Golovna
O'rnatilgan dasturiy ta'minot
Rdp windows 7 Bu funksiya qo'llab-quvvatlanmaydi. To'g'riligini tekshirish soati uchun kechirim bor edi. Bu funksiya qo‘llab-quvvatlanmaydi. Kechirimning sababi CredSSP shifrlashning tuzatilishi bo'lishi mumkin. №2 Mijozlarga CredSPP shifrlashning kechirilishi haqida bildirishnomani yoqish

Rdp windows 7 Bu funksiya qo'llab-quvvatlanmaydi. To'g'riligini tekshirish soati uchun kechirim bor edi. Bu funksiya qo‘llab-quvvatlanmaydi. Kechirimning sababi CredSSP shifrlashning tuzatilishi bo'lishi mumkin. №2 Mijozlarga CredSPP shifrlashning kechirilishi haqida bildirishnomani yoqish

Statistikalar o'rniga:

2018-yil 8-may kuni ko‘plab buzilgan Windows operatsion tizimlari muammoga duch keldi, natijada agar siz Windows operatsion tizimi (yoki masofaviy ilovasi) ostidagi boshqa kompyuterga masofaviy ish uslubi orqali kirishga harakat qilsangiz, quyidagi kechirimga ega bo'ladi:

To'g'riligini tekshirish soati uchun kechirim bor edi.
Belgilangan funksiya qo'llab-quvvatlanmaydi
Kechirimning sababi CredSSP shifrlashning tuzatilishi bo'lishi mumkin.

Umumiy ma'lumot

Kechirim matnidan skrinshot

Ushbu maqolada biz kechirishni tuzatishning 3 usulini ko'rib chiqishimiz mumkin. Birinchi yo'l g'alaba qozonish uchun eng to'g'ri va eng zarur, chunki siz bu muammoga duch keldingiz. Boshqa va uchinchi yo'l, agar siz meni kechirishimga ruxsat bersangiz ham, lekin uni siğil qilish uchun, chunki yamoqni o'rnatish imkoniyati yo'q.

1-usul: CreedSSP shifrlash yangilanishini o'rnating

Ushbu kechirimning sababi CVE-2018-0886 ning server tomonida yoki siz ulanishingiz mumkin bo'lgan kompyuterda har kuni yangilanishi, vikorist masofaviy ish uslubi (RDP). Boshlash uchun yangilanishni server vazifasini bajaradigan kompyuterga o'rnatish kifoya. Bizga yuborish orqali OTning kerakli versiyasi uchun yangilanishni olishingiz mumkin:

2-usul: Guruh siyosati orqali CreedSSP shifrlash kechirilishini ogohlantirish

Agar biron sababga ko'ra yangilanishni o'rnatolmasangiz, kechirim bildirishnomasini yoqishingiz mumkin. Kompyuterda kim mijoz sifatida ishlaydi, keyingi qadamlar amalga oshiriladi:

3-usul: Ro'yxatga olish kitobini tahrirlash orqali CreedSSP shifrlashning kechirilishi haqidagi bildirishnomani yoqing

Sizning Windows nashringizda qanday qilib kundalik muharrir mavjud guruh siyosati(masalan, Windows 10 Home), keyin ro'yxatga olish kitobiga qo'lda o'zgartirishlar kiritishingiz kerak bo'lishi mumkin. Kompyuterda kim mijoz sifatida ishlaydi, keyingi qadamlar amalga oshiriladi:

  1. Ro'yxatga olish kitobi muharririni oching va oldinga o'ting: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
  2. Shukaemo parametri DWORD nomi ostida AllowEncryptionOracle, va qiymatni o'rnating 2 . Bunday parametr yo'qligi sababli, biz yoga yaratamiz.
  3. Rezavantazhuemo kompyuter

Ro'yxatga olish kitobi bilan chalkashmoqchi bo'lmaganlar uchun buyruqni topshiring, kursorni pastda, administrator huquqlari bilan buyruq satriga olib boring:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Operatsiya xonasining keyingi yangilanishidan keyin Windows tizimlari, 2018 yil 8-may atrofida bo'lganidek, barcha koristuvachlar uzoq ish stoliga (RDP va masofaviy ilova) ulanish muammosi bilan qotib qolgan bo'lishi mumkin.

