이것은 CredSSP 암호화 또는 수정 치료-Windows 10 Pro 호스트에 대한 RDP 때문일 수 있습니다


47

오류

2018 년 5 월 Windows 보안 업데이트에 따라 Windows 10 Pro 워크 스테이션으로 RDP를 시도하면 사용자 자격 증명을 성공적으로 입력 한 후 다음 오류 메시지가 표시됩니다.

인증 오류가 발생했습니다. 요청한 기능이 지원되지 않습니다.

CredSSP 암호화 또는 수정 치료 때문일 수 있습니다.

스크린 샷

여기에 이미지 설명을 입력하십시오

디버깅

  • 사용자 자격 증명이 올바른지 확인했습니다.

  • 워크 스테이션을 재부팅했습니다.

  • prem 디렉토리 서비스에서 작동하는지 확인했습니다.

  • 5 월 보안 패치를 적용하지 않은 격리 된 워크 스테이션은 영향을받지 않습니다.

그러나 클라우드 기반 서버 액세스에 관심이있는 Perm 호스트를 위해 임시로 관리 할 수 ​​있습니다. 아직 Server 2016에서 발생하지 않았습니다.

감사합니다

답변:


20

Graham Cuthbert의 답변을 전적으로 바탕 으로 메모장에서 텍스트 파일을 다음 줄로 작성하고 나중에 두 번 클릭했습니다 (파일의 매개 변수가 무엇이든 Windows 레지스트리에 추가해야 함).

첫 번째 줄은 사용중인 Windows 버전에 따라 달라 지므로 첫 번째 줄 regedit의 내용을보고 파일에서 동일한 버전을 사용하기 위해 규칙 을 열고 내보내는 것이 좋습니다 .

또한 암호화 된 VPN에 연결하고 호스트 Windows가 인터넷에 액세스 할 수 없으므로 최신 업데이트가 없기 때문에이 특정 상황에서 보안 저하에 대해 걱정하지 않습니다.

파일 rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

관리자 권한 명령 프롬프트에 쉽게 복사 / 붙여 넣기를 원하는 사람들을 위해 :

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

1
시작 및 실행하는 가장 빠른 임시 방법 인 Windows 10의 홈 에디션이 있습니다.
ahmad molaie

1
이 REG 파일을 클라이언트 나 서버에서 가져와야합니까?
nivs1978

@ nivs1978에서이 파일은 클라이언트에 최신 업데이트가 있고 서버에없는 것으로 가정하여 클라이언트 측에서 사용됩니다. 따라서 기본적으로 가장 업데이트 된 클라이언트가 최근에 업데이트되지 않은 서버에 연결할 수 있습니다.
Rodriguez

감사! Win 10 Home을 사용하고 있습니다. 나는이 문제를 10 번 만든 승리 업데이트를 제거했으며 MS는 그러한 문제를 막을 수있는 모든 일을하고 있음에도 불구하고 계속 되돌려 놓았습니다. 이 버전의 Windows에는 정책 편집기가 없거나 존중되지 않습니다. 내가 읽은 문서와 존재하지 않는 문서마다 이러한 reg 키를 찾았으므로 작동하지 않을 것이라고 생각했습니다. 그러나 어쨌든 귀하의 reg 파일을 실행하려고했는데 매력처럼 문제가 해결되었습니다!
BuvinJ

16

CredSSP (Credential Security Support Provider) 프로토콜은 다른 응용 프로그램에 대한 인증 요청을 처리하는 인증 공급자입니다.

패치되지 않은 CredSSP 버전에는 원격 코드 실행 취약점이 존재합니다. 이 취약점을 성공적으로 악용 한 공격자는 대상 시스템에서 코드를 실행하기 위해 사용자 자격 증명을 릴레이 할 수 있습니다. 인증을 위해 CredSSP에 의존하는 모든 응용 프로그램은이 유형의 공격에 취약 할 수 있습니다.

[...]

2018 년 3 월 13 일

2018 년 3 월 13 일 초기 릴리스는 영향을받는 모든 플랫폼에 대한 CredSSP 인증 프로토콜 및 원격 데스크톱 클라이언트를 업데이트합니다.

