এরর

উইন্ডোজ সুরক্ষা আপডেটগুলি অনুসরণ করে মে 2018-তে, যখন কোনও উইন্ডোজ 10 প্রো ওয়ার্কস্টেশনে আরডিপি করার চেষ্টা করা হয়েছে তখন নিম্নলিখিত ত্রুটি বার্তাটি সফলভাবে ব্যবহারকারীর শংসাপত্র প্রবেশের পরে প্রদর্শিত হবে:

একটি প্রমাণীকরণ ত্রুটি ঘটেছে। অনুরোধ করা ফাংশনটি সমর্থিত নয়।

এটি ক্রেডিএসএসপি এনক্রিপশন ওরাকল প্রতিকারের কারণে হতে পারে

স্ক্রিনশট

ডিবাগ

• আমরা নিশ্চিত করেছি যে ব্যবহারকারীর শংসাপত্রগুলি সঠিক।

• ওয়ার্কস্টেশন পুনরায় বুট করা।

• প্রাইম ডিরেক্টরি পরিষেবা নিশ্চিত করা কার্যকর হয়।

• মে সিকিউরিটি প্যাচ প্রয়োগ করতে এখনও বিচ্ছিন্ন ওয়ার্কস্টেশনগুলি কার্যকর হয় না।

ক্লাউড ভিত্তিক সার্ভার অ্যাক্সেস সম্পর্কে উদ্বিগ্ন পারম হোস্টের জন্য অন্তর্বর্তী সময়ে পরিচালনা করতে পারে। সার্ভার 2016 তে এখনও কোনও ঘটনা ঘটেনি।

ধন্যবাদ

গ্রাহাম কুথবার্টের জবাবের উপর ভিত্তি করে আমি নীচের লাইনগুলি দিয়ে নোটপ্যাডে একটি পাঠ্য ফাইল তৈরি করেছি এবং কেবল এটির পরে ডাবল ক্লিক করেছি (যা ফাইলের মধ্যে যে পরামিতি রয়েছে তা উইন্ডোজ রেজিস্ট্রিতে যুক্ত করা উচিত)।

কেবলমাত্র নোট করুন যে আপনি যে উইন্ডোজ সংস্করণটি ব্যবহার করছেন তার উপর নির্ভর করে প্রথম লাইনটি পরিবর্তিত হয়, তাই regeditপ্রথম লাইনে কী আছে তা দেখতে এবং আপনার ফাইলটিতে একই সংস্করণটি ব্যবহার করার জন্য কোনও নিয়ম খুলতে এবং রপ্তানি করা ভাল ধারণা হতে পারে ।

এছাড়াও, আমি এই বিশেষ পরিস্থিতিতে নিরাপত্তা হ্রাস করার বিষয়ে উদ্বিগ্ন নই কারণ আমি একটি এনক্রিপ্ট করা ভিপিএন এর সাথে সংযুক্ত হয়ে আছি এবং হোস্ট উইন্ডোজের ইন্টারনেটে অ্যাক্সেস নেই এবং সুতরাং সর্বশেষতম আপডেট নেই।

ফাইল rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

যারা উন্নত কমান্ড প্রম্পটে কোনও অনুলিপি / অনুলিপি করতে চান তাদের জন্য:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

শংসাপত্র সুরক্ষা সমর্থন সরবরাহকারী প্রোটোকল (ক্রেডিএসএসপি) এমন একটি প্রমাণীকরণ প্রদানকারী যা অন্যান্য অ্যাপ্লিকেশনগুলির জন্য প্রমাণীকরণের অনুরোধগুলি প্রসেস করে।

ক্রেডিএসএসপির অপরিবর্তিত সংস্করণগুলিতে একটি রিমোট কোড প্রয়োগের দুর্বলতা বিদ্যমান। একজন আক্রমণকারী যিনি সফলভাবে এই দুর্বলতাটিকে কাজে লাগিয়েছেন তা লক্ষ্য সিস্টেমে কোড চালানোর জন্য ব্যবহারকারীর শংসাপত্রগুলি রিলে করতে পারে। প্রমাণীকরণের জন্য ক্রেডিএসএসপির উপর নির্ভর করে যে কোনও অ্যাপ্লিকেশন এই ধরণের আক্রমণে ঝুঁকিপূর্ণ হতে পারে।

[...]

