सवाल विंडोज 2018/05/08 को अद्यतन करने के बाद दूरस्थ डेस्कटॉप कनेक्शन त्रुटि - सीवीई-2018-0886 के लिए CredSSP अपडेट


विंडोज अपडेट के बाद, रिमोट डेस्कटॉप कनेक्शन का उपयोग कर सर्वर से कनेक्ट करने का प्रयास करते समय मुझे यह त्रुटि मिलती है।

पढ़ते समय सम्बन्ध त्रुटि संदेश द्वारा प्रदान किया गया, ऐसा लगता है कि 2018/05/08 को अपडेट की वजह से:

8 मई, 2018

भेद्यता से मिटिगेटेड से डिफ़ॉल्ट सेटिंग बदलने के लिए एक अद्यतन।

संबंधित माइक्रोसॉफ्ट नॉलेज बेस नंबर सीवीई-2018-0886 में सूचीबद्ध हैं।

क्या इसका कोई समाधान है?

Error RDC


86
2018-05-09 03:54


मूल


(मेटा: अपडेट्स पोस्ट के अंत में जाते हैं, यह सुनिश्चित करने के लिए कि वे अभी भी नए पाठकों के लिए समझ में आ रहे हैं, और उत्तर उत्तर स्थान पर जाते हैं, प्रश्नों में विलय नहीं होते हैं। धन्यवाद)। - halfer


जवाब:


(प्रश्न लेखक की तरफ से एक उत्तर पोस्ट किया गया)

कुछ उत्तरों के रूप में, इस त्रुटि का सबसे अच्छा समाधान सर्वर और क्लाइंट दोनों को संस्करण> = 2018-05-08 माइक्रोसॉफ्ट से अपडेट करना है।

यदि आप दोनों को अपडेट नहीं कर सकते हैं (यानी आप केवल ग्राहक को अपडेट कर सकते हैं या सर्वर) तो आप नीचे दिए गए उत्तरों से वर्कअराउंड्स में से एक को लागू कर सकते हैं, और कॉन्फ़िगरेशन को एएसएपी को वापस बदल सकते हैं ताकि आप वर्कअराउंड द्वारा पेश की गई भेद्यता की अवधि को कम कर सकें।


18
2018-05-09 14:51



यह उन दुर्लभ मामलों में से एक है जहां स्वीकृत उत्तर भी सबसे अच्छा जवाब है। अन्य उत्तरों आपको सीवीई-2018-0886 के लिए कमजोर छोड़ देते हैं: "एक रिमोट कोड निष्पादन भेद्यता CredSSP के अप्रचलित संस्करणों में मौजूद है। एक हमलावर जो सफलतापूर्वक इस भेद्यता का शोषण कर सकता है लक्ष्य प्रणाली पर कोड निष्पादित करने के लिए रिले उपयोगकर्ता प्रमाण पत्र। प्रमाणीकरण के लिए CredSSP पर निर्भर कोई भी एप्लिकेशन इस प्रकार के हमले के लिए कमजोर हो सकता है। " - Braiam
हमें एक आसान, गैर-आक्रामक कामकाज मिला - हम एक कूद बॉक्स के रूप में हमारे सर्वरों में से एक का उपयोग करके आरडीपी करने में सक्षम थे - OutstandingBill
किसी भी विचार से भेद्यता कितनी गंभीर है यदि ग्राहक, सर्वर दोनों एक ही स्थानीय नेटवर्क में हैं और बिना किसी खुले बंदरगाह के राउटर के पीछे इंटरनेट के संपर्क में हैं? - Kevkong
@ केवकोन्ग: यह एक विकी उत्तर है जिसे मैंने प्रश्न लेखक के लिए पोस्ट किया था। यदि आप चाहें तो आप उन्हें प्रश्न के तहत पिंग कर सकते हैं। - halfer
हाय @ पीटर: आपके संपादन के लिए धन्यवाद। ज्यादातर उनके साथ सहमत हैं, लेकिन मेटा-परिचय आवश्यक आईएमओ एट्रिब्यूशन लाइसेंस नियमों के भीतर रहने के लिए आवश्यक है। मेरे पास स्टैक ओवरफ़्लो पर इनमें से कई सौ हैं, और मेटा का दृश्य यह है कि न केवल यह रहने की आवश्यकता है, लेकिन कुछ लोगों को लगता है कि यह अपर्याप्त है, और ओपी का नाम होना चाहिए। उस altter व्यू ने ज्यादा कर्षण नहीं जीता, लेकिन इस बात की चौड़ाई दिखाती है कि एट्रिब्यूशन कैसे सर्वोत्तम रूप से हासिल किया जाता है। लेकिन, मूल रूप से, हम लेखकत्व मिटा नहीं सकते हैं। क्या इसे बहाल किया जा सकता है? - halfer


Cmd का उपयोग करके gpedit करने के लिए वैकल्पिक विधि:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

82
2018-05-09 04:21



Lifesaver। विंडोज 10 होम का उपयोग करने वालों के लिए, यह सही काम करना चाहिए। प्रशासक के रूप में cmd ​​चलाने के लिए बस याद रखें।
यह आदेश विंडोज 8 पर काम कर रहा है। धन्यवाद - Naveen Soni
असल में समस्या यह थी कि सर्वर पर अद्यतन अभी भी स्थापित किए जा रहे थे, इस प्रकार कोई कनेक्शन संभव नहीं था। बस इंतजार किया और यह काम किया। serverfault.com/questions/387593/... - tobiak777
@pghcpa उस पर ध्यान न दें, कमांड लापता रजिस्ट्री नोड बनाता है और आपके लिए पैरामीटर डालता है। यह वास्तव में जीवन बचतकर्ता है यदि आप इस समस्या के कारण सुरक्षा पैच के साथ सर्वर को अद्यतन नहीं कर सकते हैं। - Gergely Lukacsy
मुझे नहीं पता क्यों, लेकिन इसके कामकाजी धन्यवाद - dian


मुझे एक समाधान मिला। जैसा कि वर्णन किया गया है मदद लिंक, मैंने इस समूह नीति के मान को बदलकर अपडेट 2018/05/08 से वापस रोल करने का प्रयास किया:

  • रन gpedit.msc

  • कंप्यूटर कॉन्फ़िगरेशन -> प्रशासनिक टेम्पलेट्स -> सिस्टम -> प्रमाण पत्र प्रतिनिधिमंडल -> एन्क्रिप्शन ओरेकल उपचार

इसे बदलें सक्षम करें और सुरक्षा स्तर में, वापस बदलें चपेट में

मुझे यकीन नहीं है कि क्या यह मेरे कनेक्शन का शोषण करने वाले हमलावर के किसी भी जोखिम को रोलबैक कर सकता है। मुझे आशा है कि माइक्रोसॉफ्ट जल्द ही इसे ठीक करेगा, इसलिए मैं सेटिंग को सेटिंग सेटिंग में पुनर्स्थापित कर सकता हूं कम

Enter image description here


36
2018-05-09 07:53



मेरे सिस्टम में "एन्क्रिप्शन ओरेकल रेमेडियेशन" के लिए वह विकल्प नहीं है, यह विंडोज़ 2012 सर्वर है। ऐसा लगता है कि यह 5/8 सुरक्षा अद्यतन लागू किया गया है।
मुझे जो मिला वह यह था कि हमारे लिए ग्राहक "मुद्दा" था। सर्वर के पास नवीनतम अपडेट नहीं थे। ग्राहकों के पास नवीनतम अपडेट था इसलिए वे काम नहीं करेंगे। एक बार सर्वर अपडेट हो जाने के बाद, सबकुछ काम करता था।
उन लोगों के लिए सुनिश्चित नहीं है कि कहां से शुरू करें, "gpedit.msc" चलाएं, फिर उपरोक्त निर्देशों का पालन करें। - Glen Little


एक और तरीका एमएस स्टोर से माइक्रोसॉफ्ट रिमोट डेस्कटॉप क्लाइंट स्थापित है - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps


12
2018-05-10 06:04



धन्यवाद, उम्मीद है कि इसमें एक दिन शेयर फ़ोल्डर की बजाय प्रतिलिपि / पेस्ट फ़ाइल होगी। टेक्स्ट कॉपी / पेस्ट करने के लिए केवल क्लिपबोर्ड साझा करना है - Pham X. Bach
विंडोज ऐप स्टोर आरडीपी क्लाइंट में अंतर्निहित अनुकूलन और एकीकरण सुविधाओं की इतनी सारी कमी नहीं है mstsc.exeगंभीरता से लेना मुश्किल है। एक सुरक्षा दृष्टिकोण से, यह आपको सुरक्षित कनेक्शन के लिए उपयोग किए जाने वाले प्रमाण पत्र को भी देखने नहीं देगा (पिछली बार मैंने चेक किया था), इसमें स्मार्ट-कार्ड समर्थन, एकाधिक-मॉनिटर स्पैनिंग, ड्राइव रीडायरेक्शन और अन्य शामिल हैं। माइक्रोसॉफ्ट की अपनी तुलना तालिका बताती है कि यह कितना एनीमिक है: docs.microsoft.com/en-us/windows-server/remote/... - Dai


यह समस्या केवल मेरे हाइपर-वी वीएम में होती है, और भौतिक मशीनों को रिमोट करना ठीक है।

के लिए जाओ यह पीसी → सर्वर सेटिंग्स → सर्वर पर उन्नत सिस्टम सेटिंग्स और फिर मैंने लक्ष्य VM को अनचेक करके हल किया "नेटवर्क स्तर प्रमाणीकरण (अनुशंसित) के साथ दूरस्थ डेस्कटॉप चलाने वाले कंप्यूटरों से केवल कनेक्शन की अनुमति दें।

Uncheck this


5
2018-05-10 15:06



हे भगवान। मैंने उस विकल्प को सक्षम किया, भूल गया, और 2 घंटे बाद मुझे एहसास हुआ कि यह मुद्दा था। - Shafiq al-Shaar


Ac19501 के उत्तर के बाद मैंने इसे आसान बनाने के लिए दो रजिस्ट्री फाइलें बनाई हैं:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

3
2018-05-09 10:27





मैं एक ही मुद्दे पर आया था। बेहतर समाधान स्तर को कम करने के लिए फ़ैम एक्स बैच उत्तर का उपयोग करने के बजाय आप जिस मशीन से कनेक्ट कर रहे हैं उसे अपडेट करना बेहतर समाधान होगा।

हालांकि, अगर आप किसी कारण से मशीन को अपडेट नहीं कर सकते हैं तो उसका कामकाज काम करता है।


2
2018-05-09 15:55



आपके उत्तर को गलतफहमी के लिए खेद है। हां सबसे अच्छा समाधान अद्यतन सर्वर और सभी क्लाइंट संस्करण> = 2018/05/08 एमएस से अद्यतन होना चाहिए - Pham X. Bach


आपको सर्वर और सभी क्लाइंट के लिए Windows अद्यतन स्थापित करने की आवश्यकता है। अद्यतन देखने के लिए, पर जाएं https://portal.msrc.microsoft.com/en-us/security-guidance, फिर 2018-0886 सीवीई की खोज करें और विंडोज़ के संस्करण के लिए सुरक्षा अद्यतन का चयन करें।


1
2018-05-09 18:09





आपको Windows अद्यतन का उपयोग कर अपने विंडोज सर्वर को अपडेट करने की आवश्यकता है। सभी आवश्यक पैच स्थापित किए जाएंगे। फिर आप रिमोट डेस्कटॉप के माध्यम से फिर से अपने सर्वर से कनेक्ट कर सकते हैं।

आपको kb4103725 स्थापित करने की आवश्यकता है

पर और अधिक पढ़ें: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


1
2018-05-10 11:02



उन लोगों के लिए जिन्होंने अपने रिमोट सर्वर तक पहुंच खो दी है, मैं अभी भी एंड्रॉइड के लिए रिमोट डेस्कटॉप के साथ अपने सर्वर तक पहुंच सकता हूं। फिर आप विंडोज क्लाइंट से रिमोट डेस्कटॉप कनेक्शन के साथ पैच स्थापित कर सकते हैं और समस्या को हल कर सकते हैं।