CredSSP enkripsi oracle remediation error

Terlepas dari kenyataan bahwa dukungan untuk Windows XP dihentikan 4 tahun yang lalu (Dukungan Akhir Windows XP) - banyak pelanggan eksternal dan internal terus menggunakan OS ini, dan tampaknya masalah ini tidak akan secara radikal diselesaikan dalam waktu dekat 🙁 ... Suatu hari, mereka menemukan masalah : Klien Windows XP tidak dapat terhubung melalui Remote Desktop ke terminal baru Remote Desktop Services Services di Windows Server 2012 R2. Masalah serupa terjadi ketika Anda mencoba terhubung melalui RDP dari Windows XP ke Windows 10 1803.

Konten:

  • Tidak dapat terhubung melalui RDP dari Windows XP ke Windows Server 2016 / 2012R2 dan Windows 10
  • Nonaktifkan NLA di RDS Windows Server 2016/2012 R2
  • Mengaktifkan NLA di Tingkat Klien Windows XP

Tidak dapat terhubung melalui RDP dari Windows XP ke Windows Server 2016 / 2012R2 dan Windows 10

Pengguna XP mengeluh tentang kesalahan klien rdp ini:

Karena kesalahan keamanan, klien tidak dapat terhubung ke komputer jarak jauh. Verifikasi bahwa Anda masuk ke jaringan, dan kemudian coba sambungkan kembali. Sesi jarak jauh terputus karena komputer jarak jauh menerima pesan lisensi yang tidak valid dari komputer ini. Komputer jarak jauh memerlukan Otentikasi Level Jaringan, yang tidak didukung oleh komputer Anda. Untuk bantuan, hubungi administrator sistem Anda atau dukungan teknis.

Untuk mengatasi masalah ini, verifikasi bahwa versi klien RDP di komputer yang menjalankan Windows XP diperbarui. Saat ini versi maksimum klien RDP yang dapat diinstal pada Windows XP - rdp klien versi 7.0 (KB969084 - https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol -rdp-7-0-or-7-1 /). Anda dapat menginstal pembaruan ini hanya di Windows XP SP3. Menginstal RDP klien versi 8.0 dan lebih tinggi pada Windows di XP tidak didukung. Setelah menginstal pembaruan ini, setengah dari klien menyelesaikan masalah dengan koneksi RDP. Paruh kedua dibiarkan ... .

Nonaktifkan NLA di RDS Windows Server 2016/2012 R2

Setelah mulai mempelajari topik server RDS berbasis Windows 2012 R2 secara lebih rinci, kami menemukan bahwa di Windows Server 2012 (dan di atas), secara default diperlukan dukungan teknologi wajib dari para pelanggannya. NLA (Network-Level Authentication - otentikasi di tingkat jaringan, lebih lanjut tentang teknologi ini di sini), tetapi jika klien tidak mendukung NLA, itu tidak akan berhasil menghubungkan ke server RDS. Demikian pula, NLA diaktifkan secara default saat Anda mengaktifkan RDP di Windows 10.

Ada dua kesimpulan di atas, sehingga klien XP yang tersisa dapat terhubung melalui RDP ke server terminal pada Windows Server 2016/2012 R2 atau ke Windows 10:

  • Nonaktifkan Validasi NLA pada Remote Desktop Services 2012 R2 / 2016 Farm Server atau Windows 10
  • atau aktifkan dukungan NLA pada klien XP;

Untuk menonaktifkan persyaratan untuk penggunaan wajib protokol NLA pada klien di server Windows Server 2012 R2 RDS, di konsol Server Manager, buka Jauh Desktop Layanan -> Koleksi -> QuickSessionCollection, untuk memilih Tugas -> Edit Properti, pilih bagian  Keamanan dan hapus opsi: Izinkan koneksi hanya dari komputer berlari Jauh Desktop dengan Jaringan Level Otentikasi

Di Windows 10, Anda dapat menonaktifkan Otentikasi Tingkat Jaringan di properti sistem (Sistem - Konfigurasi Akses Jarak Jauh). Hapus centang "Izinkan koneksi hanya dari komputer yang menjalankan desktop jarak jauh dengan otentikasi tingkat jaringan (disarankan)".

Secara alami, Anda perlu memahami bahwa menonaktifkan NLA di tingkat server mengurangi keamanan sistem dan umumnya tidak disarankan. Lebih baik menggunakan teknik kedua.

