。回避策によってもたらされる脆弱性の期間を最小限に抑えるために、できるだけ早く構成を元に戻してください。
Cmdを使用してgpeditを実行するための代替方法:
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2
解決策が1つ見つかりました。 ヘルプリンク で説明されているように、私はこのグループポリシーの値を変更することによってアップデート2018/05/08からロールバックしようとしました:
gpedit.mscを実行します。
[コンピュータの構成] - > [管理用テンプレート] - > [システム] - > [資格情報の委任] - > [暗号化] Oracle修復
これを有効に変更し、保護レベルで脆弱に戻します。
攻撃者が自分の接続を悪用するリスクをロールバックする可能性があるかどうかはわかりません。マイクロソフトがこの問題を解決し、設定を推奨設定緩和に戻すことができるようになることを願っています。
別の方法は、MS StoreからMicrosoft Remote Desktopクライアントをインストールすることです - https://www.Microsoft.com/ja-jp/store/p/Microsoft-remote-desktop/9wzdncrfj3ps
この問題は私のHyper-V VMでのみ起こり、物理マシンへのリモート接続は問題ありません。
サーバのこのPC→システム設定→システムの詳細設定に移動し、target VM "のチェックを外してリモートデスクトップを実行しているコンピュータからの接続のみを許可します。ネットワークレベル認証を使う(推奨) "#:。
Ac19501の答えに従って、これを簡単にするために2つのレジストリファイルを作成しました。
rdp_insecure_on.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002
rdp_insecure_off.reg
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
私は同じ問題に遭遇しました。よりよい解決策は、Pham X Bachの答えを使用する代わりに、接続しているマシンをより低いセキュリティレベルに更新することです。
ただし、何らかの理由でマシンをアップデートできない場合は、彼の回避策は機能します。
アンインストール:
- Windows 7および8.1の場合:KB4103718またはKB4093114(あるいはその両方)
- Windows 10の場合:更新なしのKB4103721またはKB4103727サーバー
このアップデートはCVE-2018-0886の脆弱性に対するパッチを含みます。パッチが適用されていないサーバーでは、それらなしでそれらを許可します。
印刷画面のGPO例を更新します。
"reg add"という回答に基づいて、HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Policies¥System¥CredSSP¥Parametersになります。
キーパス:Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
値の名前:AllowEncryptionOracle
バリューデータ:2
サーバーとすべてのクライアントに対してWindows Updateをインストールする必要があります。アップデートを探すには、 https://portal.msrc.Microsoft.com/ja-jp/security-guidance にアクセスして、 2018-0886 CVEをクリックして、インストールされているWindowsのバージョン用のセキュリティ更新プログラムを選択します。
あなたがコマンドラインにアクセスする場合(私たちはSSHサーバを箱の上で走らせている)もう一つのオプションはコマンドラインから "sconfig.cmd"を実行することです。以下のようなメニューが表示されます。
オプション7を選択し、セキュリティ保護だけでなく、すべてのクライアントに対してオンにします。
それが完了したら、リモートデスクトップを使用することができます。問題は、クライアントシステムが新しいセキュリティ用に更新されたことですが、サーバーボックスが遅れていたようです。アップデートを入手して、このセキュリティ設定を元に戻すことをお勧めします。
Windows Updateを使用してWindows Serverをアップデートする必要があります。必要なパッチがすべてインストールされます。これで、リモートデスクトップ経由であなたのサーバーに再び接続することができます。
Kb4103725をインストールする必要があります
https://support.Microsoft.com/ja-jp/help/4103725/windows-81-update-kb4103725
サーバーの場合は、リモートPowerShellを介して設定を変更することもできます(WinRMが有効になっているなど)。
$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)
さて、この設定がドメインGPOによって管理されている場合は、元に戻る可能性があるので、GPOを確認する必要があります。しかし、迅速な修正のために、これはうまくいきます。
参照: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell