none
원격데스크톱 오류 : CredSSP 암호화 Oracle 수정 때문일 수 있습니다

    질문

  • 아래에도 같은 질문이 있었지만 해결이 안되어 다시 질문드립니다.

    서버는 윈도우 2012 R2

    Client (제 PC)는 윈도우 10 Home

    5/11일 오늘 서버 접속하려니 제목과 같은 에러가 나며 원격이 안됩니다.

    다른 사람들은 기존과 같이 접속이 잘됩니다.

    아래 글에 보면 로컬 정책 편집기 들어가서 자격증명 위엄에 Oracle 수정 암호화 수준을 취약으로 낮추라고 되어있는데

    저는 Oracle 수정 암호화란 항목이 없어서 설정을 할 수 없습니다.

    "Oracle 수정 암호화" 항목을 추가 할 수 있는 방법 있나요?

    2018년 5월 11일 금요일 오전 5:00

모든 응답

  • 안녕하세요,

    5월 업데이트에서 3월의 CredSSP 취약점을 방지하기 위해서 5월 업데이트 이상은 Oracle CredSSP 설정이 완화로 Default 설정이 변경되었으며, 완화의 경우 완화 이상 보안 설정된 서버 이외에는 RDP 연결을 방지하도록 설정하게 됩니다.

    따라서 모든 5월 업데이트를 적용하기 전에 원격 연결을 위해서는 완화 옵션을 사용할 수 있으나, 보안 취약점에 노출될 수 있습니다.

    아래와 같이 진행해보신 후 문제가 해결되는지 확인해주시면 감사하겠습니다.

    1. Group Policy에서 Computer Configuration – Administrative Templates – System – Credential Delegation – Encryption Orcle Remedation 의 설정을 아래 캡처 화면과 같이 변경합니다.

    2. Gpupdate /force를 진행하고 문제가 해결되는지 확인합니다.

    ■ Ask Premier Field Engineering (PFE) Platforms
    https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

    • 답변으로 제안됨 okwow123 2018년 7월 11일 수요일 오전 11:51
    2018년 5월 11일 금요일 오전 6:14
    중재자
  • 답변 주셔서 감사합니다.

    제가 질문드렸듯이 답변주신대로 설정을 하려고 해봤는데

    저같은 경우는 Encryption Orcle Remedation 항목이 존재하지 않아서

    설정변경을 할 수가 없습니다.

    다른 방법이 있으면 조언부탁드립니다

    2018년 5월 11일 금요일 오전 7:55
  • 안녕하세요,

    안내해드린 설정이 확인되지 않는다면 아래 내용을 참고하시어 레지스트리 값을 추가해보시기 바랍니다.

    "The quick fix as it turns out is to add a single key to your workstation's registry.

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle"=dword:00000002

    In my case I had to create the CredSSP key, then the Parameters key, then the dword value as none of them existed.

    No need to reboot, I could then immediately connect to remote desktop."

    2018년 5월 11일 금요일 오전 9:16
    중재자
  • 안녕하세요!

    아래 링크의 REG 값 첨부 파일 다운로드 후 더블클릭하여 적용해 보세요!

    http://taeyoun.com/221275274225


    2018년 5월 14일 월요일 오전 4:18
  • 작성해주신대로 레지스트리 값 추가하고,

    레지스트리값이 정상적으로 추가된것까지 확인했는데도

    여전히 원격 데스크톱이 작동되지 않습니다.

    어떻게 해야할까요?

    2018년 5월 17일 목요일 오전 5:28
  • PC를 재부팅 진행도 하셨는지요?
    2018년 5월 17일 목요일 오전 5:39
  • 네 재부팅도 진행했습니다.

    regedit에서 아래의 내용이 추가된 것도 확인했구요.

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle"=dword:00000002

    gpedit.msc 로 들어가서, 자격 증명 위임에 들어갔을때 Oracle과 관련한 내용은 여전히 없고,

    다만, 확실하진 않지만, Restrict delegation of credentials to remote servers (원격 서버에 대한 자격 증명 위임 제한) 이라는 항목이 새로 생긴 것 같기도 한데.. 혹시 관련이 있는 걸까요?

    아니면 다른 문제가 있는걸까요?..

    2018년 5월 17일 목요일 오전 8:18
  • 응답 주신 내용으로 "원격 서버에 대한 자격 증명 위임 제한" 항목이 생겼다면 아직 적용이 안된 것 같습니다.

    적용된 레지스트리 폴더(CredSSP)를 삭제 후 다음과 같이 다시 진행해 보세요!

    1. 관리자 권한으로 CMD 창을 실행 합니다.

    2. 아래 명령어를 실행 합니다.

    REG  ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

    3. 재 부팅 후 증상을 다시 확인 합니다.

    2018년 5월 17일 목요일 오전 8:57
  • 말씀하신대로 해봤는데 여전히 안되네요..

    좀 특이한 점은 모바일 앱 (RD Client)로 했을때는 원격 데스크탑이 잘됩니다.

    PC로 원격데스크탑을 이용하려고 할때만, 

    '인증 오류가 발생했습니다.', 'CredSSP 암호화 Oracle 수정 때문일 수 있습니다.'

    라는 메세지를 보여주면서 작동하질 않습니다.

    2018년 5월 17일 목요일 오전 9:38
  • 레지스트리 값 적용이 안되는 이슈 인 듯 합니다. 특이 증상 이네요!

    관리자 모드 CMD 창을 열어서 gpupdate /force 실행 후 다시 시도해 보시길 바랍니다.

    만일 그래도 안되시면 5월 보안업데이트를 삭제할 필요도 있을 것으로 보여 집니다.

    2018년 5월 18일 금요일 오전 12:17
  • 5월 보안업데이트 삭제는 어떻게 하나요?
    2018년 5월 18일 금요일 오전 4:56
  • 안녕하세요.

    다음 링크참고 설치 하여 "Oracle 수정 암호화란 항목"

    추가 되었는지 확인 후 Boram Yi님 가이드 참고하여 설정 하시면 될 것 같습니다!

    https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2018-0886


    • 편집됨 hwyoo 2018년 5월 18일 금요일 오전 5:55
    2018년 5월 18일 금요일 오전 5:50
  • Windows 10 환경에서 보안 업데이트 제거 방법은 다음과 같습니다.

    1. 윈도우 시작 버튼을 클릭 하여 설정 항목으로 이동 합니다.

    2. 다음 화면과 같이 검색 창에 "제어판"을 입력 합니다.

    3. 제어판 세부 항목에서 프로그램 및 기능 를 선택하여 "설치된 업데이트 보기"를 클릭 합니다.

    4. 다음 화면과 같이 KB4103721 보안 업데이트를 클릭 후 상단 메뉴에서 제거를 클릭하여 진행 합니다.

    5. 재 부팅 후 증상을 확인 합니다.

    2018년 5월 18일 금요일 오전 11:44
  • 굿굿.굿굿.굿굿.
    2018년 7월 11일 수요일 오전 11:51
  • 윗분들이 설명하시는 설정은 클라이언트 OS 쪽에 적용하는 보안 설정입니다.
    • 답변으로 제안됨 SuHwan Kim 2018년 9월 28일 금요일 오전 7:09
    • 답변으로 제안 취소됨 SuHwan Kim 2018년 9월 28일 금요일 오전 7:09
    2018년 9월 28일 금요일 오전 7:09