완화는 모든 적격 클라이언트 및 서버 운영 체제에 업데이트를 설치 한 다음 포함 된 그룹 정책 설정 또는 레지스트리 기반 등가물을 사용하여 클라이언트 및 서버 컴퓨터의 설정 옵션을 관리하는 것으로 구성됩니다. 관리자는 정책을 적용하고 가능한 한 빨리 클라이언트 및 서버 컴퓨터에서 "강제 업데이트 된 클라이언트"또는 "완화"로 설정하는 것이 좋습니다. 이러한 변경 사항은 영향을받는 시스템을 재부팅해야합니다.

이 문서 뒷부분의 호환성 표에서 클라이언트와 서버 간의 "차단 된"상호 작용을 초래하는 그룹 정책 또는 레지스트리 설정 쌍에주의를 기울이십시오.

2018 년 4 월 17 일

KB 4093120의 RDP (원격 데스크톱 클라이언트) 업데이트 업데이트는 업데이트 된 클라이언트가 업데이트되지 않은 서버에 연결하지 못한 경우 표시되는 오류 메시지를 향상시킵니다.

2018 년 5 월 8 일

기본 설정을 취약점에서 완화로 변경하는 업데이트.

출처 : https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

이 레딧 스레드를 참조하십시오 : https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Microsoft의 해결 방법 :

  • 서버 및 클라이언트를 업데이트하십시오. (다시 시작해야 함, 권장)

서버를 공개적으로 사용할 수 있거나 내부 네트워크에 엄격한 트래픽 제어 기능이 없지만 작업 시간에 RDP 서버를 다시 시작하는 것은 바람직하지 않습니다.

  • GPO 또는 레지스트리를 통해 CredSSP 패치 정책을 설정하십시오. (다시 시작 또는 gpupdate / force 필요)
  • KB4103727 제거 (다시 시작할 필요 없음)
  • NLA (Network Layer Authentication)를 비활성화해도 효과가 있다고 생각합니다. (다시 시작할 필요가 없습니다)

사용할 때의 위험을 이해하고 최대한 빨리 시스템을 패치하십시오.

[1] 모든 GPO CredSSP 설명 및 레지스트리 수정이 여기에 설명되어 있습니다.

[2] Microsoft 사이트가 다운 될 경우의 GPO 및 레지스트리 설정 예.


그래요 :) Windows 7, Windows 8.1, Windows 10 및 Server 2016이 내 환경에 영향을 줄 수 있다고 말할 수 있습니다. 지원되는 모든 Windows 버전을 패치해야합니다.
Michal Sokolowski

3
대상 서버에서 NLA 비활성화를 확인하면 임시 해결 방법으로 작동합니다.
Ketura

누구든지 이것을 확인하는 편리한 PS (Powershell) 스크립트가 있습니까? 서버와 클라이언트에서?
Tilo

서버의 RDP가 업데이트되고 클라이언트가 업데이트되지 않았거나 업데이트 된 클라이언트가 아니고 서버가 업데이트되지 않았기 때문에이 오류가 발생합니까?
nivs1978

@ nivs1978, AFAIR, 두 시나리오 모두 동일한 증상을 나타냅니다.
Michal Sokolowski

7
  1. "로컬 그룹 정책 편집기> 관리 템플릿> 시스템> 자격 증명 위임> 암호화 Oracle 수정"으로 이동하여 편집하고 활성화 한 다음 "보호 수준"을 "완화"로 설정하십시오.
  2. 등록 키 설정 (00000001 ~ 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters] "AllowEncryptionOracle"= dword :
  3. 필요한 경우 시스템을 다시 시작하십시오.

나는 그것을 활성화하고 취약점으로 설정하는 것을 제외하고 첫 번째 단계를 사용했습니다. 그럼 내가 네트워크의 W7 기계에 내 W10을 RDP 할 수 있었다
seizethecarp

나는 당신이 언급하고 일 한대로했습니다! 클라이언트 W10 및 서버 WS2012 R2 감사!
Phi

4

연구

이 기사를 참조하십시오 :

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

조직 내에서 원격 호스트 RDP 세션 연결을 설정하는 기능에 영향을 줄 수있는 2018 년 5 월 임시 업데이트. 로컬 클라이언트와 원격 호스트가 CredSSP를 사용하여 RDP 세션을 작성하는 방법을 정의하는 레지스트리 내에서 "암호화 Oracle 수정"설정이 다른 경우이 문제가 발생할 수 있습니다. "암호화 Oracle 치료"설정 옵션은 아래에 정의되어 있으며 서버 또는 클라이언트가 보안 RDP 세션 설정에 대한 기대치가 다른 경우 연결이 차단 될 수 있습니다.

