Kako rešiti problem šifrirnih napak CrewSsp

Spomladi 2018 so se uporabniki sistema Windows začeli soočiti z napako, ki se prej niso srečala.

Kmalu je postalo jasno, da se je pri poskusu povezave odjemalskega računalnika z oddaljenim strojem pojavilo sporočilo "šifriranje oracle", in to se je zgodilo v naslednjih okoliščinah:

• Povezava z oddaljenim strojem se izvede iz računalnika, na katerem je bil nedavno nameščen relativno stari Windows (Server 2012, "Ten" Assembly 1803 in spodaj, Server 2016), saj ni varnostnih posodobitev, ki so bile objavljene pozneje;
• Povezava se pojavi na strežniku, kjer manjkajo zgoraj omenjene posodobitve;
• Pri povezovanju so sredstva vgrajene -in RDP protokola zaklenjena z oddaljenim računalnikom zaradi pomanjkanja potrebnega popravka na odjemalskem stroju.

Razmislite o vzrokih napake in kako popraviti situacijo.

Zakaj je napaka CrewSSP

Torej že vemo, da na številnih različicah Windows (Server Možnosti 2016/2012/2008, z izjemo 2013, pa tudi odjemalci, začenši s 7) brez nameščenih kumulativnih popravkov, če se poskušate povezati z oddaljenim računalnikom Z RDS/RDP se lahko pojavi problem oddaljene namizne povezave.

Z drugimi besedami, z oddaljeno povezavo z računalnikom med postopkom overjanja šifriranja je prišlo do napake v kredita. To je zato, ker eden od avtomobilov (odjemalec ali daljinec) ni namestil ustreznih posodobitev, ki so bile objavljene po marcu 2018.

Takrat je Microsoft začel distribuirati posodobitev, katerih namen je zaščititi identificirano ranljivost protokola CrewSSP, ki je ogrožala verjetnost daljinskega izvajanja kode napadalcev. Tehnične podrobnosti težave so dovolj podrobno v Biltenu CVE2018-0886. Dva meseca pozneje je bila izdana še ena posodobitev, ki je privzeto predstavila prepoved možnosti, da se strojni stroj Windows obrne na oddaljeni strežnik, če ima različico protokola CrewSSSP.

To pomeni, da če imate odjemalska okna s časom, ko se lahko pravočasno posodobijo, in se poskušate povezati z oddaljenimi strežniki, na katerih se od spomladi leta 2018 ni bilo varnostnih posodobitev, takšni poskusi se bodo končali v zavrnitvi. Obenem bo odjemalski stroj prejel sporočilo o nemožnosti izvajanja oddaljene povezave vrste CrewSSP.

Razlog za napako je torej lahko popravek razvijalcev protokola za šifriranje CrewSSP, ki se je pojavil kot rezultat izdaje naslednjih posodobitev:

• za strežniško različico 2008 R2 in "Seven" - KB4103718;
• za WS 2016 - KB4103723;
• za WS 2012 R2 in Windows 8.1 - KB4103725;
• za "desetine" skupščine 1803 - KB4103721;
• za Windows 10 Skupščina 1609 - KB4103723;
• Za "desetine" skupščine 1703 - KB4103731;
• za W10 Build 1709 - KB4103727.

Navedeni seznam kaže na število posodobitev, objavljenih maja 2018. To operacijo je mogoče izvesti na več načinov. Na primer, na podlagi storitve Windows Update, ki temelji na strežnikih za razvijalce, ali z uporabo lokalnega strežnika WSUS. Končno lahko ročno prenesete potrebne varnostne vzorce prek Microsoftovega kataloga posodobitve (to je katalog posodobitve Vindodes).

Zlasti za iskanje posodobitev za vaš računalnik, na kateri je nameščen "ducat" sklopa 1803.

Načine za reševanje problema

Iz te situacije sta dva načina. Kot je enostavno uganiti, je ena od njih odstranitev varnostnih posodobitev na odjemalskem računalniku, nameščenem po marcu 2018. Seveda se takšen korak šteje za zelo tvegan in ga močno ne priporoča, saj obstajajo druge rešitve za problem. Vendar ga je najlažje izvesti in ga je mogoče uporabiti za enkratni poskus dostopa do oddaljenega stroja.

Zdaj pa razmislimo.

Eden od njih je onemogočiti (za enkratno uporabo) postopek za preverjanje različice CrewSSP na oddaljenem računalniku med poskusom povezave z RDP. V tem primeru ste še vedno zaščiteni, obliži ostanejo uveljavljeni, tveganje obstaja le med komunikacijsko sejo.

Algoritem dejanj:

• Zaženemo v konzoli "Izvajanje" GPEDIT.MSC (vgrajen -in urejevalnik lokalnega GPO);
• Gremo na zavihek Računalniško konfiguracijo, izberemo postavko Upravljene predloge in nato na zavihek System, nato pa - na poverilnice Delegacija. Na Russied Windows bo celotna pot videti na naslednji način: "Konfiguracija računalnika"/zavihek "Upravni predloge"/Zavihek Meni System Menu
• Na seznamu politika iščemo linijo za sanacijo šifriranja Oracle, kliknite nanjo in vklopite selektorja politika v omogočenem/"vključujočem" položaju, pri čemer izberemo ranljivo linijo (pustite ranljivost) na seznamu, ki se pojavi);
• Skozi konzolo zaženemo, da "izvedemo" ukaz gpupdate /sil (prisilno posodabljanje politika) in zaključimo postopek za prekinitev obvestil o urejanju urejanja lokalne skupinske politike;
• Poskusite se povezati z oddaljenim strojem.

