त्रुटि

मई 2018 में विंडोज सुरक्षा अपडेट के बाद, जब आरडीपी को विंडोज 10 प्रो वर्कस्टेशन में लाने का प्रयास किया जाता है, तो उपयोगकर्ता क्रेडेंशियल दर्ज करने के बाद निम्न त्रुटि संदेश प्रदर्शित होता है:

प्रमाणीकरण त्रुटि हुई। अनुरोधित फ़ंक्शन समर्थित नहीं है।

यह क्रेडेंशियल एन्क्रिप्शन एन्क्रिप्शन रीमेडियेशन के कारण हो सकता है

स्क्रीनशॉट

डिबगिंग

• हमने पुष्टि की है कि उपयोगकर्ता क्रेडेंशियल्स सही हैं।

• कार्यस्थान को रिबूट किया।

• मुख्य निर्देशिका सेवाओं पर पुष्टि की जा रही है।

• मई सुरक्षा पैच को लागू करने के लिए पृथक कार्यस्थान अभी तक प्रभावित नहीं हुए हैं।

हालाँकि, क्लाउड आधारित सर्वर एक्सेस के बारे में चिंतित, मेजबानों के लिए अंतरिम में प्रबंधन कर सकता है। सर्वर 2016 पर अभी तक कोई घटना नहीं हुई है।

धन्यवाद

पूरी तरह से ग्राहम कथबर्ट के जवाब के आधार पर मैंने नोटपैड में निम्नलिखित पंक्तियों के साथ एक पाठ फ़ाइल बनाई, और बस बाद में इसे डबल क्लिक किया (जो कि फ़ाइल में जो भी पैरामीटर हैं उन्हें विंडोज रजिस्ट्री में जोड़ना चाहिए)।

बस ध्यान दें कि आप जिस विंडोज संस्करण का उपयोग कर रहे हैं, उसके आधार पर पहली पंक्ति बदलती है, इसलिए regeditकिसी भी नियम को खोलना और निर्यात करना एक अच्छा विचार हो सकता है, यह देखने के लिए कि पहली पंक्ति में क्या है और अपनी फ़ाइल में उसी संस्करण का उपयोग करें।

इसके अलावा, मैं इस विशेष स्थिति में सिक्योरिटी को कम करने के बारे में चिंतित नहीं हूं क्योंकि मैं एनक्रिप्टेड वीपीएन से कनेक्ट कर रहा हूं और होस्ट विंडोज में इंटरनेट तक पहुंच नहीं है और इस तरह से नवीनतम अपडेट नहीं है।

फ़ाइल rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

उन लोगों के लिए जो एक उन्नत कमांड प्रॉम्प्ट में कॉपी / पेस्ट करना आसान चाहते हैं:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

क्रेडेंशियल सिक्योरिटी सपोर्ट प्रोवाइडर प्रोटोकॉल (क्रेडएसएसपी) एक प्रमाणीकरण प्रदाता है जो अन्य अनुप्रयोगों के लिए प्रमाणीकरण अनुरोधों को संसाधित करता है।

एक दूरस्थ कोड निष्पादन भेद्यता CredSSP के अप्रकाशित संस्करणों में मौजूद है। एक हमलावर जो इस भेद्यता का सफलतापूर्वक शोषण करता है, वह लक्षित प्रणाली पर कोड को निष्पादित करने के लिए उपयोगकर्ता क्रेडेंशियल्स को रिले कर सकता है। प्रमाणीकरण के लिए CredSSP पर निर्भर कोई भी अनुप्रयोग इस प्रकार के हमले के लिए असुरक्षित हो सकता है।

[...]

१३ मार्च २०१8

प्रारंभिक मार्च 13, 2018, सभी प्रभावित प्लेटफार्मों के लिए क्रेडेंशियल प्रमाणीकरण प्रोटोकॉल और दूरस्थ डेस्कटॉप क्लाइंट को रिलीज़ अपडेट करता है।

मिटिगेशन में सभी योग्य क्लाइंट और सर्वर ऑपरेटिंग सिस्टम पर अपडेट इंस्टॉल करना और फिर क्लाइंट और सर्वर कंप्यूटर पर सेटिंग विकल्पों को प्रबंधित करने के लिए ग्रुप पॉलिसी सेटिंग्स या रजिस्ट्री-आधारित समकक्षों का उपयोग करना शामिल है। हम अनुशंसा करते हैं कि प्रशासक नीति लागू करें और इसे क्लाइंट और सर्वर कंप्यूटर पर "फोर्स अपडेटेड क्लाइंट" या "मिटिगेट" के रूप में जल्द से जल्द सेट करें। इन परिवर्तनों को प्रभावित प्रणालियों के रिबूट की आवश्यकता होगी।

