RDP, CredSSP и все-все-все


Вот вы сидите тут и нихрена не знаете!

А тем временем, последнее китайское предупреждение было выдано позавчера, за день, как положено, по плану.

Речь сегодня пойдет об обновлении, которое было выпущено еще в марте, и про которое писали все кому не лень. Мне было лень, (mode: и так все все  уже знают) но когда посыпались обращения, я решил написать короткую заметку, которая должна снизить мощность и плотность разрывов.

Получили вот такое?

 

 

 

 

Или такое?

 

 

 

 

 

Судорожно начали искать по ключевым словам “Причиной ошибки может стать исправление шифрования CredSSP” , “This could be due to CredSSP encryption oracle remediation” ? Не волнуйтесь, выход есть!

Итак, что нам нужно сделать: tl/dr

1. Устанавливаем обновление на серверы и клиенты (внезапно, да)

2. Изменяем настройки GPO для серверов:
Computer Configuration -> Administrative Templates -> System -> Credentials Delegation -> Encryption Oracle Remediation Устанавливаем в Mitigated (1). (Если у вас было трудное детство, то настройки для русской версии ищите на картинках с большими буквами ниже.)

3. Изменяем настройки GPO для клиентов:
Computer Configuration -> Administrative Templates -> System -> Credentials Delegation -> Encryption Oracle Remediation на  Vulnerable (2)

4. Проверяем корректную работу RDP – все должно подключиться.

5. Для клиентов, берущих обновления с  WSUS проверьте номера КБ и удостоверьтесь, что все одобрено специальными людьми, которые за это получают плату. https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886 . Если как обычно плата платится, а патчи не одобряются, выдайте гражданам ссылку и затребуйте непоправимых улучшений.

6.  Будьте готовы вручную установить обновления там, где они не взлетели по тем или иным причинам (привет тов. Груздову : ).

7. Измените настройки GPO для клиентов с Vulnerable (2) на Mitigated (1)

8. Проверьте, что получилось

9. Измените настройки GPO сервера и клиентов с Mitigated (1) на Force updated clients (0) для высокой степени защиты.

PS. Изменение настроек Encryption Oracle Remediation требует перезагрузки.

Ссылки по теме

https://community.spiceworks.com/topic/2120195-get-patching-cve-2018-0886-credssp-flaw-in-rdp-affects-all-versions-of-windows

https://www.askwoody.com/2018/patch-lady-tracking-some-post-release-issues/

Вот так можно упредить проблему, если по той или иной причине Вы не можете использовать шаблоны политик (например у клиентской версии домашних редакций их нет)

Import-Module ActiveDirectory
$computers = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $computers) {
    Invoke-Command -ComputerName $computer -ScriptBlock {
       REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0 /f
    }
}

Так выглядит настройка в русской версии Windows, этот скриншот для тех, кто будет искать и не сможет найти. Ставим лайки, если скриншот спас вашу карьеру и дальнейшую жизнь.

 

 

 

 

 

 


 

 

 

 

По традиции- не так ценна заметка, как соц. опрос в ей, и комменты. Голосуем сердцем, всем хороших праздников и послепраздников.

 

 

12 Replies to “RDP, CredSSP и все-все-все”

  1. Спасибо Вам за труды, что бы мы без Вас делали !!! Добавил в закладки !!!

  2. А вот и я выхватил ) При этом у меня наследие проклятого царизма , даже без R2

    1. Ну никто не сомневался. Кто-то рано, кто-то поздно.
      У народа много где стоит 2012, менять в лом, да и денег стоит. А так есть-пить не просит и нехай.

  3. Не до конца ясными остались две вещи:

    1) MS говорит, что патчем от 8го, они уже на mitigated меняют.
    “A second update, to be released on May 8, 2018, will change the default behavior to the “Mitigated” option.”

    Однако в реестре я вообще не нахожу ветку HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

    У вас, дорогой партайгеноссен, написано, что нужно руками в mitigated поставить. Зачем? .

    2) administrative template для 2012r2 выходили в 2013, кажется году, и там нет нужной опции (Policy path: Computer Configuration -> Administrative Templates -> System -> Credentials Delegation).
    Можно и правкой реестра конечно, но все же очень интересно, это только для 2016 сервера GPO существует или я просмотрел что-то?

  4. “не нахожу” Ну так создайте сами ее, что как в первый раз-то. Поэтому и говорится, либо руками, либо нет. 2) В шаблонах 2013 года параметра не будет, они появляются на 10/2016. И это опять же логично, ибо шаблоны всегда нужно брать самые последние, и работать и ними.

  5. 1) “ Ну так создайте сами ее, что как в первый раз-то. Поэтому и говорится, либо руками, либо нет.”
    А вот и нет. Говорится, что с установкой майского патча оно в mitigated переводится. Поэтому создавать руками ничего не нужно. Оно без создания ветки в реестре становится mitigated. А зачем вы говорите, что нужно mitigated руками выставлять – загадка. Не нужно. Патчи расставили – уже mitigated.

    2) «они появляются на 10/2016.»
    Снова нет. Encryption Oracle Remediation нет в шаблонах времен Fall Creators Update (1709) (https://www.4shared.com/photo/nQhFOiDefi/GPO_with_adm_templates_10_Fall.html ). Оно появляется с установкой мартовского патча. И то, появляется в локальном хранилище, я пока руками не скопировал из C:\Windows\PolicyDefinitions\, в центральное (реплицируемое) хранилище, у меня не было директивы Encryption Oracle Remediation

    1. Недопонял, про что вопрос, когда отвечал.
      В моей первой ссылке про это сказано:
      “Note: Ensure that you update the Group Policy Central Store (Or if not using a Central Store, use a device with the patch applied when editing Group Policy) with the latest CredSSP.admx and CredSSP.adml. These files will contain the latest copy of the edit configuration settings for these settings, as seen below.”
      В стандартных шаблонах, выпущенных при царе горохе настройки нет и быть не может.И появляется она, как написано выше с патчем. Я статью писал, рисуя скриншоты со своей десятки, где никаких средств администрирования вообще не стоит, голый рпд был плюс патчик.
      Алаверды “я пока руками не скопировал из”
      Вы ссылки внимательней читайте, пожалуйста, которые даются в статье.
      Договорились?

      Теперь к пп. 1.
      “А зачем вы говорите, что нужно mitigated руками выставлять – загадка. Не нужно. Патчи расставили – уже mitigated.”
      Здесь согласен, принимаю поправку полностью. Лишний шаг написал. Но не руками, а через ГПО! 🙂

  6. Вспомнил, как дело было. Этот шаг был сделан до 8 числа и до патча последнего, который этот параметр и перекидывал. Еще в апреле делалось в конце, или на первые числа. Тогда тестировали так, поэтому осталась и заготовка. Как что делать до 8-го числа. А последний патч да, перекинул в mitigated. И шаг стал лишним, но тогда о нем не знали )
    Такие дела.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.