Mijoz serveriga ulanishga urinayotganda, mashina kechirimli xabarni ko'radi:
Uzoq ish stoliga ulanish
To'g'riligini tekshirish soati uchun kechirim bor edi.
Belgilangan funksiya qo'llab-quvvatlanmaydi

Masofaviy kompyuter:
Kechirimning sababi CredSSP shifrlashning tuzatilishi bo'lishi mumkin.
Dodatkoví vidomostí div. https://go.microsoft.com/fwlink/?linkid=866660 maqolasida

Foydalanish ikki yo'l CredSSP shifrlash kechirilishini tuzatish. Birinchi yo'l eng to'g'ri, ikkinchisi shvedcha.

№1 Server tomonida CredSSP shifrlashni tuzatish uchun yangilanish amalga oshirildi.

Muammoni hal qilish uchun CVE-2018-0886 yangilanishini server tomoniga o'rnatishingiz kerak, aks holda shaxsiy kompyuter unga RDP orqali masofadan ish uslubiga ulanish kerak.

№2 Mijoz kompyuterida CredSPP shifrlashni kechirish haqida ogohlantirish.

Serverni yangilash bilan chalkashishni istamaydiganlar uchun - boshqa yo'l to'g'ri!

O'sish uchun nima kerak:

1. Dasturni ishga tushiring " Vikonati va u erda buyruqni yozing gpedit.msc Ko'ryapsizmi
2. Keling, boramiz: Kompyuter konfiguratsiyasi - Ma'muriy shablonlar - Tizim - Bulutli ma'lumotlarni uzatish.
Uchun Inglizcha versiyasi Windows operatsion tizimi quyidagicha: Kompyuter konfiguratsiyasi - Ma'muriy shablonlar - Tizim - Ishonch yorliqlari delegatsiyasi.

3. Bu erda siz "" ("Encryption Oracle Remediation") parametrini kiritishingiz va "" ni tanlashingiz kerak. qayd etilgan"("Yoqilgan"). Janjaldan xalos bo'ling"("Zaif").

4. Zastosovuemo tugmani bosishni o'zgartiring " OK va hamma narsa kimga tegishli! Ehtimol, kompyuterni qayta ishga tushirish kerak.

Buvaê taka, "oblikovih ma'lumotlarini uzatish" haqida nima deyish mumkin? parametr yo'q"Shifrlash oraclesining qo'zg'aluvchanligini tuzatish". Keyin o'zgarishlarni buyurish kerak registrga topshiring.

1. Dasturni ishga tushiring " Vikonati va u erda buyruqni yozing regedit Ko'ryapsizmi Ro'yxatga olish kitobi muharriri".

2. Biz kelayotgan yo'l bo'ylab harakat qilamiz:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

3. Parametrni bilish kerak DWORD qo'ng'iroq qilaman AllowEncryptionOracle va qiymatni qo'ying 2 . Qaysi parametr yo'q, keyin kerak yoga qiling.

4. Obov'yazkovo viconuemo kompyuterning qayta afzalligi.

Ro'yxatga olish kitobiga o'zgartirish kiritishning oddiy usuli bor, siz shunchaki buyruq satriga buyruqni kiritishingiz mumkin (siz administrator huquqlari uchun javobgarsiz):

Hammadan mendan!

Windows-ning uy versiyasini ta'mirlash

1. Ishga tushirish buyruq qatori(cmd) Administrator nomidan

2. Buyruqni qo'ying yoki yozing:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Tugmalarni bosgandan so'ng Kirish may z'yavitsya podomlennya: Operatsiya muvaffaqiyatli yakunlandi.