13 ই মার্চ, 2018

প্রাথমিক 13 ই মার্চ, 2018, সমস্ত প্রভাবিত প্ল্যাটফর্মের জন্য ক্রেডিএসএসপি প্রমাণীকরণ প্রোটোকল এবং রিমোট ডেস্কটপ ক্লায়েন্ট আপডেট করে।

প্রশমনটি সমস্ত যোগ্য ক্লায়েন্ট এবং সার্ভার অপারেটিং সিস্টেমগুলিতে আপডেট ইনস্টল করে এবং তারপরে ক্লায়েন্ট এবং সার্ভার কম্পিউটারগুলিতে সেটিংস বিকল্পগুলি পরিচালনা করতে অন্তর্ভুক্ত গ্রুপ নীতি সেটিংস বা রেজিস্ট্রি ভিত্তিক সমতুল্য ব্যবহার করে। আমরা পরামর্শ দিচ্ছি যে প্রশাসকরা নীতিটি প্রয়োগ করুন এবং যত তাড়াতাড়ি সম্ভব ক্লায়েন্ট এবং সার্ভার কম্পিউটারগুলিতে এটি "ক্লায়েন্ট আপডেটেড ক্লায়েন্টস" বা "মেটিগেটেড" এ সেট করুন। এই পরিবর্তনগুলির জন্য প্রভাবিত সিস্টেমগুলির পুনরায় বুট করা দরকার।

গোষ্ঠী নীতি বা রেজিস্ট্রি সেটিংস জোড়গুলির দিকে গভীর মনোযোগ দিন যার ফলস্বরূপ এই নিবন্ধের সামঞ্জস্যতা টেবিলের ক্লায়েন্ট এবং সার্ভারগুলির মধ্যে "অবরুদ্ধ" মিথস্ক্রিয়া ঘটে।

এপ্রিল 17, 2018

4093120 কেবিতে রিমোট ডেস্কটপ ক্লায়েন্ট (আরডিপি) আপডেট আপডেট যখন আপডেট হওয়া ক্লায়েন্টটি কোনও সার্ভারের সাথে সংযোগ স্থাপন করতে ব্যর্থ হয় যা আপডেট করা হয়নি তখন উপস্থিত ত্রুটি বার্তাটি বাড়িয়ে তুলবে।

8 ই মে, 2018

ডিফল্ট সেটিংটি ভ্যালনারেবল থেকে কমিয়ে পরিবর্তনের জন্য একটি আপডেট।

সূত্র: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

এই রেডডিট থ্রেডটিও দেখুন: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

মাইক্রোসফ্ট এর কার্যনির্বাহী:

• সার্ভার এবং ক্লায়েন্ট আপডেট করুন। (পুনঃসূচনা প্রয়োজন, প্রস্তাবিত)

আপনার সার্ভারটি সর্বজনীনভাবে উপলব্ধ থাকলে বা আপনার অভ্যন্তরীণ নেটওয়ার্কে কঠোর ট্র্যাফিক নিয়ন্ত্রণ না থাকলে প্রস্তাবিত কর্মক্ষেত্রগুলি প্রস্তাবিত নয়, তবে কখনও কখনও কাজের সময় RDP সার্ভারটি পুনরায় চালু করা কোনও উপায় নয় go

