Ошибка при подключении по RDP (CreedSSP encryption oracle remediation)

8 мая 2018 года компания Microsoft выпустила новое обновление устраняющее уязвимость в удалённом выполнении кода в незакрепленных версиях CredSSP (поставщик проверки подлинности, который обрабатывает запросы проверки подлинности для других приложений). Злоумышленники, использующие эту уязвимость, могли передавать данные пользователя для выполнения кода в целевой системе, включая установку и удаление произвольного программного обеспечения, удаление или изменение данных на сервере, создание учётных записей с любыми правами. При этом, после обновления, многие пользователи, при попытке подключения к удалённому рабочему столу, столкнулись с ошибкой «CredSSP encryption oracle remediation».

На самом деле это не является ошибкой, это является уведомлением о проблеме безопасности давно не обновлённого сервера.

Microsoft отреагировала на уязвимость и приступила к устранению проблемы, поделив шаги на 3 этапа.

Результат первого этапа – обновление от 13 марта 2018 года, для CredSSP и RDP, которое закрывает дыру в безопасности и добавляет новый пункт в групповые политики.

Результат второго этапа – обновление от 17 апреля 2018 года, которое предупреждает о небезопасном соединении, если у сервера или клиента будет уязвимые CredSSP или RDP.

Результат третьего этапа – как раз обновление от 8 мая 2018 года.

Для решения проблемы требуется на время отключить на компьютере, с которого Вы пытаетесь подключиться, данное блокирующее уведомление о проблеме безопасности.

Откройте редактор групповых политик - запустите «Выполнить» (нажав клавишу Win + R) и в диалоговом окне наберите «gpedit.msc» или найдите его через поиск на вашем компьютере набрав «Edit group policy» (Изменение групповой политики).

Политика должна располагаться по пути:

Computer Configuration -> Administrative Templates -> System -> Credentials Delegation -> Encryption Oracle Remediation

Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учётных данных -> Исправление уязвимости шифрующего оракула

Политика имеет 3 опции:

• Vulnerable (оставить уязвимость) – клиенты смогут подключаться как раньше, не зависимо от того, пропатчены они или нет. Это уязвимый уровень безопасности.
• Mitigated (уменьшить риск) – клиенты не смогут подключаться к непропатченым серверам, в свою очередь серверы смогут принимать непропатченных клиентов. Средний уровень безопасности.
• Force Updated Clients (принудительно принимать обновленные клиенты) – безопасный уровень взаимодействия клиентов – соединение установлено не будет, если один из пары клиент-сервер имеет не пропатченный RDP.

Необходимо включить политику, выбрав «Enabled» (Включено) и установить значение параметра в выпадающем списке на «Vulnerable» (Оставить уязвимость).

Внимание! У пользователей Windows 10 Home (Windows 10 Домашняя), политика Encryption Oracle Remediation (Исправление уязвимости шифрующего оракула) отсутствует. Для подключения пропатченного клиента к непропатченному серверу необходимо политику добавить в реестр вручную. Сделать это можно так:

• Запустить от имени администратора командную строку или Windows PowerShell;
• Ввести «REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2»;
• Нажать Enter;
• Перезагрузить компьютер.

После проделанных действий, Вы сможете подключаться к серверу также, как и раньше.

Как только вы подключились к серверу, установите последние обновления Windows. Если возникает ошибка, при попытке установки обновления, проверьте запущена ли служба «Windows Update» (Центр обновления Windows).

Служба располагается по пути:

Start -> Control Panel -> Administrative Tools -> Services

Пуск -> Панель управления -> Администрирование -> Службы

Если служба не запускается, проверьте, разрешён ли её запуск – статус не должен быть «Disabled» (Отключена).

Для Windows Server 2008 R2 SP1 или Windows Server 2012 R2 мы можете установить не все обновления, а только одно, которое устраняет эту уязвимость, сокращая время на решение проблемы подключения к серверу.

Скачать обновление можно с сайта Microsoft на странице описания уязвимости:

• обновление для Windows Server 2008 R2 SP 1
• обновление для Windows Server 2012 R2

После того, как сервер будет обновлен, необходимо в политике «Encryption Oracle Remediation» (Исправление уязвимости шифрующего оракула) будет изменить опцию с Vulnerable (оставить уязвимость), на Force Updated Clients (принудительно принимать обновленные клиенты), но в этом случае все клиенты должны быть так же обновлены или на Mitigated (уменьшить риск), что даст возможность подключаться к серверу непропатченным клиентам.

Все образы операционных систем Windows Server, предлагаемые компанией МАРС Телеком, содержат все последние обновления и после создания нового или пересоздания сервера проблем подключения к нему с ошибкой «CredSSP encryption oracle remediation» уже не будет.