Qia jamoasiga oʻzgartirish kiritish Windows ro'yxatga olish kitobi va kompyuterga CredSSP shifrlash protokoli yordamida ulanishga ruxsat bering.

Hammaga omad!

O'qing 47964 bir marta

Bu kechirim CVE-2018-0886 uchun oʻrnatilgan CredSSP yangilanishi tufayli boʻlgan. Muammo yangilanishni o'rnatish orqali buzildi.

Kirish

2018 yil 13 mart CredSSP autentifikatsiya protokoli uchun Windows xavfsizlik yangilanishi chiqarildi, u CVE-2018-0886 ni yopadi. Hisob maʼlumotlari xavfsizligini qoʻllab-quvvatlash provayderi protokoli nomuvofiqligiga (CredSSP - Cloud Data Security Support Provider) ruxsat berilgan masofadan ishga tushirish etarli kod turli tizimlarda.

2018 yil 8 may Microsoft ulanish xavfsizligi darajasini “Zaif”dan “Mitigated”ga o‘zgartirdi va masofaviy RDP ish stoliga ulanishda muammolar yuzaga keldi.

Egri ma'lumotlar kiritilgandan so'ng, kechirim e'lon qilinadi:

To'g'riligini tekshirish soati uchun kechirim bor edi.
Bu funksiya qo‘llab-quvvatlanmaydi.
Kechirimning sababi CredSSP shifrlashning tuzatilishi bo'lishi mumkin

Yechim 1. Windows serveriga xavfsizlik yangilanishini o'rnating.

  • CVE-2018-0886 kontent sahifasiga o'ting
  • Yuklashlardan ta'sirlangan mahsulotlarni tarqatishda kerakli faylni tanlang, uni tanlang va o'rnating.

Yechim 2. Mijozda Windows xavfsizlik yangilanishini ko'ring.

Yechim 3. Mijoz/serverdagi xavfsizlik siyosatini o'zgartiring.

Vykoristovuvati varto, chunki serverga ulanish va yangilanishni o'rnatish imkoniyati yo'q. Yangilanish o'rnatilgandan so'ng, chiqish lagerida siyosatni aylantirish kerak.

Mahalliy guruh siyosati muharririni oching:

  • Win + R tugmalarini bosing
  • gpedit.msc kiriting va Enter tugmasini bosing

Xavfsizlik sozlamalarini o'zgartirish:

  • Kompyuter konfiguratsiyasi > Ma’muriy shablonlar > Tizim > Hisob ma’lumotlari delegatsiyasi
  • Encryption Oracle Remediation parametrini oching
  • Yoqilgan ni tanlang.
  • Rivne zakhist "Zaif" ni o'rnatadi.

Siyosatda 3 ta variant mavjud:

  • Zaif - mijozlar turli mashinalarga ulanishi mumkin.
  • Yengillashtirilgan - mijozlar turli serverlarga ulana olmaydi, lekin serverlar turli mijozlarni qabul qilishi mumkin.
  • Force Updated Clients - bu mijozlar o'rtasidagi xavfsiz moslashuv.

Mahalliy guruh siyosati muharriri mijozning mashinasida bo'lsa, o'zgarishlar Ro'yxatga olish kitobiga kiritiladi.

So'nggi xavfsizlik yangilanishi o'rnatilgandan so'ng (2018 yil 8 yanvar sanasi Windows 7/8/10 platformasi va Windows Server 2008 R2/2012 R2/2016 OS server platformalarida), tizim RDP va RemoteApp uchun masofaviy kompyuterga kirishni olib tashlamaydi. yordam va kechirim keladi:

Skrinshot: mijoz mashinasidan serverga RDP ulanganidan keyin CredSSP kechiriladi.

