お世話になっております。
仮想環境にてテストを行っており、アドバイスを頂けたらと思います。
フォーラムへの投稿は初めてで、不慣れな点はご容赦ください。
テストの内容としては2018年5月に更改された更新プログラムの影響についてです。
2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響
https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/
サーバ側の設定、クライアント側の設定につきましては上記TechNetブログ内の回避設定は行っておらず、
「ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する」
はチェックオンの状態(有効)となっています。
【検証環境】
SV-01 OS:Windows Server 2012 R2 (ADサーバ)
SV-02 OS:Windows Server 2012 R2 (RD 接続ブローカーサーバ)
SV-03 OS:Windows Server 2012 R2 (RD Webアクセスサーバ)
SV-04 OS:Windows Server 2012 R2 (RD セッションホストサーバ#1)
SV-05 OS:Windows Server 2012 R2 (RD セッションホストサーバ#2)
CL-01 OS:Windows 7 Professional(64bit)
CL-02 OS:Windows 10 Enterprise Evaluation (1709)(64bit)
CL-03 OS:Windows 10 Enterprise LTSC Evaluation (1809)(64bit)
CL-04 OS:Windows 10 Enterprise LTSC Evaluation (1909)(64bit)
※Windows 10は評価版を利用しています
※全てのサーバ、クライアントは同一ネットワーク内に構築しています(192.168.1.0/24)
※全てのサーバ、クライアントはtest.localドメインに所属しています
※クライアントを利用するテストユーザはuser01~04とし、Domain Usersに所属しています
セッションベースのRDS環境を構築し、更新プログラムの適用による動作の違いを検証しています。
サーバ側のWindows Server 2012 R2についてはWindows Updateは未適用で2018年3月以前の状態です。
CL-01~04までのクライアントOSはWindwos Updateを未適用の状態で
RDS接続を実施し、RD セッションホストサーバ#1/#2に接続可能であることを確認いたしました。
RDS接続結果 (Windows Update未適用)
CL-01 : 成功
CL-02 : 成功
CL-03 : 成功
CL-04 : 成功
その後、CL01~04をインターネットアクセスを許可し、Windows Updateを最新(2019年11月25日現在)に
アップデートいたしました。
TechNetブログ内の接続可否パターンとしてはCASE 4の状態になっている想定です。
クライアント側のEncryption Oracle Remediationポリシーが緩和 (Mitigated)
サーバ側のEncryption Oracle Remediationポリシーが存在しない(3月更新プログラム適用無し)
この状態でRDS接続を行ったところ、以下の結果となりました。
RDS接続結果 (Windows Update適用)
CL-01 : 失敗
CL-02 : 失敗
CL-03 : 成功
CL-04 : 成功
想定では全てのクライアントで失敗となる想定でした。
サーバ側、クライアント側の設定自体は一切変更していません。
Windows 10 (1809)以降ではCredSSPの影響を受けないように変更されたのでしょうか。
2019年8月にCVE-2019-1181、CVE-2019-1182による脆弱性対応のアナウンスも確認しましたが
そのような情報は見つかりませんでした。
Windows 10 (1809)以降のOSが接続できてしまうことについて確認すべき設定や情報が
ございましたらご教示ください。
よろしくお願いいたします。
