none
Пресловутая ошибка CredSSP при подключении по RDP RRS feed

  • Вопрос

  • Клиенты - Windows 10 1803

    Серверы - Windows Server 2012R2, 2016

    Обновления установлены критические и обновления безопасности все на текущий момент через WSUS.

    Все чаще стала появляться знакомая многим ошибка при подключении к RDP к серверам с ошибкой аутентификации из-за CredSSP encryption oracle remediation.

    "В этих ваших инторнетах" пишут, что пошло это после установки обновления KB4103721 (однако на своем компуктере я такого обновления не нашел в установленных). На WSUS сервере обновление "установлено или не применимо" на почти всех компьютерах. К сожалению, report viewer не очень информативен по получению доп информации...

    Это первый момент, который несколько "смущает".

    Второй момент - это сообщение "лечится установкой обновления:

    KB4103715 для 2012R2

    KB4103723 для 2016/10

    KB4103723 на своем компьютере среди установленных я тоже не вижу. А на WSUS сервере оно есть с оговоркой, что оно для версии Windows 10 1607. По report viewer оно установлено или не применимо так же почти на всех компьютерах. Что в первом, что во втором случае нет данных от 20 компьютерах. Каких именно сказать не могу, т.к. отчет не информативен=(

    Для оперативного решения сего вопроса советуют либо удалить обновление KB4103721 (но не советуют этого делать, что верно). Удалить его не могу - оно не установлено. Второй совет - создать для клиентов политику по пути Computer Configuration -> Administrative Templates -> System -> Credentials Delegation , в которой параметр Encryption Oracle Remediation должен быть установлен Vulnerable, однако у меня нет такого параметра по этому пути =)

    Использую централизованное хранилище шаблонов ADMX. Контроллеры - 2008R2 и 2012R2.

    Подскажите, что мне делать?:)

    П.С. Есть некоторые опасения по поводу того, что на мой незначительный парк в 200 машин (включая серверы) сервер WSUS не достаточно быстродейственен (жидкая виртуалка на RAID-10 из классических 3,5" дисков с процессором i3-2100 и 8Гб ОЗУ - в общем, proliant dl120 gen7).

    20 июня 2018 г. 7:37

Ответы

  • Ну и плохо, что старались избегать. Тонны есть настроек, которых тупо нет в шаблонах.

    Старайтесь изучать ключи реестра и дружить с ними.

    Спорно. Потому как есть неответственные администраторы, которые без документирования изменяют параметры реестра через политику, а потом просто её (политику) удаляют и какой параметр они меняли не будет знать никто кроме них. И какой был параметр до этого - тоже.

    Т.к. следить за такими ручными изменениями крайне проблематично, считаю такой способ ненадежным.

    Свою проблему решил обновлением централизованного хранилища со своего компьютера, параметр появился.

    • Изменено atulyakov 20 июня 2018 г. 13:23
    • Помечено в качестве ответа atulyakov 20 июня 2018 г. 13:23
    20 июня 2018 г. 13:04
  • Заметил забавную бажину.

    Изначально в разделе реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

    У меня не было ключей CredSSP и вложенного в него Parameters

    При изменении параметра политики Computer Configuration -> Administrative Templates -> System -> Credentials Delegation\Encryption Oracle Remediation в Vulnerable ничего не изменяется, ключи в реестре не создаются и политика не работает. Если кому-то политика не помогает - проверяйте наличие этих ключей на компьютерах. После создания вручную ключей CredSSP\Parameters\ все взлетело.

    • Помечено в качестве ответа atulyakov 21 июня 2018 г. 11:44
    21 июня 2018 г. 11:44

Все ответы

  • Добрый день,

    По совету установки политики - если нет параметра в шаблонах, пропишите в GPO Preferences через реестр:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

    AllowEncryptionOracle  REG_DWORD   2

    По "жидкости" сервера WSUS - ПМСМ для такого парка машин вполне достаточно.

    • Предложено в качестве ответа Dima RazbornovMVP 20 июня 2018 г. 12:26
    20 июня 2018 г. 8:19
  • Добрый день,

    По совету установки политики - если нет параметра в шаблонах, пропишите в GPO Preferences через реестр:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

    AllowEncryptionOracle  REG_DWORD   2

    По "жидкости" сервера WSUS - ПМСМ для такого парка машин вполне достаточно.

    Всегда старался избегать правкой реестра, ибо после решения проблемы, не понятно что делать с этим параметром... Может есть другие варианты?
    20 июня 2018 г. 8:48
  • Посмотрите по ссылке.

    А насчёт правки реестра - так адм шаблоны это и делают, только в более "дружественном" виде.

    20 июня 2018 г. 9:00
  • Ну и плохо, что старались избегать. Тонны есть настроек, которых тупо нет в шаблонах.

    Старайтесь изучать ключи реестра и дружить с ними.

    20 июня 2018 г. 12:26
  • Ну и плохо, что старались избегать. Тонны есть настроек, которых тупо нет в шаблонах.

    Старайтесь изучать ключи реестра и дружить с ними.

    Спорно. Потому как есть неответственные администраторы, которые без документирования изменяют параметры реестра через политику, а потом просто её (политику) удаляют и какой параметр они меняли не будет знать никто кроме них. И какой был параметр до этого - тоже.

    Т.к. следить за такими ручными изменениями крайне проблематично, считаю такой способ ненадежным.

    Свою проблему решил обновлением централизованного хранилища со своего компьютера, параметр появился.

    • Изменено atulyakov 20 июня 2018 г. 13:23
    • Помечено в качестве ответа atulyakov 20 июня 2018 г. 13:23
    20 июня 2018 г. 13:04
  • Никто не мешает карать за GPO без комментариев на месте.

    Это решает все проблемы. Может этот способ кажется Вам спорным, только поверьте мне, встретитесь с тем, что надо ловко добавить два ключа здесь и один тут.  И это просто и элегантно делается через предпочтения, без шаблонов вовсе.

    И по делу. Для 200 ПК я бы на Вашем месте посмотрел бы в сторону штуки, описываемой в недавней теме.

    По большому счету, можно и без WSUS обойтись. Подумайте, попробуйте.

    20 июня 2018 г. 16:50
  • Заметил забавную бажину.

    Изначально в разделе реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

    У меня не было ключей CredSSP и вложенного в него Parameters

    При изменении параметра политики Computer Configuration -> Administrative Templates -> System -> Credentials Delegation\Encryption Oracle Remediation в Vulnerable ничего не изменяется, ключи в реестре не создаются и политика не работает. Если кому-то политика не помогает - проверяйте наличие этих ключей на компьютерах. После создания вручную ключей CredSSP\Parameters\ все взлетело.

    • Помечено в качестве ответа atulyakov 21 июня 2018 г. 11:44
    21 июня 2018 г. 11:44
  • Заметил забавную бажину.


    Ещё один повод использовать предпочтения ))
    21 июня 2018 г. 11:46