উইন্ডোজ 2018/05/08 আপডেট করার পরে রিমোট ডেস্কটপ সংযোগ ত্রুটি - সিভিই-2018-0886 এর জন্য ক্রেডিএসএসপি আপডেট


90

উইন্ডোজ আপডেটের পরে, রিমোট ডেস্কটপ সংযোগ ব্যবহার করে কোনও সার্ভারের সাথে সংযোগ দেওয়ার চেষ্টা করার সময় আমি এই ত্রুটিটি পেয়েছি।

ত্রুটি বার্তার মাধ্যমে সরবরাহিত লিঙ্কটি পড়লে মনে হয় 2018/05/08 এ আপডেট হওয়ার কারণে:

8 ই মে, 2018

ডিফল্ট সেটিংটি ভ্যালনারেবল থেকে কমিয়ে পরিবর্তনের জন্য একটি আপডেট।

সম্পর্কিত মাইক্রোসফ্ট নলেজ বেস নম্বরগুলি CVE-2018-0886 এ তালিকাভুক্ত করা হয়েছে।

এটির কোন সমাধান আছে?

ত্রুটি আরডিসি


1
(মেটা: আপডেটগুলি নতুন পাঠকদের পক্ষে এখনও বোধগম্য হয় তা নিশ্চিত করার জন্য, পোস্টগুলির শেষে রয়েছে এবং উত্তরগুলি উত্তর স্থানগুলিতে যায়, প্রশ্নগুলিতে একীভূত হয় না Thanks ধন্যবাদ)।
অর্ধেক

উত্তর:


21

(প্রশ্ন লেখকের পক্ষে একটি উত্তর পোস্ট করেছেন)

কিছু উত্তরের হিসাবে, এই ত্রুটির জন্য সর্বোত্তম সমাধান হ'ল মাইক্রোসফ্ট থেকে 2018-05-08 সংস্করণ> = 2018-05-08 সংস্করণে সার্ভার এবং ক্লায়েন্টদের আপডেট করা।

যদি আপনি উভয়কেই আপডেট করতে না পারেন (যেমন আপনি কেবল ক্লায়েন্ট বা সার্ভার আপডেট করতে পারেন ) তবে আপনি নীচের উত্তরগুলি থেকে একটির ওয়ার্কারআউন্ড প্রয়োগ করতে পারেন এবং কনফিগারেশনটিকে ASAP ফিরিয়ে আনতে পারেন যাতে আপনি কর্মক্ষেত্র দ্বারা প্রবর্তিত দুর্বলতার সময়কাল হ্রাস করেন।


এটি সেই বিরল ক্ষেত্রে একটি যেখানে স্বীকৃত উত্তরটিও সেরা উত্তর। অন্যান্য আপনি যে উত্তরগুলি জন্য CVE-2018-0886 প্রবন ছেড়ে: "CredSSP এর unpatched সংস্করণে উপস্থিত একটি দূরবর্তী কোড মৃত্যুদন্ড দুর্বলতার বিদ্যমান কোনো আক্রমণকারী যারা সফলভাবে এই দুর্বলতার শোষণ পারে। ব্যবহারকারী শংসাপত্র রিলে লক্ষ্য সিস্টেমে কোড সঞ্চালিত হয়ে কোনো অ্যাপ্লিকেশন যে CredSSP উপর নির্ভর করে। প্রমাণীকরণের জন্য এই ধরণের আক্রমণে ঝুঁকিপূর্ণ হতে পারে। "
ব্রিয়াম

আমরা একটি সহজ, অ আক্রমণাত্মক কাজ দেখতে পেয়েছি - আমরা আমাদের সার্ভারগুলির মধ্যে একটি লাফ বাক্স হিসাবে আরডিপি করতে সক্ষম হয়েছি
আউটসটিংবিলে

কোনও ক্লায়েন্ট এবং সার্ভার উভয়ই যদি একই স্থানীয় নেটওয়ার্কে থাকে এবং কেবল কোনও উন্মুক্ত পোর্ট ছাড়াই রাউটারের পিছনে ইন্টারনেটের মুখোমুখি হয় তবে দুর্বলতা কতটা গুরুতর তা ধারণা?
কেভকং

@ কেভকং: এটি একটি উইকির উত্তর যা আমি প্রশ্ন লেখকের জন্য পোস্ট করেছি। আপনি যদি চান তবে এগুলিকে প্রশ্নের আওতায় আনতে পারেন।
অর্ধেক