잠정적으로 2018 년 5 월 8 일에 출시 될 예정인 두 번째 업데이트는 기본 동작을 "취약성"에서 "완화됨"으로 변경합니다.

클라이언트와 서버가 모두 패치되어 있지만 기본 정책 설정이 "취약점"으로 남아있는 경우 RDP 연결은 "취약점"으로 공격합니다. 기본 설정이 "완화됨"으로 수정되면 연결은 기본적으로 "보안"이됩니다.

해결

이 정보를 바탕으로 모든 클라이언트가 완전히 패치되도록 진행 중이며 문제가 완화 될 것으로 기대합니다.


4

Windows 10 컴퓨터에 레지스트리 값이 없습니다. 다음 로컬 그룹 정책으로 이동하여 클라이언트에 변경 사항을 적용해야했습니다.

컴퓨터 구성-> 관리 템플릿-> 시스템-> 자격 증명 위임-암호화 Oracle 수정

활성화하고 값으로 설정 vulnerable.


이 W10 내 네트워크에있는 W7 컴퓨터에 연결하는 나를 위해 일한
seizethecarp

3

이러한 종류의 스크립트 대신 클라이언트를 업데이트하여 오류를 무시하는 것이 좋지만 사용자가 위험을 감수하면 클라이언트에서이 작업을 수행 할 수 있으며 클라이언트 PC를 다시 시작할 필요가 없습니다. 또한 서버에서 아무것도 변경할 필요가 없습니다.

  1. 를 열고을 Run입력 한 gpedit.msc후 클릭하십시오 OK.
  2. 을 확장하십시오 Administrative Templates.
  3. 을 확장하십시오 System.
  4. 를 엽니 다 Credentials Delegation.
  5. 오른쪽 패널에서을 두 번 클릭하십시오 Encryption Oracle Remediation.
  6. 를 선택하십시오 Enable.
  7. 목록 Vulnerable에서 선택 Protection Level하십시오.

이 정책 설정은 CredSSP 구성 요소를 사용하는 응용 프로그램 (예 : 원격 데스크톱 연결)에 적용됩니다.

CredSSP 프로토콜의 일부 버전은 클라이언트에 대한 암호화 오라클 공격에 취약합니다. 이 정책은 취약한 클라이언트 및 서버와의 호환성을 제어합니다. 이 정책을 통해 암호화 오라클 취약점에 대한 원하는 보호 수준을 설정할 수 있습니다.

이 정책 설정을 사용하면 다음 옵션을 기반으로 CredSSP 버전 지원이 선택됩니다.

강제 업데이트 클라이언트 : CredSSP를 사용하는 클라이언트 응용 프로그램은 안전하지 않은 버전으로 대체 할 수 없으며 CredSSP를 사용하는 서비스는 패치되지 않은 클라이언트를 허용하지 않습니다. 참고 : 모든 원격 호스트가 최신 버전을 지원할 때까지이 설정을 배포해서는 안됩니다.

완화 : CredSSP를 사용하는 클라이언트 응용 프로그램은 안전하지 않은 버전으로 대체 할 수 없지만 CredSSP를 사용하는 서비스는 패치되지 않은 클라이언트를 허용합니다. 패치되지 않은 클라이언트가 남아있을 때 발생하는 위험에 대한 중요한 정보는 아래 링크를 참조하십시오.

취약성 : CredSSP를 사용하는 클라이언트 응용 프로그램은 안전하지 않은 버전으로의 폴백을 지원하여 원격 서버를 공격에 노출시키고 CredSSP를 사용하는 서비스는 패치되지 않은 클라이언트를 허용합니다.

  1. 적용을 클릭하십시오.
  2. 확인을 클릭하십시오.
  3. 끝난.

여기에 이미지 설명을 입력하십시오 참고


사람들이 "취약성"이라는 옵션을 클릭하는 것이 좋습니다. IT는 단지 좋은 스크립트를 제공하는 대신 그 결과가 무엇인지 설명하는 것이 좋습니다.
법 29

@ Law29 당신 말이 맞아요!
AVB

0

이 사람은 정확한 문제에 대한 해결책을 가지고 있습니다.

기본적으로 GPO 설정을 변경하고 강제로 업데이트해야합니다. 그러나 이러한 변경 사항을 적용하려면 재부팅이 필요합니다.

  1. 새로 업데이트 된 시스템에서이 두 파일을 복사하십시오.

