Весной 2018 года пользователи Windows начали сталкиваться с ошибкой, которая ранее практически не встречалась.
Вскоре выяснилось, что сообщение «Еncryption oracle remediations» возникало при попытке осуществить соединение клиентского ПК с удалённой машиной, и происходило это при следующих обстоятельствах:
Рассмотрим причины возникновения ошибки и как можно исправить ситуацию.
Итак, мы уже знаем, что на многих версиях Виндовс (серверных вариантов 2016/2012/2008, за исключением 2013, а также клиентских, начиная с 7) без установленных кумулятивных патчей, если вы пытаетесь осуществить соединение с удалённым ПК по RDS/RDP, может возникнуть проблема Remote Desktop connection.
Именно тогда Microsoft начала распространять обновление, направленное на защиту выявленной уязвимости протокола CredSSP, грозящей вероятностью удалённого выполнения кода злоумышленниками. Технические детали проблемы достаточно подробно приведены в бюллетене CVE2018-0886. Спустя два месяца вышло ещё одно обновление, вводившее по умолчанию запрет на возможность клиентской машины Windows связываться с удалённым сервером, если на нём версия протокола CredSSP не была пропатчена мартовским обновлением.
То есть если у вас стоит клиентская Windows с вовремя установленными майскими обновлениями, а вы совершаете попытку соединиться с удалёнными серверами, на которых, начиная с весны 2018 года, не производилась установка кумулятивных обновлений безопасности, такие попытки будут заканчиваться аварийно. При этом клиентская машина получит сообщение о невозможности выполнить удалённое подключение вида CredSSP.
- для серверной версии 2008 R2 и «семёрки» — KB4103718;
- для WS 2016 — KB4103723;
- для WS 2012 R2 и Windows 8.1 — KB4103725;
- для «десятки» сборки 1803 — KB4103721;
- для Windows 10 сборки 1609 — KB4103723;
- для «десятки» сборки 1703 — KB4103731;
- для W10 build 1709 — KB4103727.
В частности, для поиска обновлений для своего компьютера, на котором установлена «десятка» сборки 1803, за май 2020 года поисковый запрос должен иметь следующий вид: windows 10 1803 5/*/2020.
Существует два пути выхода из сложившейся ситуации. Как нетрудно догадаться, один из них — удаление обновлений безопасности на клиентском компьютере, установленных после марта 2018 года. Разумеется, такой шаг считается весьма рискованным и настоятельно не рекомендуется, поскольку имеются другие варианты решения проблемы. Но он — самый простой в исполнении, и его можно использовать для однократной попытки доступа к удалённой машине.
Один из них — отключить (одноразово) процедуру проверку версии CredSSP на удалённом ПК во время попытки соединения по RDP. В этом случае вы остаётесь защищёнными, патчи остаются установленными, риск есть только во время сеанса связи.
- запускаем в консоли «Выполнить» gpedit.msc (встроенный редактор локальных GPO);
- переходим во вкладку Computer Configuration, выбираем пункт Administrative Templates, затем идём во вкладку System, далее — в Credentials Delegation. На русифицированной Виндовс полный путь будет выглядеть следующим образом: вкладка "Конфигурация компьютера"/вкладка "Административные шаблоны«/пункт меню «Система»/ вкладка «Передача учётных данных»;
- в списке политик ищем строку Encryption Oracle Remediation, кликаем на ней и включаем селектор политики в положение Enabled/"Включено«, выбрав в появившемся списке строку Vulnerable (Оставить уязвимость);
- запускаем через консоль «Выполнить» команду gpupdate /force (принудительное обновление политик), завершив процедуру отключения уведомлений редактирования локальной групповой политики;
- пробуем подключиться к удалённой машине.
Рассмотрим, как работает политика EOR. Она имеет три уровня защиты от уязвимостей протокола CredSSP при отсутствии патчей:
Отметим, что на некоторых клиентских машинах (например, домашней версии Виндовс) редактор локальных политик в сборку не включён. В этом случае внесение изменений, позволяющих связываться с удалёнными машинами без пропатченных обновлений на серверной стороне, вносится вручную правкой реестра.
REG ADD HKML\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Эту процедуру можно применить ко всем рабочим станциям, используя доменную GPO (консольный запуск — gpmc.msc), а можно применить скрипт PowerShell (чтобы получить перечень рабочих станций, принадлежащих данному домену, можно воспользоваться командлетом Get-ADComputer, входящим в состав RSAT-AD-PowerShell) следующего содержания:
Но чтобы избежать лишнего риска, необходимо сразу после подключения к удаленной машине при наличии соответствующих прав установить актуальные обновления, используя службу Windows Update (она должна быть включена). Эту операцию можно выполнить вручную, скачав свежие кумулятивные обновления и выполнив их установку в соответствии с указанным ранее алгоритмом.
Мы не упомянули ещё об одном сценарии возникновения ошибочного сообщения «Еncryption oracle remediation» — когда с удалённым сервером всё в порядке, а непропатченным оказывается клиентский компьютер. Она будет возникать, если на удалённой машине активирована политика, блокирующая попытки установления связи с непропатченными клиентскими ПК.
gwmi win32_quickfixengineering |sort installed on -desk
Если дата достаточно старая (необязательно до марта 2018 года), установите самое свежее кумулятивное обновление для вашей версии Windows.