হাই @ পিটার: আপনার সম্পাদনার জন্য ধন্যবাদ। বেশিরভাগ ক্ষেত্রেই তাদের সাথে একমত হন, তবে মেটা-পরিচিতিটি অ্যাট্রিবিউশন লাইসেন্সের বিধিগুলির মধ্যে থাকতে প্রয়োজন আইএমও। স্ট্যাক ওভারফ্লোতে আমার এর মধ্যে বেশ কয়েকটি শতাধিক রয়েছে এবং মেটা থেকে আসা মতামতটি এই যে কেবল এটিই থাকা দরকার তা নয়, তবে কিছু লোকেরা মনে করেন এটি অপর্যাপ্ত, এবং ওপি নামকরণ করা উচিত। সেই উচ্চতর দৃশ্যটি খুব বেশি ট্র্যাকশন জিতেনি, তবে কীভাবে বর্ধন সর্বোত্তমভাবে অর্জন করা যায় তার পক্ষে মতের প্রশস্ততা দেখায়। তবে, মূলত, আমরা লেখকতা মুছতে পারি না। দয়া করে এটি পুনরুদ্ধার করা যাবে?
অর্ধেক

90

সিএমডি ব্যবহার করে জিপিডিট করার বিকল্প পদ্ধতি:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

4
Lifesaver হয়। যারা উইন্ডোজ 10 হোম ব্যবহার করেন তাদের ক্ষেত্রে এটি সঠিকভাবে কাজ করা উচিত। অ্যাডমিনিস্ট্রেটর হিসাবে কেবল সেন্টিমিডি চালানো মনে রাখবেন।

1
উইন্ডোজ ৮ এ এই কমান্ডটি কাজ করছে Thank আপনাকে ধন্যবাদ
জয়রথ

1
আসলে সমস্যাটি ছিল সার্ভারে আপডেটগুলি এখনও ইনস্টল করা ছিল সুতরাং কোনও সংযোগ সম্ভব ছিল না। শুধু অপেক্ষা এবং এটি কাজ করে। serverfault.com/questions/387593/…
tobiak777 12'18

1
@pghcpa এড়িয়ে যান যে, কমান্ডটি অনুপস্থিত রেজিস্ট্রি নোডগুলি তৈরি করে এবং আপনার জন্য প্যারামিটার সন্নিবেশ করে। আপনি যদি এই সমস্যার কারণে সুরক্ষা প্যাচ সহ সার্ভারটি আপডেট করতে না পারেন তবে এটি সত্যিই জীবন রক্ষাকারী।
জারজিলি লুকাস্কি

1
কেন জানি না, তবে এটির কাজ আপনাকে ধন্যবাদ
ডায়ান

39

আমি একটি সমাধান খুঁজে পেয়েছি। সহায়তা লিঙ্কে বর্ণিত হিসাবে , আমি এই গ্রুপ নীতিটির মান পরিবর্তন করে আপডেট 2018/05/08 থেকে পুনরায় ফিরে আসার চেষ্টা করেছি:

  • Gpedit.msc চালান

  • কম্পিউটার কনফিগারেশন -> প্রশাসনিক টেম্পলেট -> সিস্টেম -> শংসাপত্রাদি প্রতিনিধি -> এনক্রিপশন ওরাকল প্রতিকার

এটি পরিবর্তন করতে সক্ষম ও সুরক্ষা স্তরের, ফিরে দেখতে পান অসহায়

আমি নিশ্চিত না যে এটি কোনও আক্রমণকারীর আমার সংযোগটি শোষণের কোনও ঝুঁকিকে রোলব্যাক করতে পারে কিনা I আমি আশা করি মাইক্রোসফ্ট শীঘ্রই এটিকে ঠিক করে দেবে যাতে আমি সেটিংটি প্রশমিতকরণের প্রস্তাবিত সেটিংসে পুনরুদ্ধার করতে পারি ।

এখানে চিত্র বিবরণ লিখুন


আমার সিস্টেমে সেখানে "এনক্রিপশন ওরাকল প্রতিকার" জন্য বিকল্প নেই, এটি উইন্ডোজ 2012 সার্ভার। দেখে মনে হচ্ছে এটি 5/8 সুরক্ষা আপডেট প্রয়োগ করেছে।

4
আমি যা পেয়েছি তা হ'ল আমাদের কাছে ক্লায়েন্টটি "ইস্যু"। সার্ভারগুলির সর্বশেষ আপডেট নেই। ক্লায়েন্টদের সর্বশেষ আপডেট হয়েছে যাতে তারা কাজ করবে না। সার্ভার আপডেট হয়ে গেলে, সমস্ত কিছু কাজ করে।

যারা শুরু করবেন তা নিশ্চিত নয়, "gpedit.msc" চালান তারপরে উপরের নির্দেশাবলী অনুসরণ করুন।
গ্লেন লিটল