• জিপিও বা রেজিস্ট্রি মাধ্যমে ক্রেডিটএসপি প্যাচিং নীতি সেট করুন। (পুনঃসূচনা বা gpupdate / বল প্রয়োজন)
• KB4103727 আনইনস্টল করুন (পুনরায় আরম্ভের প্রয়োজন নেই)
• আমি মনে করি এনএলএ নিষ্ক্রিয় করা (নেটওয়ার্ক লেয়ার প্রমাণীকরণ) খুব কার্যকর হতে পারে। (পুনরায় আরম্ভের প্রয়োজন নেই)

সেগুলি ব্যবহার করার সময় ঝুঁকিগুলি বোঝার বিষয়ে নিশ্চিত হন এবং আপনার সিস্টেমে ASAP প্যাচ করুন।

[1] সমস্ত জিপিও ক্রেডিটএসপি বর্ণনা এবং রেজিস্ট্রি পরিবর্তনগুলি এখানে বর্ণিত হয়েছে।

[২] মাইক্রোসফ্টের সাইটটি নীচে যাওয়ার ক্ষেত্রে জিপিও এবং রেজিস্ট্রি সেটিংসের উদাহরণ।

1. "স্থানীয় গোষ্ঠী নীতি সম্পাদক> প্রশাসনিক টেম্পলেটস> সিস্টেম> শংসাপত্র ডেলিগেশন> এনক্রিপশন ওরাকল প্রতিকার" এ যান, সম্পাদনা করুন এবং সক্ষম করুন, তারপরে "সুরক্ষা স্তর" সেট করুন "প্রশমিত" করুন।
2. রেজিস্টার কী (00000001 থেকে শুরু করে 00000002) সেট করুন [HKEY_LOCAL_MACHINE OF সফ্টওয়্যার \ মাইক্রোসফ্ট, উইন্ডোজ \ কারেন্ট ভার্সন \ পলিসি \ সিস্টেম \ ক্রেডিএসএসপি \ পরামিতি] "অনুমতি দিন এনক্রিপশন ওরাকল" = শব্দটি:
3. প্রয়োজনে আপনার সিস্টেম পুনরায় চালু করুন।

গবেষণা

এই নিবন্ধটি উল্লেখ:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

মে 2018 এর অস্থায়ী আপডেট যা কোনও সংস্থার মধ্যে দূরবর্তী হোস্ট আরডিপি সেশন সংযোগ স্থাপনের ক্ষমতাকে প্রভাবিত করতে পারে। স্থানীয় ক্লায়েন্ট এবং দূরবর্তী হোস্টের রেজিস্ট্রিতে "এনক্রিপশন ওরাকল রেমিডিয়েশন" সেটিংসের মধ্যে পার্থক্য থাকলে এই সমস্যাটি ঘটতে পারে যা ক্রেডিএসএসপি দিয়ে আরডিপি সেশন কীভাবে তৈরি করবেন তা নির্ধারণ করে। "এনক্রিপশন ওরাকল রেমিডিয়েশন" সেটিং বিকল্পগুলি নীচে সংজ্ঞায়িত করা হয়েছে এবং সুরক্ষিত আরডিপি সেশন প্রতিষ্ঠার বিষয়ে সার্ভার বা ক্লায়েন্টের আলাদা প্রত্যাশা থাকলে সংযোগটি অবরুদ্ধ করা যেতে পারে।

দ্বিতীয় আপডেট, ative ই মে, ২০১ on তে সাময়িকভাবে প্রকাশের জন্য নির্ধারিত, ডিফল্ট আচরণটি "ক্ষতিগ্রস্থ" থেকে "প্রশমিত" করে দেবে।

যদি আপনি খেয়াল করেন যে ক্লায়েন্ট এবং সার্ভার উভয়ই প্যাচ করেছে তবে ডিফল্ট নীতি সেটিংটি "ঝুঁকিপূর্ণ" এ রেখে গেছে আরডিপি সংযোগটি আক্রমণ করার জন্য "ক্ষতিগ্রস্থ"। একবার ডিফল্ট সেটিংটি "প্রশমিত" রূপান্তরিত হলে সংযোগটি ডিফল্টভাবে "সুরক্ষিত" হয়ে যায় becomes