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Did 2018 년 2 월)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (2018 년 2 월 1 일 – 로컬 폴더가 다를 수 있습니다 (예 : en-GB))
  2. DC에서 다음으로 이동하십시오.

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • 현재의 이름 CredSsp.admxCredSsp.admx.old
    • CredSsp.admx이 폴더에 새 폴더를 복사하십시오 .
  3. 동일한 DC에서 다음으로 이동하십시오.

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (또는 현지 언어)
    • 현재의 이름 CredSsp.admlCredSsp.adml.old
    • CredSsp.adml파일을이 폴더로 복사하십시오 .
  4. 그룹 정책을 다시 시도하십시오.

https://www.petenetlive.com/KB/Article/0001433


0

다른 사람들이 말했듯이, 이것은 Microsoft가 출시 한 3 월 패치 때문입니다. 그들은 실제로 3 월 패치를 시행하는 5 월 8 일 패치를 발표했습니다. 따라서 May 패치를받은 워크 스테이션이 있고 March 패치를받지 않은 서버에 연결하려고하면 스크린 샷에 오류 메시지가 표시됩니다.

해결 3 월 패치를 갖도록 서버를 실제로 패치하려고합니다. 그렇지 않으면 그 동안 그룹 정책 또는 레지스트리 편집을 적용 할 수 있습니다.

이 문서에서 자세한 지침을 읽을 수 있습니다. 인증 오류 기능을 지원하지 않는 방법 CredSSP 오류 RDP

ADMX 및 ADML 파일의 사본을 찾아야 할 경우를 대비하여 찾을 수도 있습니다.


0

나는 같은 문제를 겪었다. 클라이언트는 Win7에 있고 RDS 서버는 2012R2이며 "2018-05 보안 월별 품질 롤업 업데이트 (kb4019264)"를 받았습니다. 그것을 모두 제거한 후, 모두 잘하십시오.


0

1 월에 일부 컴퓨터에서 Windows Update (도메인에서 로컬 WSUS를 실행)가 중지 된 것을 발견했습니다. 이전 패치로 인해 문제가 발생했다고 생각합니다 (기계가 오래되었다고 불평하지만 Jan 패치가 설치되지 않았다고 생각합니다). 1803 업데이트로 인해 MS의 Windows Update를 직접 사용하여 문제를 해결할 수는 없었습니다 (어떤 이유로 시간이 초과되어 업데이트가 실행되지 않음).

컴퓨터를 버전 1803으로 패치하면 수정 사항이 포함되어 있음을 확인할 수 있습니다. 이 문제를 해결하기위한 빠른 경로가 필요한 경우 Windows Update Assistant (업데이트라고하는 맨 위 링크)를 사용하여 직접 업데이트를 수행했습니다 (어떤 이유로 Windows Update보다 안정적으로 보임).


이 링크를 통해 Windows 10 ISO를 다운로드 할 수 있습니다. 그게 당신이 연결하려는 것입니까?
Michael Hampton

@MichaelHampton 하단 링크는 ISO 도구 용입니다. 지금 업데이트 링크는 업데이트 지원을위한
Machavity

0

최신 보안 업데이트 KB410731을 제거했으며 빌드 1709 이하에서 Window 10 컴퓨터와 연결할 수있었습니다. PC의 경우 빌드 1803으로 업그레이드하여 KB4103731을 제거하지 않고 문제를 해결했습니다.


0

간단히, Network Level Authentication원격 데스크톱 에서 비활성화하십시오 . 다음 이미지를 확인하십시오.

여기에 이미지 설명을 입력하십시오


0

관리자 권한으로 PowerShell을 열고 다음 명령을 실행하십시오.

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

지금 서버에 연결하십시오. 작동합니다.


0

나는 여기 에 답을 찾았 으므로 내 자신의 것으로 주장 할 수는 없지만 레지스트리에 다음 키를 추가하고 다시 시작하면 해결되었습니다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

6
즉, Oracle 암호 해독 치료를 시행하지 않는 모든 서버와의 통신이 다운 그레이드되고 암호 해독 될 수 있습니다. 따라서 당신은 위험에 처하게됩니다. 현재 credSSP가 업그레이드 된 서버조차도 기본적으로 다운 그레이드 된 클라이언트를 거부하지 않으므로 클라이언트가이 문제에 대한 최신 정보라도 사실상 모든 원격 데스크톱 세션이 위험에 처하게됩니다!
user188737

1
이 레지스트리 변경은 권장되지 않습니다.
spuder
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.