এটি আমার উইন্ডোজ 10 সিস্টেমে কাজ করে না। ক্রেডিএসএসপি রেজিস্ট্রি কীটিকে ম্যানুয়ালি আপডেট করা আমাকে সংযোগ করার অনুমতি দেয় - যা আমি কেবলমাত্র বর্তমান স্ট্যান্ডার্ড পর্যন্ত মেশিনটিকে প্যাচ করার জন্য যথেষ্ট দীর্ঘস্থায়ী করতে চাইছি।
টম ডব্লিউ

12

আর একটি উপায় হ'ল এমএস স্টোর থেকে মাইক্রোসফ্ট রিমোট ডেস্কটপ ক্লায়েন্ট ইনস্টল করুন - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps


2
আপনাকে ধন্যবাদ, আশা করি এটি একদিন ভাগ ফোল্ডারের পরিবর্তে অনুলিপি / পেস্ট ফাইল রাখবে। পাঠ্যটি অনুলিপি / আটকানোর জন্য কেবল ক্লিপবোর্ড ভাগ করে
নেবেন

উইন্ডোজ অ্যাপ স্টোর আরডিপি ক্লায়েন্টের বিল্ট-ইন mstsc.exeএর অনেকগুলি কাস্টমাইজেশন এবং ইন্টিগ্রেশন বৈশিষ্ট্যের অভাব রয়েছে এটি গুরুত্ব সহকারে নেওয়া কঠিন। সুরক্ষা দৃষ্টিকোণ থেকে, এটি আপনাকে সুরক্ষিত সংযোগগুলির জন্য ব্যবহৃত শংসাপত্রটি দেখতে দেয় না (গতবার আমি যাচাই করেছিলাম), এতে স্মার্ট-কার্ড সমর্থন, একাধিক-মনিটরের স্প্যানিং, ড্রাইভ পুনর্নির্দেশ এবং অন্যগুলিরও অভাব রয়েছে। মাইক্রোসফ্টের নিজস্ব তুলনা টেবিলটি এটি রক্তাল্পতা কীভাবে তা প্রকাশ করে: ডকস.মাইক্রোসফট.ইন.উস
দাই

6

এই সমস্যাটি কেবলমাত্র আমার হাইপার-ভি ভিএম এ ঘটে এবং শারীরিক যন্ত্রগুলিতে রিমোট করা ঠিক।

যান এই পিসি সার্ভারে → সিস্টেম সেটিংস → উন্নত সিস্টেম সেটিংস এবং তারপর আমি এটা লক্ষ্য VM- র নির্বাচন সরিয়ে দ্বারা মীমাংসিত "শুধুমাত্র কম্পিউটার থেকে সংযোগ নেটওয়ার্ক শ্রেনী প্রমাণীকরণের সাথে রিমোট ডেস্কটপ চলমান মঞ্জুরি দিন (প্রস্তাবিত)"।

এটি পরীক্ষা করুন


ঈশ্বরের অভিশাপ. আমি এই বিকল্পটি সক্ষম করেছিলাম, ভুলে গিয়েছিলাম এবং ২ ঘন্টা পরে বুঝতে পারলাম এটিই সমস্যা। 😩
শফিক আল-শার

3

Ac19501 এর উত্তর অনুসরণ করে আমি এটিকে আরও সহজ করতে দুটি রেজিস্ট্রি ফাইল তৈরি করেছি:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

2

প্রিন্ট স্ক্রিনে জিপিও উদাহরণে আপডেট।

"এইচকেএলএম \ সফ্টওয়্যার \ মাইক্রোসফ্ট \ উইন্ডোজ \ কারেন্ট ভার্সন icies নীতিসমূহ \ সিস্টেম \ ক্রেডিএসএসপি \ পরামিতি" / এফ / ভি মঞ্জুরি এনক্রিপশনআরাকল / টি আরইজি_ডাবর্ড / ডি 2 "উত্তর যুক্ত করুন

স্ক্রিন প্রিন্ট করুন

মূল পথ: সফ্টওয়্যার \ মাইক্রোসফ্ট \ উইন্ডোজ \ কারেন্ট ভার্সন icies পলিসি \ সিস্টেম \ ক্রেডিএসএসপি \ পরামিতিগুলির
মান নাম: এনক্রিপশন ওরাকল
মান ডেটা: 2 অনুমতি দিন


2

আমি একই বিষয় জুড়ে এসেছি। সুরক্ষা স্তরের নিম্ন স্তরের ফ্যাম এক্স বাখ উত্তরটি ব্যবহার না করে আপনি যে মেশিনটি সংযুক্ত করছেন সেটি আপডেট করা আরও ভাল সমাধান।

যাইহোক, যদি আপনি কোনও কারণে মেশিনটি আপডেট করতে না পারেন তবে তার কাজটি কাজ করে।


আপনার উত্তর ভুল বোঝার জন্য দুঃখিত। হ্যাঁ সর্বোত্তম সমাধানটি আপডেট সার্ভার এবং সমস্ত ক্লায়েন্টদের সংস্করণ> = 2018/05/08 এমএস থেকে আপডেট হওয়া উচিত
ফাম এক্স। বাচ