इस आलेख में बाद में संगतता तालिका में क्लाइंट और सर्वर के बीच "अवरुद्ध" इंटरैक्शन के परिणामस्वरूप समूह नीति या रजिस्ट्री सेटिंग्स जोड़े पर पूरा ध्यान दें।

17 अप्रैल 2018

KB 4093120 में दूरस्थ डेस्कटॉप क्लाइंट (आरडीपी) अपडेट अपडेट त्रुटि संदेश को बढ़ाएगा जो प्रस्तुत किया गया है जब एक अद्यतन क्लाइंट एक सर्वर से कनेक्ट करने में विफल रहता है जिसे अपडेट नहीं किया गया है।

8 मई, 2018

कमजोर करने के लिए डिफ़ॉल्ट सेटिंग को मिटिगेट में बदलने के लिए एक अद्यतन।

स्रोत: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

इस लाल धागे को भी देखें: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Microsoft का समाधान:

• सर्वर और क्लाइंट को अपडेट करें। (पुनरारंभ की आवश्यकता है, अनुशंसित)

यदि आपका सर्वर सार्वजनिक रूप से उपलब्ध है, या यदि आपके आंतरिक नेटवर्क में सख्त ट्रैफ़िक नियंत्रण नहीं है, तो वर्कअराउंड की अनुशंसा नहीं की जाती है, लेकिन कभी-कभी काम के घंटों में आरडीपी सर्वर को फिर से शुरू करना एक नहीं है।

• GPO या रजिस्ट्री के माध्यम से क्रेडेंशियल पैचिंग नीति सेट करें। (पुनः आरंभ या gpupdate / बल की आवश्यकता है)
• KB4103727 अनइंस्टॉल करें (कोई पुनरारंभ आवश्यक नहीं)
• मुझे लगता है कि एनएलए (नेटवर्क लेयर ऑथेंटिकेशन) को निष्क्रिय करना भी काम कर सकता है। (कोई पुनरारंभ आवश्यक नहीं)

उन का उपयोग करते समय जोखिमों को समझना सुनिश्चित करें और अपने सिस्टम ASAP को पैच करें।

[१] सभी GPO क्रेडेंशियल विवरण और रजिस्ट्री संशोधनों का वर्णन यहाँ किया गया है।

[२] जीपीओ और रजिस्ट्री सेटिंग्स के उदाहरण यदि Microsoft की साइट नीचे जाती है।

1. "स्थानीय समूह नीति संपादक> प्रशासनिक टेम्पलेट> सिस्टम> क्रेडेंशियल्स डेलिगेशन> एन्क्रिप्शन ओरेकल रिमूवल" पर जाएं, इसे संपादित करें और इसे सक्षम करें, फिर "प्रोटेक्टेड लेवल" को "मिटिगेट" पर सेट करें।
2. रजिस्टर कुंजी (00000001 से 00000002 तक) सेट करें [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ नीतियाँ \ System \ CredSSP \ Parameters] "AllowEnc एन्क्रिप्शनOracle =" dword:
3. यदि आवश्यक हो तो आप सिस्टम को पुनरारंभ करें।

अनुसंधान

इस लेख का जिक्र:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

मई 2018 के अस्थायी अपडेट जो एक संगठन के भीतर दूरस्थ होस्ट आरडीपी सत्र कनेक्शन स्थापित करने की क्षमता को प्रभावित कर सकते हैं। यह समस्या तब हो सकती है यदि स्थानीय क्लाइंट और दूरस्थ होस्ट में रजिस्ट्री के भीतर "एन्क्रिप्शन ओरेकल रिमेडिएशन" सेटिंग्स अलग होती हैं जो कि क्रेडिट कार्ड के साथ RDP सत्र बनाने के लिए परिभाषित करती हैं। "एन्क्रिप्शन ओरेकल रिमेडिएशन" सेटिंग विकल्प नीचे परिभाषित किए गए हैं और यदि सर्वर या क्लाइंट को सुरक्षित आरडीपी सत्र की स्थापना पर अलग-अलग अपेक्षाएं हैं, तो कनेक्शन अवरुद्ध हो सकता है।

8 मई, 2018 को जारी होने वाला एक दूसरा अपडेट, अस्थायी रूप से "कमजोर" से डिफ़ॉल्ट व्यवहार को "मिटिगेट" में बदल देगा।

यदि आप देखते हैं कि क्लाइंट और सर्वर दोनों पैच किए गए हैं, लेकिन डिफ़ॉल्ट पॉलिसी सेटिंग "कमजोर" पर छोड़ दी जाती है तो आरडीपी कनेक्शन हमला करने के लिए "कमजोर" है। एक बार जब डिफ़ॉल्ट सेटिंग "मिटिगेट" में बदल जाती है तो कनेक्शन डिफ़ॉल्ट रूप से "सिक्योर" हो जाता है।

