blog 電腦

[技術] Windows 10 CredSSP 重大更新,遠端桌面無法直接登入?

Windows 10的強迫升級讓用戶反彈,常常因更新而導致一些意外狀況,甚至外出工作開起電腦突然來個升級重開機,真是造成大家的不便,果然 Windows 五月CredSSP更新造成大量IT人員在遠端的時候出現驗證錯誤,或許CredSSP版本中存在遠 端執行程式碼弱點,只要Server / Client 端都更新對應的KB後就可以,但隨便就更新伺服器真的是很頭大的問題,為了讓遠端桌面運作正常,所以將自己的client端電腦「關閉遠端oracle驗證」來解決問題。

Windows 10裡面的「Windows Update」自動更新功能無法關閉,真是相當討人厭,在「如何防止Windows 10的強迫自動更新動作」文章中有描述多種方法,不過筆者都是使用「Windows Update Blocker」小工具,要一鍵即可關閉Windows的自動更新。不過關閉更新有其安全性上的疑慮,更新與不更新兩難,微軟真的是讓人又恨又愛啊!

最近5月份的CVE-2018-0886 的 CredSSP 更新主要是修補的 CredSSP 版本中存在遠端執行程式碼弱點,因為「認證安全性支援提供者」通訊協定 (CredSSP) 是扮演著驗證提供者的角色,就是負責處理應用程式的驗證要求,許多駭客利用這個弱點來轉送使用者認證,所以更新以解決此易受攻擊的弱點。不過一更新,遠端桌面變出現”驗證錯誤”無法連線,怎麼辦?

當然伺服器主機也更新就能解決,問題主機更新風險大,且前端電腦也未必有權限可以更新,所以在client端電腦”關閉遠端oracle驗證”是目前解決問題的方式之一,所以使用群組原則編輯器修改,請先開按下〔Win〕+〔R〕並輸入「gpedit.msc」並下〔確定〕。

進入「電腦設定」→「系統」→「系統管理範本」→「系統」→「認證委派」畫面上,開啟「加密Oracle補教措失」。

預設值是尚未設定,所以點選「已啟用」,並在保護層級上指定「易受攻擊」,最後按下〔套用〕後再按〔確定〕。

在此遠端桌面連線看看,已經可以看到認證的視窗了。再次強調,最佳解還是伺服器與前端都更新CredSSP漏洞以防資安風險,利用前端電腦關閉「加密Oracle補教措失」會有風險的。

Facebook Comments

發表迴響