2018 yil bahorining boshida Microsoft CredSSP protokolidagi qo'shimcha bema'nilik uchun masofaviy kodga yordam bergan yangilanishni chiqardi va o'tmishda yashirin mijoz mashinasi o'rnatilgandan keyin CredSSP server versiyasiga o'tkazilgandan so'ng yangilanish amalga oshirildi. . Shubhasiz, bahorgi yangilanish mijozlarga o'rnatilgan, lekin Windows Server OS bilan ishlaydigan serverlarda o'rnatilmaganligi sababli, ulanish paytida biz kechirim so'raymiz:

“Toʻgʻriligini qayta tekshirish vaqtida afv boʻldi. Bu funksiya qo‘llab-quvvatlanmaydi. Kechirimning sababi CredSSP ning tuzatishi bo'lishi mumkin.

Yoki inglizcha versiyasi:

"Siz CredSSP virtual oracle remediatsiyasiga o'tishingiz mumkin."

RDP mijozining kechirilishi xavfsizlik yangilanishi o'rnatilgandan so'ng sodir bo'ladi:

  • Windows 7 / Windows Server 2008 R2 - KB4103718 yangilanishi
  • Windows 8.1 / Windows Server 2012 R2 - KB4103725 yangilanishi
  • Windows 10 1803 - KB4103721-ni yangilang
  • Windows 10 1709 - KB4103727 yangilanishi
  • Windows 10 1703 - KB4103731 yangilanishi
  • Windows 10 1609 - KB4103723-ni yangilang
  • Windows Server 2016 - KB4103723 yangilanishi

Ulanishni aniqlashtirish uchun siz shunchaki vizyoner yangilanishni ko'rishingiz mumkin, ammo agar men farqni topsam, muammoni hal qilish rejasi quyidagicha bo'ladi:

  1. Mi timchasovo, har qanday RDP ulanishiga ega kompyuterda, ulanishni blokirovka qilgandek, xavfsizlikni oshirish xavfsiz;
  2. Keling, yangi RDP ulanishiga ulanamiz va kerakli xavfsizlik yamog'ini o'rnatamiz;
  3. Keling, rejaning birinchi bandiga kiritilgan Timchasovo kabi xavfsizlik eslatmalarini yoqaylik.
  • Mahalliy guruh siyosati muharririni faollashtiring: Vikonati gpedit.msc ni ishga tushiring;
  • Kompyuter konfiguratsiyasi - Ma'muriy shablonlar - Tizim - Hisob ma'lumotlari delegatsiyasi - Tizim - Bulutli ma'lumotlarni uzatish bo'limiga o'ting;
  • Biz siyosatni Encryption Oracle Remediation - Encryption Oracle Remediation nomi ostida bilamiz. Enabled policy Enabled, ro‘yxatdagi parametr sifatida Zaif ni tanlang;

Skrinshot: kengaytirilgan GPO opsiyalari - Oracle shifrlashi haqidagi bahsni tuzatish.
  • Men kompyuterdagi siyosatning yangilanishini yo'qotdim (buning uchun Cmd va gpupdate / force buyrug'ini yutib oling) va RDP orqali ulanishga harakat qiling. Siyosat yoqilgan boʻlsa, CredSSP-ni qoʻllab-quvvatlaydigan mijoz dasturlari yangilanmagan masofaviy ish stoli serverlariga ulanishi mumkin.

Urizanoyudan uy kompyuteri kabi Windows versiyasi, va sizda mahalliy guruh siyosatlarining konsoliga kirish imkoni yo'q - muammo yo'q, tezkor ro'yxatga olish kitobi muharriri (Regedit). Keling, yoga bilan shug'ullanamiz va yo'ldan o'tamiz:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

va AllowEncryptionOracle parametrining qiymatini 2 (0x00000002) ga o'rnating.