संकल्प

इस जानकारी के आधार पर मैं यह सुनिश्चित करने के लिए आगे बढ़ रहा हूं कि सभी ग्राहक पूरी तरह से तैयार हो जाएं, फिर मैं इस मुद्दे को कम करने की उम्मीद करूंगा।

मेरे विंडोज 10 मशीन पर रजिस्ट्री मूल्य नहीं था। मुझे निम्नलिखित स्थानीय समूह नीति पर जाना पड़ा और अपने ग्राहक पर परिवर्तन लागू करना पड़ा:

कंप्यूटर कॉन्फ़िगरेशन -> प्रशासनिक टेम्प्लेट -> सिस्टम -> क्रेडेंशियल डेलिगेशन - एन्क्रिप्शन ओरेकल रिमूलेशन

सक्षम करें और मान पर सेट करें vulnerable.

इस तरह की लिपियों के बजाय क्लाइंट को अपडेट करने की सिफारिश की जाती है ताकि त्रुटि को दरकिनार किया जा सके, लेकिन अपने जोखिम पर आप क्लाइंट पर ऐसा कर सकते हैं और क्लाइंट पीसी को पुनरारंभ करने की आवश्यकता नहीं है। इसके अलावा सर्वर पर किसी भी चीज को बदलने की जरूरत नहीं है।

1. खोलें Run, टाइप gpedit.mscकरें और क्लिक करें OK।
2. विस्तार करें Administrative Templates।
3. विस्तार करें System।
4. खोलो Credentials Delegation।
5. दाहिने पैनलाइन पर डबल क्लिक करें Encryption Oracle Remediation।
6. का चयन करें Enable।
7. सूची Vulnerableसे चयन करें Protection Level।

यह नीति सेटिंग क्रेडेंशियल घटक (उदाहरण के लिए: दूरस्थ डेस्कटॉप कनेक्शन) का उपयोग करके अनुप्रयोगों पर लागू होती है।

CredSSP प्रोटोकॉल के कुछ संस्करण क्लाइंट के खिलाफ एक एन्क्रिप्शन ऑरेकल हमले की चपेट में हैं। यह नीति कमजोर ग्राहकों और सर्वर के साथ संगतता को नियंत्रित करती है। यह नीति आपको एन्क्रिप्शन ऑर्कल भेद्यता के लिए वांछित सुरक्षा के स्तर को निर्धारित करने की अनुमति देती है।

यदि आप इस नीति सेटिंग को सक्षम करते हैं, तो निम्नलिखित विकल्पों के आधार पर CredSSP संस्करण समर्थन का चयन किया जाएगा:

फोर्स अपडेटेड ग्राहक: क्रेडिट एप्लिकेशन जो कि क्रेडिट कार्ड का उपयोग करते हैं, असुरक्षित वर्जन पर वापस नहीं जा पाएंगे और क्रेडिट कार्ड का उपयोग करने वाले ग्राहक अप्राप्त ग्राहकों को स्वीकार नहीं करेंगे। नोट: इस सेटिंग को तब तक तैनात नहीं किया जाना चाहिए जब तक कि सभी दूरस्थ होस्ट नवीनतम संस्करण का समर्थन न करें।

मिटिगेट: क्लाइंट एप्लिकेशन जो कि क्रेडेंशपी का उपयोग करते हैं, असुरक्षित संस्करण में वापस नहीं आ पाएंगे, लेकिन क्रेडएसएसपी का उपयोग करने वाली सेवाएं अप्रकाशित ग्राहकों को स्वीकार करेंगी। शेष अप्रकाशित ग्राहकों द्वारा जोखिम के बारे में महत्वपूर्ण जानकारी के लिए नीचे दिए गए लिंक को देखें।

कमजोर: ग्राहक एप्लिकेशन जो क्रेडएसएसपी का उपयोग करते हैं, वे असुरक्षित सर्वरों पर वापस गिरने का समर्थन करके हमलों के लिए दूरस्थ सर्वरों को उजागर करेंगे और क्रेडेंशपी का उपयोग करने वाले सेवाएं अप्रकाशित ग्राहकों को स्वीकार करेंगे।

8. अप्लाई पर क्लिक करें।
9. ओके पर क्लिक करें।
10. किया हुआ।

संदर्भ

इस आदमी के पास आपके सटीक मुद्दे का हल है:

अनिवार्य रूप से - आपको GPO सेटिंग्स को बदलना होगा और एक अद्यतन को बल देना होगा। लेकिन इन परिवर्तनों को प्रभावी होने के लिए एक रिबूट की आवश्यकता होगी।

1. एक ताजा अद्यतन मशीन से इन दो फ़ाइलों की प्रतिलिपि बनाएँ;

   • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd फरवरी 2018 तक)
   • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd फ़रवरी 2018 - आपका स्थानीय फ़ोल्डर अलग हो सकता है अर्थात en-GB)

2. DC पर, पर नेविगेट करें:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
   • CredSsp.admxकरने के लिए वर्तमान का नाम बदलेंCredSsp.admx.old
   • CredSsp.admxइस फ़ोल्डर में नया कॉपी करें ।

3. उसी डीसी पर नेविगेट करें:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (या आपकी स्थानीय भाषा)
   • CredSsp.admlकरने के लिए वर्तमान का नाम बदलेंCredSsp.adml.old
   • CredSsp.admlइस फ़ोल्डर में नई फ़ाइल की प्रतिलिपि बनाएँ ।

4. अपनी समूह नीति फिर से आज़माएं।

https://www.petenetlive.com/KB/Article/0001433

जैसा कि अन्य लोगों ने कहा है, यह माइक्रोसॉफ्ट द्वारा जारी किए गए मार्च पैच के कारण है। उन्होंने 8 मई को एक मई पैच जारी किया जो वास्तव में मार्च पैच को लागू करता है। इसलिए यदि आपके पास एक कार्य केंद्र है जो मई पैच प्राप्त किया है और आप मार्च पैच प्राप्त नहीं करने वाले सर्वर से कनेक्ट करने का प्रयास कर रहे हैं, तो आपको अपने स्क्रीनशॉट में त्रुटि संदेश मिलेगा।

रिज़ॉल्यूशन आप वास्तव में सर्वर को पैच करना चाहते हैं ताकि उनके पास मार्च पैच हो। अन्यथा, इस बीच आप समूह नीति या रजिस्ट्री संपादन लागू कर सकते हैं।

आप इस लेख में विस्तृत निर्देश पढ़ सकते हैं: प्रमाणीकरण त्रुटि फ़ंक्शन को कैसे ठीक करें समर्थित क्रेडेंशियल त्रुटि आरडीपी नहीं

यदि आपको उन्हें खोजने की आवश्यकता है तो आप ADMX और ADML फ़ाइलों की प्रतियां भी पा सकते हैं।

मुझे यही मुद्दा मिला। ग्राहक Win7 पर हैं और RDS सर्वर 2012R2 हैं, ग्राहकों को "2018-05 सुरक्षा मासिक गुणवत्ता रोल अप अपडेट (kb4019264)" प्राप्त हुआ। इसे हटाने के बाद, सभी अच्छी तरह से।

मैंने पाया कि हमारी कुछ मशीनों ने जनवरी में कभी-कभी विंडोज अपडेट (हम अपने डोमेन में स्थानीय WSUS चलाते हैं) करना बंद कर दिया था। मुझे लगता है कि एक पूर्व पैच समस्या का कारण है (मशीन की तारीख से बाहर होने के बारे में शिकायत करेंगे, लेकिन यह आवश्यक नहीं है कि जन पैच स्थापित नहीं करेगा)। 1803 अपडेट के कारण, हम इसे ठीक करने के लिए सीधे एमएस से विंडोज अपडेट का उपयोग नहीं कर सके (किसी कारण और अपडेट नहीं चलेगा)।

मैं पुष्टि कर सकता हूं कि यदि आप मशीन को 1803 संस्करण में पैच करते हैं, तो इसमें इसको ठीक करना होगा। यदि आपको इसे ठीक करने के लिए एक तेज़ पथ की आवश्यकता है, तो मैंने सीधे अपडेट करने के लिए विंडोज अपडेट असिस्टेंट (शीर्ष लिंक जो अपडेट कहता है) का उपयोग किया (किसी कारण से विंडोज अपडेट की तुलना में अधिक स्थिर लगता है)।

हमने उस नवीनतम सुरक्षा अद्यतन KB410731 को हटा दिया और हम 1709 और उससे पहले के निर्माण में विंडो 10 मशीनों से जुड़ने में सक्षम थे। पीसी के लिए हम 1803 का निर्माण करने के लिए अपग्रेड कर सकते हैं, इसने KB4103731 की स्थापना रद्द किए बिना समस्या का समाधान किया।

बस, Network Level Authenticationरिमोट डेस्कटॉप से अक्षम करने का प्रयास करें । क्या आप कृपया निम्नलिखित छवि देख सकते हैं:

PowerShell को व्यवस्थापक के रूप में खोलें और इस आदेश को चलाएँ:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

सर्वर से कनेक्ट करने के लिए अभी प्रयास करें। यह काम करेगा।

मुझे यहाँ उत्तर मिला , इसलिए मैं इस पर अपना दावा नहीं कर सकता, लेकिन मेरी रजिस्ट्री में निम्न कुंजी जोड़ देना और इसे मेरे लिए फिर से शुरू करना।

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002