সমাধান

এই তথ্যের ভিত্তিতে আমি সমস্ত ক্লায়েন্টকে পুরোপুরি প্যাচ করা হয়েছে তা নিশ্চিত করতে এগিয়ে চলেছি, আমি তখন সমস্যাটি প্রশমিত হওয়ার আশা করব।

আমার উইন্ডোজ 10 মেশিনে রেজিস্ট্রি মানটি ছিল না। আমাকে নিম্নলিখিত স্থানীয় গ্রুপ নীতিতে যেতে হয়েছিল এবং আমার ক্লায়েন্টের উপর পরিবর্তনটি প্রয়োগ করতে হয়েছিল:

কম্পিউটার কনফিগারেশন -> প্রশাসনিক টেমপ্লেট -> সিস্টেম -> শংসাপত্রাদি প্রতিনিধি - এনক্রিপশন ওরাকল প্রতিকার

সক্ষম করুন এবং এর মান সেট করুন vulnerable.

এই ধরণের স্ক্রিপ্টগুলির পরিবর্তে ক্লায়েন্টকে আপডেট করার পরামর্শ দেওয়া হয়েছে কেবল ত্রুটিটি বাইপাস করার জন্য, তবে নিজের ঝুঁকিতে আপনি ক্লায়েন্টে এটি করতে পারেন এবং ক্লায়েন্ট পিসি পুনরায় আরম্ভ করার দরকার নেই। এছাড়াও সার্ভারে কোনও জিনিস পরিবর্তন করার দরকার নেই।

1. খুলুন Run, টাইপ করুন gpedit.mscএবং ক্লিক করুন OK।
2. প্রসারিত করুন Administrative Templates।
3. প্রসারিত করুন System।
4. খোলা Credentials Delegation।
5. ডান প্যানেলে ডাবল ক্লিক করুন Encryption Oracle Remediation।
6. নির্বাচন করুন Enable।
7. তালিকা Vulnerableথেকে নির্বাচন করুন Protection Level।

এই নীতি সেটিংটি ক্রেডিএসএসপি উপাদান ব্যবহার করে অ্যাপ্লিকেশনগুলিতে প্রযোজ্য (উদাহরণস্বরূপ: রিমোট ডেস্কটপ সংযোগ)।

ক্রেডিএসএসপি প্রোটোকলের কয়েকটি সংস্করণ ক্লায়েন্টের বিরুদ্ধে একটি এনক্রিপশন ওরাকল আক্রমণে ঝুঁকিপূর্ণ। এই নীতিটি দুর্বল ক্লায়েন্ট এবং সার্ভারের সাথে সামঞ্জস্যতা নিয়ন্ত্রণ করে। এই নীতি আপনাকে এনক্রিপশন ওরাকল দুর্বলতার জন্য পছন্দসই সুরক্ষা স্তর নির্ধারণ করতে দেয়।

আপনি যদি এই নীতি সেটিং সক্ষম করেন তবে ক্রেডিটএসপি সংস্করণ সমর্থন নিম্নলিখিত বিকল্পগুলির উপর ভিত্তি করে নির্বাচন করা হবে:

আপডেট ক্লায়েন্টদের জোর করে: ক্লায়েন্ট অ্যাপ্লিকেশনগুলি যা ক্রেডিএসএসপি ব্যবহার করে, ক্রেডিএসএসপি ব্যবহার করে অনিরাপদ সংস্করণ এবং পরিষেবাগুলিতে ফিরে যেতে সক্ষম হবে না তা অনুপযুক্ত ক্লায়েন্টদের গ্রহণ করবে না। দ্রষ্টব্য: সমস্ত রিমোট হোস্টগুলি নতুন সংস্করণ সমর্থন না করা পর্যন্ত এই সেটিংটি মোতায়েন করা উচিত নয়।