Izklop pravilnika o šifripcijskemORaclemeneMedion bo vaš računalnik omogočil, da se poveže tudi z nestabilnimi oddaljenimi računalniki in strežniki brez svežih varnostnih posodobitev.

Pozornost. Spomnimo se, da ta način odpravljanja napak v šifriranju CrewSSP v sistemu Windows ni priporočljiva za stalno uporabo. Bolje je, da skrbnika o oddaljenem stroju obvestite o problemu neskladnosti šifrirnih protokolov za namestitev ustreznih posodobitev.

Razmislite, kako deluje politika EOR. Ima tri stopnje zaščite pred ranljivostmi protokola CrewSSP, če ni popravkov:

1. Force posodobljene Klanske - osnovna raven zaščite, popolna prepoved povezovanja s oddaljenega stroja za povezovanje odjemalskih osebnih računalnikov brez nameščenih posodobitev. Praviloma se ta pravilnik aktivira po popolni posodobitvi znotraj celotne omrežne infrastrukture, torej po namestitvi svežih posodobitev na vse omrežne postaje, povezane z omrežjem, vključno s strežniki, na katere se izvaja oddaljena povezava.
2. Zmanjšano - Ta raven zaščite blokira kakršne koli poskuse povezave s strežniki, na katerih protokol CrewSSP ni ustrezen. Hkrati na vse druge storitve CrewSSP ne vplivajo.
3. Ranljiva - najmanjša raven je prišita, kar odstrani prepoved oddaljenega dostopa do stroja RDP, če obstaja ranljiva različica CrewSSSP.

Upoštevajte, da urednik lokalnega politika v skupščini ni vključen v nekatere odjemalske avtomobile (na primer domača različica sistema Windows). V tem primeru se spremembe, ki omogočajo, da se vključite v oddaljene stroje, brez dolgotrajnih posodobitev na strani strežnika ročno izvedete z urejanjem registra.

Če želite to narediti, v konzolo predstavite črto:

Reg Dodaj HKML \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CrewSSP \ Parameters /v AlefEncrypypteracle /t reg_dword /d 2

Ta postopek lahko uporabimo za vse delovne postaje z uporabo domene GPO (konzola za zagon - GPMC.MSC), ali pa lahko uporabite skript PowerShell (če želite dobiti seznam delovnih postaj, ki pripadajo tej domeni, lahko uporabite ukaz Get-Dcomputer, ki je del RSAT-Op-owershell) po naslednji vsebini:

Uvozni modul Actinedirectory
$ Pss = (get -dcomputer -filter *).DnsHostName
Foreach ($ računalnik v $ pcs)
Invoke -Command -ComputName $ Computer -scriptBlock
Reg Dodaj HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CrewSSP \ Parameters /v AlefEncrypypteracle /t reg_dword /d 2

Da pa se izognete nepotrebnemu tveganju, je potrebno takoj po priključitvi z oddaljenim strojem, če obstajajo ustrezne pravice do nastavitve trenutnih posodobitev s pomočjo sistema Windows Update (vklopiti ga je treba). To operacijo je mogoče izvesti ročno s prenosom svežih kumulativnih posodobitev in opravljanjem njihove namestitve v skladu z prej določenim algoritmom.

Če želite popraviti napako v šifriranju CrewSSP v sistemu Windows XP/Server 2003, ki trenutno niso podprti, vendar morajo zaradi določenih okoliščin vsi ti stroji prebiti vdelani Poscoody 2009.

Pomembno. Po uspešnem poskusu stika s strežnikom, namestitvi kumulativnih popravkov na njem in ponovnem zagonu strežnika, ne pozabite izpolniti obratnih preobrazb v pravilniku odjemalca in nastavite vrednost v pravilniku ForceUpdated Clints v privzeti 2 do vira 0. Tako boste svoj računalnik znova zaščitili pred ranljivostmi, ki so povezane s povezavo URDP, s čimer boste naredili korekcijo šifriranja CrewSSP.

Nismo omenili drugega scenarija napačnega sporočila "šifriranje oracle Remedion" - ko je z oddaljenim strežnikom vse v redu, in odjemalski računalnik se izkaže za nezdružljiv. Pojavi se, če je na oddaljenem stroju aktiviran pravilnik, ki blokira poskuse vzpostavitve povezave z vključenimi osebnimi osebnimi računalniki.

V tem primeru ni treba izbrisati varnostnih posodobitev stranke. Če imate neuspešen poskus, da se obrnete na strežnik, preverite, kdaj je zadnjič prišlo. Preverite lahko preverjanje uporabe modula PSWindowsUpdate in tako, da izpolnite ukaz v konzoli:

GWMI Win32_QuickfixEngineering | Razvrsti nameščen na -Desk

Če je datum precej star (neobvezno do marca 2018), namestite najnovejšo kumulativno posodobitev za svojo različico sistema Windows.