Очередные обновления Windows приносят радость: при попытке подключиться по RDP к удалённой машине получаем ошибку:
Разбираемся в проблеме и решаем её.
13 марта 2018 года Microsoft выпустил CVE-2018-0886 об уязвимости в протоколе CredSSP и патчи для ее закрытия в серверных операционных системах. В двух словах: эта уязвимость позволяет в обход проверки выполнять на самом сервере от имени передаваемых учётных записей различные команды, включая установку и удаление произвольного программного обеспечения, изменение и удаление данных на сервере, создание учётных записей с произвольными правами.
Тогда же в марте прилетели первые патчи на сервера, а 8 мая — на клиенты.
И вот оказывается, что это вовсе и не ошибка, а всего лишь навсего уведомление (кто бы мог подумать!), что пора бы накатить обновления на сервер/клиент.
Хорошо, локального клиента мы ещё можем обновить (ссылки на патчи есть в статье), но как же быть с удалённым клиентом?
Есть 3 пути.
1. Редактор локальных групповых политик.
gpedit.msc -> Computer Configuration -> Administrative Templates -> System -> Credentials Delegation (Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных);
групповая политика Encryption Oracle Remediation
Находим политику с именем Encryption Oracle Remediation (Исправление уязвимости шифрующего оракула).
Включаем политику (Enabled/ Включено), а в качестве параметра в выпадающем списке выбераем Vulnerable / Оставить уязвимость;изменить значение политики CredSSP на Vulnerable
Теперь обновляем политики на компьютере (gpupdate /force) и пробуем.
2. У нас Home редакция системы и нету редактора локальных GPO. Прописываем ключик в реестре:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
3. Для любителей PowerShell:
Import-Module ActiveDirectory
$PSs = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $PCs) {
Invoke-Command -ComputerName $computer -ScriptBlock {
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
}
}
После того, как накатили патч — не забываем откатить изменения! На примере реестра:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0