Setelah menginstal pembaruan keamanan Windows yang keluar setelah Mei 2018, Anda mungkin mengalami kesalahan Remediasi oracle enkripsi CredSSP ketika RDP terhubung ke server jarak jauh dan komputer Windows dalam kasus berikut:
- Anda menyambungkan ke desktop jarak jauh komputer dengan versi Windows lama (misalnya, RTM) yang baru saja diinstal (misalnya, Windows 10 di bawah build 1803, Windows Server 2012 R2, Windows Server 2016), di mana pembaruan keamanan Windows terbaru tidak diinstal;
- Anda mencoba untuk terhubung ke komputer RDP di mana Anda belum menginstal pembaruan Microsoft untuk waktu yang lama;
- Koneksi RDP memblokir komputer jarak jauh, karena tidak diperlukan pembaruan keamanan di komputer klien Anda.
Mari kita coba mencari tahu apa arti kesalahan RDP. Remediasi oracle enkripsi CredSSP dan bagaimana cara memperbaikinya.
Jadi, ketika mencoba menyambungkan ke aplikasi RemoteApp pada server RDS di bawah Windows Server 2016/2012 R2 / 2008 R2, atau ke desktop jarak jauh dari pengguna lain menggunakan protokol RDP (pada Windows 10, 8.1 atau 7), muncul kesalahan:
Koneksi desktop jarak jauhKesalahan otentikasi telah terjadi.
Fungsi tidak didukung.
Komputer Jarak Jauh: nama host
Ini bisa disebabkan oleh remediasi oracle enkripsi CredSSP.
Otentikasi gagal.
Fungsi yang ditentukan tidak didukung..
Penyebab kesalahan mungkin koreksi dari enkripsi CredSSP.
Kesalahan ini disebabkan oleh fakta bahwa pada Windows Server atau versi desktop Windows yang biasa, yang Anda coba sambungkan melalui RDP, pembaruan keamanan Windows belum diinstal (setidaknya sejak Maret 2018).
Kesalahan ini juga terlihat seperti ini: Kesalahan otentikasi telah terjadi. Fungsi yang ditentukan tidak didukung..Faktanya adalah bahwa pada bulan Maret 2018, Microsoft merilis pembaruan yang menutup kemampuan untuk mengeksekusi kode dari jarak jauh menggunakan kerentanan dalam protokol CredSSP (Penyedia Dukungan Keamanan Credential). Masalahnya dijelaskan secara rinci dalam buletin CVE-2018-0886. Pada Mei 2018, pembaruan tambahan diterbitkan di mana, secara default, klien Windows tidak diizinkan untuk terhubung ke server RDP jauh dengan versi rentan (tidak ditonton) dari protokol CredSSP.
Dengan demikian, jika Anda belum menginstal pembaruan keamanan kumulatif pada server Windows RDS / RDP (komputer) sejak Maret 2018, dan pembaruan Mei (atau yang lebih baru) diinstal pada klien RDP, maka ketika Anda mencoba untuk terhubung ke server RDS dengan versi CredSSP yang belum ditambal muncul kesalahan tentang ketidakmungkinan menghubungkan: Ini bisa disebabkan oleh remediasi oracle enkripsi CredSSP.
Kesalahan RDP klien muncul setelah menginstal pembaruan keamanan berikut:
- Windows 7 / Windows Server 2008 R2 - KB4103718
- Windows 8.1 / Windows Server 2012 R2 - KB4103725
- Windows Server 2016 - KB4103723
- Windows 10 1803 - KB4103721
- Windows 10 1709 - KB4103727
- Windows 10 1703 - KB4103731
- Windows 10 1609 - KB4103723
Untuk mengembalikan koneksi jarak jauh ke desktop, Anda dapat menghapus pembaruan keamanan pada klien dari mana koneksi RDP dibuat (tetapi ini luar biasa tidak direkomendasikan, yaitu ada solusi yang lebih aman dan lebih benar).
Untuk mengatasi masalah, Anda bisa untuk sementara pada komputer yang Anda hubungkan melalui RDP, nonaktifkan memeriksa versi CredSSP pada komputer jarak jauh. Ini dapat dilakukan melalui editor kebijakan grup lokal. Untuk melakukan ini:
- Luncurkan editor GPO lokal - gpedit.msc;
- Buka bagian kebijakan Konfigurasi Komputer -> Template Administratif -> Sistem -> Delegasi Kredensial (Konfigurasi komputer -> Template administratif -> Sistem -> Transfer kredensial);
- Temukan kebijakan dengan nama Enkripsi Remediasi Oracle (Perbaiki untuk kerentanan enkripsi oracle). Nyalakan kebijakan (Diaktifkan/ Diaktifkan), dan sebagai parameter dalam daftar drop-down, pilih Rentan / Tinggalkan kerentanan;
- Tetap memperbarui kebijakan di komputer Anda (perintah
gpupdate / force) dan coba terhubung melalui RDP ke komputer jarak jauh. Dengan kebijakan diaktifkan Enkripsi Oracle Remediasi dengan nilai Rentan aplikasi terminal Anda yang diaktifkan CredSSP bahkan dapat terhubung ke server RDS / RDP dan komputer Windows yang tidak memiliki pembaruan keamanan saat ini.