প্রশমিত করা: ক্লায়েন্ট অ্যাপ্লিকেশনগুলি যা ক্রেডিএসএসপি ব্যবহার করে সেগুলি অনিরাপদ সংস্করণে ফিরে যেতে সক্ষম হবে না তবে ক্রেডিএসএসপি ব্যবহার করে পরিষেবাদি আনপ্যাচড ক্লায়েন্টদের গ্রহণ করবে। অবশিষ্ট অনুপম ক্লায়েন্টদের দ্বারা উত্পন্ন ঝুঁকি সম্পর্কে গুরুত্বপূর্ণ তথ্যের জন্য নীচের লিঙ্কটি দেখুন।

ক্ষতিগ্রস্থ: ক্লায়েন্ট অ্যাপ্লিকেশনগুলি যা ক্রেডিএসএসপি ব্যবহার করে রিমোট সার্ভারগুলিকে আক্রমণগুলিতে আক্রমণে উন্মুক্ত করে ক্রেডিএসএসপি ব্যবহার করে অনিরাপদ সংস্করণগুলিতে এবং পরিষেবাগুলিতে ফিরে আসা ক্লায়েন্টদের গ্রহণ করবে accept

8. প্রয়োগ ক্লিক করুন।
9. ঠিক আছে ক্লিক করুন।
10. সম্পন্ন.

উল্লেখ

এই লোকটির আপনার সঠিক সমস্যার সমাধান রয়েছে:

মূলত - আপনাকে জিপিও সেটিংস পরিবর্তন করতে হবে এবং একটি আপডেট জোর করতে হবে। তবে এই পরিবর্তনগুলি কার্যকর হওয়ার জন্য একটি রিবুট প্রয়োজন।

1. নতুনভাবে আপডেট হওয়া মেশিন থেকে এই দুটি ফাইল অনুলিপি করুন;

   • C:\Windows\PolicyDefinitions\CredSsp.admx (ফেব্রুয়ারি 2018 তারিখ করেছেন)
   • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (ফেব্রুয়ারী 2018) - আপনার স্থানীয় ফোল্ডারটি আলাদা হতে পারে যেমন এন জিবি)

2. ডিসি-তে, নেভিগেট করুন:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
   • বর্তমান পুনঃনামকরণ CredSsp.admxকরাCredSsp.admx.old
   • CredSsp.admxএই ফোল্ডারে নতুন অনুলিপি করুন ।

3. একই ডিসি নেভিগেট এ:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (বা আপনার স্থানীয় ভাষা)
   • বর্তমান পুনঃনামকরণ CredSsp.admlকরাCredSsp.adml.old
   • CredSsp.admlএই ফোল্ডারে নতুন ফাইলটি অনুলিপি করুন ।

4. আপনার গ্রুপ নীতি আবার চেষ্টা করুন।

https://www.petenetlive.com/KB/Article/0001433

অন্যরা যেমন বলেছে, এটি মাইক্রোসফ্ট একটি মার্চ প্যাচ প্রকাশ করেছিল। তারা 8 ই মে একটি প্যাচ প্রকাশ করেছে যা আসলে মার্চ প্যাচটি কার্যকর করে। সুতরাং আপনার যদি কোনও ওয়ার্কস্টেশন থাকে যা মে প্যাচ পেয়েছে এবং আপনি কোনও সার্ভারের সাথে সংযোগ দেওয়ার চেষ্টা করছেন যা মার্চ প্যাচটি পায় নি, আপনি আপনার স্ক্রিনশটটিতে ত্রুটি বার্তাটি পাবেন।

যে রেজোলিউশন আপনি সত্যই সার্ভারগুলিকে প্যাচ করতে চান যাতে তাদের মার্চ প্যাচ থাকে। অন্যথায়, ইতিমধ্যে আপনি একটি গ্রুপ নীতি বা রেজিস্ট্রি সম্পাদনা প্রয়োগ করতে পারেন।