Mengaktifkan NLA di Tingkat Klien Windows XP

Untuk operasi Windows XP yang benar sebagai klien, Anda harus memiliki setidaknya Paket Layanan 3. Jika tidak, pastikan untuk mengunduh dan menginstal pembaruan ini. Paket Layanan 3 itu adalah persyaratan minimum untuk memperbarui klien RDP dari versi 6.1 ke 7.0 dan mendukung komponen yang diperlukan, termasuk Penyedia Layanan Keamanan Kredensial (CredSSP -KB969084), yang dijelaskan di bawah ini..

Tanpa dukungan untuk CredSSP dan NLA, kesalahan akan muncul selama koneksi RDP dari Windows XP ke versi baru Windows

Kesalahan Otentikasi (Kode: 0x80090327).

Kami sebelumnya menjelaskan cara mengaktifkan dukungan Otentikasi Tingkat Jaringan pada komputer yang menjalankan Windows XP, mengingat secara singkat poin utama.

Dukungan NLA muncul di Windows XP dimulai dengan SP3, tetapi tidak diaktifkan secara default. Hanya otentikasi penyedia NLA dan CredSSP yang dapat diaktifkan. Untuk melakukan ini:

  1. Di cabang registri HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders perlu mengedit nilai kunci Penyedia Keamanan, menambahkan di akhir credssp.dll (dipisahkan oleh koma dari nilai saat ini);
  2. Lebih jauh di cabang HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa dalam nilai parameter Paket keamanan tambahkan baris tspkg;
  3. Setelah melakukan perubahan ini, komputer harus dihidupkan ulang.

Setelah menyelesaikan semua manipulasi, komputer dengan Windows XP SP3 harus terhubung melalui rdp ke terminal farm pada Windows Server 2016/2012 R2 atau Windows 10. Namun, Anda tidak dapat menyimpan kata sandi untuk koneksi RDP pada klien Windows XP (Anda harus memasukkan kata sandi setiap kali menghubungkan).

Kiat. Secara paralel, ada masalah lain dengan mencetak melalui Easy Print. Untuk komputer dengan Windows XP untuk dapat mencetak ke RDS 2012 menggunakan Easy Print, klien harus memenuhi persyaratan berikut: OS - Windows XP SP3, versi klien rdp setidaknya 6.1, .NET Framework 3.5 (cara mengetahui versi NET Framework).

CredSSP enkripsi oracle remediation error

Pada 2018, kerentanan serius ditemukan dalam protokol CredSSP (buletin CVE-2018-0886), yang diperbaiki dalam pembaruan keamanan Microsoft. Pada Mei 2018, MSFT merilis pembaruan tambahan yang melarang klien terhubung ke komputer dan server RDP dengan versi CredSSP yang rentan (lihat artikel: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka- credssp-enkripsi-oracle-remediasi /). Saat menyambung ke komputer jarak jauh melalui RDP, kesalahan muncul Kesalahan otentikasi telah terjadi. Fungsi yang ditentukan tidak didukung..

Karena fakta bahwa Microsoft tidak merilis pembaruan keamanan untuk Windows XP dan Windows Server 2003, Anda tidak akan dapat terhubung ke versi Windows yang didukung dari OS ini..

Untuk mengaktifkan konektivitas RDP dari Windows XP untuk memperbarui Windows 10 / 8.1 / 7 dan Windows Server 2016 / 2012R2 / 2012/2008 R2, Anda harus mengaktifkan kebijakan di sisi server RDP Enkripsi Oracle Remediasi / Perbaiki untuk kerentanan enkripsi oracle (Komputer Konfigurasi -> Administratif Templat -> Sistem -> Kredensial Delegasi / Konfigurasi Komputer -> Template Administratif -> Sistem -> Kredensial Transfer) dengan nilai Dimitigasi, yang, seperti yang Anda pahami, tidak aman.

Kiat. Untuk Windows XP (versi yang disebut Windows Embedded POSReady 2009) sebenarnya ada pembaruan terpisah untuk kerentanan eksekusi kode jarak jauh CredSSP - https://support.microsoft.com/en-us/help/4056564 (WindowsXP-KB4056564-x86-Embedded- ENU.exe) dan secara teori, dimungkinkan untuk menginstal pembaruan untuk Embedded POSReady pada versi reguler Windows XP x86 dan Windows Server 2003.