- Paksaan Diperbarui Klien - tingkat perlindungan tertinggi ketika server RDP melarang koneksi ke klien yang tidak diperbarui. Biasanya, kebijakan ini harus dimasukkan setelah pembaruan lengkap seluruh infrastruktur dan integrasi pembaruan keamanan saat ini ke dalam gambar instalasi Windows untuk server dan workstation;
- Dimitigasi - Dalam mode ini, koneksi RDP jarak jauh keluar ke server RDP dengan versi CredSSP yang rentan diblokir. Namun, layanan lain yang menggunakan CredSSP berfungsi dengan baik;
- Rentan -tingkat perlindungan terendah saat menghubungkan ke server RDP dengan versi CredSSP yang rentan diizinkan.
Jika Anda tidak memiliki editor GPO lokal (misalnya, di edisi Home Windows), Anda dapat membuat perubahan yang memungkinkan RDP untuk terhubung ke server dengan versi CredSSP yang tidak ditonton langsung ke dalam registri menggunakan perintah:REG TAMBAHKAN HKLM \ PERANGKAT LUNAK \ Microsoft \ Windows \ CurrentVersion \ Kebijakan \ Sistem \ CredSSP \ Parameter / v AllowEncryptionOracle / t REG_DWORD / d 2
Anda dapat mengubah parameter ini dalam registri segera di banyak komputer dalam AD menggunakan domain GPO (gpmc.msc console) atau dengan skrip PowerShell (daftar komputer dalam domain dapat diperoleh menggunakan cmdlet Get-ADComputer dari modul RSAT-AD-PowerShell):
Impor-Modul ActiveDirectory
$ PSs = (Dapatkan-ADComputer -Filter *). DNSHostName
Foreach ($ komputer dalam $ PC)
Invoke-Command -ComputerName $ computer -ScriptBlock
REG TAMBAHKAN HKLM \ PERANGKAT LUNAK \ Microsoft \ Windows \ CurrentVersion \ Kebijakan \ Sistem \ CredSSP \ Parameter / v AllowEncryptionOracle / t REG_DWORD / d 2
Setelah berhasil menyambung ke server RDP jauh (komputer), Anda perlu menginstal pembaruan keamanan terbaru di atasnya melalui layanan Pembaruan Windows (periksa bahwa layanan dihidupkan) atau secara manual. Unduh dan instal pembaruan Windows kumulatif terbaru seperti yang ditunjukkan di atas. Jika kesalahan "Pembaruan ini tidak berlaku untuk komputer Anda" muncul ketika menginstal pembaruan MSU, periksa artikel di.
Untuk Windows XP / Windows Server 2003 yang tidak lagi didukung, Anda perlu menginstal pembaruan untuk Windows Embedded POSReady 2009. Misalnya, https://support.microsoft.com/en-us/help/4056564Setelah menginstal pembaruan dan me-reboot server, jangan lupa untuk menonaktifkan kebijakan pada klien (baik mengaturnya untuk Memaksa Klien Diperbarui), atau mengembalikan nilai 0 untuk kunci registri AllowEncryptionOracle. Dalam hal ini, komputer Anda tidak akan berisiko terhubung ke host yang tidak aman dengan CredSSP dan mengeksploitasi kerentanan..
REG TAMBAHKAN HKLM \ PERANGKAT LUNAK \ Microsoft \ Windows \ CurrentVersion \ Kebijakan \ Sistem \ CredSSP \ Parameter / v AllowEncryptionOracle / t REG_DWORD / d 0 / f
Ada skenario lain di mana pembaruan tidak tersedia di komputer Anda. Misalnya, server RDP diperbarui, tetapi memiliki kebijakan yang memblokir koneksi RDP dari komputer dengan versi CredSSP yang rentan (Paksaan Diperbarui Klien) Dalam hal ini, selama koneksi RDP, Anda juga akan melihat kesalahan "Ini bisa jadi disebabkan oleh remediasi oracle CredSSP enkripsi".
Periksa tanggal terbaru untuk menginstal pembaruan Windows di komputer Anda menggunakan modul PSWindowsUpdate atau melalui perintah WMI di konsol PowerShell:
gwmi win32_quickfixengineering | sort diinstalon -desc
Contoh ini menunjukkan bahwa pembaruan keamanan Windows terbaru diinstal pada 17 Juni 2018. Unduh dan instal file .msu yang lebih baru dengan pembaruan kumulatif untuk edisi Windows Anda (lihat di atas).