Keyin tizimingizga mos keladigan xavfsizlik yangilanishini o'rnatish haqida o'ylashingiz kerak (sizga qulaylik uchun Windows Server yangilanishiga to'g'ridan-to'g'ri havolani joylashtiraman, lekin uni o'rnatishingizni ham tavsiya qilaman):

  • Windows Server 2016 / Windows 10 1607 - KB4103723
  • Windows Server 2012 R2 / Windows 8

Vlasniki OS Windows qaysi chakana sotuvchini biladi qo'shiq soati operatsion tizimlaringizni qo'llab-quvvatlashni ta'minlang. Eng yaxshi tomoni shundaki, Microsoft vaqti-vaqti bilan avtomatik ravishda yoki ichida yangilanishlarni chiqaradi qo'lda rejim kompyuterga o'tkaziladi va u erda o'rnatiladi.

Afsuski, ba'zida eng yaxshi natijaga erishish mumkin emas. Shunday qilib, shunga o'xshash innovatsiyalar bir xil muammolarni bartaraf qiladi, lekin ba'zida ular yangilarini yaratadilar.

Masalan, KB4103718 paketini o'rnatish, koristuvachiv xatolar haqida ogohlantirishlardan so'ng, masofaviy RPR ish stolidagi hisob qaydnomasi uchun serverga kirishga urinish ishlamasligiga olib keladi, balki shunchaki chaqiradi. ekranda e'lon: haqiqiyligini tekshirish muvaffaqiyatsiz vaqtida kechirim bor edi.

Shubhasiz, inson ustidan hukmronlik qilishning iloji yo'q, chunki bunday martabada sizning funktsionalingiz uchun zarur va hatto muhim bo'lgan ba'zi qismlar saqlanib qoladi. Yak buti? Yaxshi - to'g'ri.

O'shandan beri, RDP afv Windows 7 autentifikatsiya aylandi, keyin eng qarorlarni kechiring Siz Operatsion tizimni yangilash markaziga qaytarilasiz va yangi o'rnatilgan paketlar kiritiladi. Amaliyot shuni ko'rsatadiki, bu muammodan xalos bo'lish uchun etarli.

Schopravda, ê deshcho "ale":

  • Hujum bilan avtomatik yangilash hammasi orqaga buriladi.
  • Agar siz Windows-ning bunday funksiyalarni ishga tushirishini istasangiz, unda operatsion tizim siz ajoyib tarzda namoyon bo'lishingiz mumkin, parchalar ishning eng muhim holatlarida chakana sotuvchilar sifatida e'tiborga olinishi mumkin.

Otzhe, hazil qilish kerak muqobil yechimlar. Dosvídchení koristuvachí, ovqatlanish bo'yicha "Vídbulasya pardon autentifíkatsíí" - hujumchilarni rozi qilish uchun tuzatish usuli sifatida:

  1. Vikonati barcha eng muhim, eng muhim paketlarni o'rnatish, ular nafaqat o'zingiz, balki kompyuteringiz va serverlaringizga o'rnatiladi, shu vaqtgacha siz ushbu protokolga yordam berish uchun uzoqroqqa borishni rejalashtirmoqdasiz. Tse muammoning amalda yagona va to'liq yechimidir. Reshta - timchasovdan kamroq.
  2. Siz NLA-ni o'chirib qo'yishingiz yoki CredSSP-ning xavfsiz bo'lmagan versiyasidan masofaviy serverga kirish huquqini berishingiz mumkin.

NLA bilan qanday aloqada bo'lasiz? Quyidagi qatorlarga amal qilish kerak:

  1. Boshqaruv paneli orqali barcha elementlarga, keyin esa - tizimga o'ting.
  2. "Quvvat" oynasini oching va "Masofadan kirish" yorlig'iga o'ting.
  3. Eng pastki qismida siz "Faqat kompyuterlardan ulanishga ruxsat berish ..." so'zlari bilan boshlangan qatorni bosishingiz mumkin. Uning uchun tasdiq belgisini olib tashlang.
O'rnatilgan dasturiy ta'minot

Siz ham kiyishingiz mumkin