1

আপনাকে সার্ভার এবং সমস্ত ক্লায়েন্টের জন্য একটি উইন্ডোজ আপডেট ইনস্টল করতে হবে। আপডেটটি সন্ধান করতে https://portal.msrc.microsoft.com/en-us/security-guidance এ যান , তারপরে 2018-0886 সিভিই অনুসন্ধান করুন এবং উইন্ডোজ ইনস্টলড সংস্করণটির জন্য সুরক্ষা আপডেট চয়ন করুন।


1

আপনার উইন্ডোজ আপডেট ব্যবহার করে আপনার উইন্ডোজ সার্ভার আপডেট করতে হবে। সমস্ত প্রয়োজনীয় প্যাচ ইনস্টল করা হবে। তারপরে আপনি আবার রিমোট ডেস্কটপের মাধ্যমে আপনার সার্ভারের সাথে সংযোগ স্থাপন করতে পারেন।

আপনাকে kb4103725 ইনস্টল করতে হবে

আরও পড়ুন এখানে: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


যে সকল ছেলেরা তাদের দূরবর্তী সার্ভারে অ্যাক্সেস হারিয়ে ফেলেছে তাদের জন্য আমি এখনও অ্যান্ড্রয়েডের জন্য রিমোট ডেস্কটপ দিয়ে আমার সার্ভারগুলিতে অ্যাক্সেস করতে পারি। তারপরে আপনি প্যাচগুলি ইনস্টল করতে পারেন এবং উইন্ডোজ ক্লায়েন্টের রিমোট ডেস্কটপ সংযোগ দিয়ে সমস্যাটি সমাধান করতে পারেন।

1

সার্ভারগুলির জন্য, আমরা রিমোট পাওয়ারশেলের মাধ্যমেও সেটিংস পরিবর্তন করতে পারি (ধরে নিলাম উইনআরএম সক্ষম করা আছে ইত্যাদি))

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

এখন, যদি এই সেটিংটি কোনও ডোমেন জিপিও দ্বারা পরিচালিত হয়, তবে এটি পুনরায় ফিরে আসার সম্ভাবনা রয়েছে, তাই আপনাকে জিপিও পরীক্ষা করতে হবে। তবে দ্রুত ঠিক করার জন্য, এটি কাজ করে।

তথ্যসূত্র: https://www.petri.com/disable-remote-desktop-network-level-authentication- using- powershell


1

আপনার যদি কমান্ড-লাইনে অ্যাক্সেস থাকে তবে অন্য একটি বিকল্প রয়েছে (আমাদের বাক্সে একটি এসএসএইচ সার্ভার চলছে) হ'ল কমান্ড লাইন থেকে "স্কোনফিগ.cmd" চালানো। আপনি নীচের মত একটি মেনু পান:

এখানে চিত্র বিবরণ লিখুন

Option বিকল্পটি চয়ন করুন এবং এটি কেবল নিরাপদ নয়, সমস্ত ক্লায়েন্টের জন্য চালু করুন।

এটি শেষ হয়ে গেলে আপনি ডেস্কটপ রিমোট করতে পারেন It মনে হয় সমস্যাটি আমাদের ক্লায়েন্ট সিস্টেমগুলি নতুন সুরক্ষার জন্য আপডেট হয়েছিল তবে আমাদের সার্ভার বাক্সগুলি আপডেটের পিছনে ছিল। আমি আপডেটগুলি পেতে এবং তারপরে এই সুরক্ষা সেটিংসটি আবার চালু করার পরামর্শ দেব।


1

আনইনস্টল করুন:

  • উইন্ডোজ 7 এবং 8.1 এর জন্য: KB4103718 এবং / অথবা KB4093114 
  • উইন্ডোজ 10: KB4103721 এবং / অথবা KB4103727 সার্ভার আপডেট ছাড়াই 

এই আপডেটটিতে দুর্বলতা CVE-2018-0886 এর জন্য একটি প্যাচ রয়েছে। প্যাচবিহীন সার্ভারে এটি তাদের ছাড়াই তাদের প্রবেশ করতে দেয়।


2
সুপার ব্যবহারকারীকে স্বাগতম! এই কেবিগুলি আনইনস্টল করা কেন সহায়তা করবে তা আপনি ব্যাখ্যা করতে পারেন?
বারটিয়েব

কোজে এই আপডেটে দুর্বলতার জন্য প্যাচ রয়েছে CVE-2018-0886, নন প্যাচ সার্ভারে তাদের ছাড়াই তাদের প্রবেশ করতে দেয়
এক্সপায়
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.