আপনি এই নিবন্ধে বিশদ নির্দেশাবলী পড়তে পারেন: কীভাবে প্রমাণীকরণের ত্রুটি ফাংশন ঠিক করবেন ক্রেডিএসএসপি ত্রুটি আরডিপি সমর্থন নয়

আপনি যদি এডিএমএক্স এবং এডিএমএল ফাইলগুলি সন্ধানের প্রয়োজন হয় তার অনুলিপিগুলিও খুঁজে পেতে পারেন।

আমি একই সমস্যা পেয়েছি। ক্লায়েন্টগুলি উইন 7 এ রয়েছে এবং আরডিএস সার্ভারগুলি 2012R2, ক্লায়েন্টরা "2018-05 সুরক্ষা মাসিক মানের রোল আপ আপডেট (কেবি 4019264)" পেয়েছে। এটি অপসারণ করার পরে, সব ভাল।

আমি দেখতে পেলাম যে আমাদের কয়েকটি মেশিন জানুয়ারীতে উইন্ডোজ আপডেট (আমরা আমাদের ডোমেন জুড়ে স্থানীয় ডাব্লুএসইউএস চালাচ্ছি) বন্ধ করে দিয়েছি। আমি অনুমান করছি যে কোনও পূর্ববর্তী প্যাচটি সমস্যার কারণ হয়ে দাঁড়িয়েছে (মেশিনটি পুরানো হওয়ার বিষয়ে অভিযোগ করবে, তবে জান প্যাচগুলি এটি প্রয়োজন বলে ইনস্টল করবে না)। 1803 আপডেটের কারণে, আমরা এটি ঠিক করতে সরাসরি এমএস থেকে উইন্ডোজ আপডেট ব্যবহার করতে পারি না (কোনও কারণে সময়সীমা শেষ হয়ে গেলে এবং আপডেটগুলি চলত না)।

আমি নিশ্চিত করতে পারি যে আপনি যদি 1803 সংস্করণে মেশিনটিকে প্যাচ করেন তবে এতে এটির সমাধান রয়েছে। এটি ঠিক করার জন্য যদি আপনার দ্রুত গতির প্রয়োজন হয় তবে আমি সরাসরি আপডেট সম্পাদনের জন্য উইন্ডোজ আপডেট সহকারী (শীর্ষ লিঙ্কটি আপডেট বলেছি) ব্যবহার করেছি (কোনও কারণে উইন্ডোজ আপডেটের চেয়ে আরও স্থিতিশীল বলে মনে হচ্ছে)।

আমরা সর্বশেষতম সুরক্ষা আপডেট KB410731 মুছে ফেলেছি এবং আমরা উইন্ডো 10 মেশিনের সাথে 1709 এবং তার আগে তৈরিতে সংযোগ করতে সক্ষম হয়েছি। পিসির জন্য আমরা 1803 তৈরিতে আপগ্রেড করতে পারি, এটি KB4103731 আনইনস্টল না করেই সমস্যার সমাধান করেছে।

সহজভাবে, Network Level Authenticationরিমোট ডেস্কটপ থেকে অক্ষম করার চেষ্টা করুন । আপনি কি দয়া করে নিম্নলিখিত চিত্রটি পরীক্ষা করতে পারেন:

অ্যাডমিন হিসাবে পাওয়ারশেলটি খুলুন এবং এই আদেশটি চালান:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

সার্ভারের সাথে সংযোগ করার জন্য এখনই চেষ্টা করুন। এটা কাজ করবে।

আমি উত্তরটি এখানে পেয়েছি , সুতরাং এটি নিজের হিসাবে দাবি করতে পারি না, তবে আমার রেজিস্ট্রিতে নিম্নলিখিত কীটি যুক্ত করা এবং পুনরায় চালু করা আমার জন্য এটি ঠিক করে দিয়েছে।

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002