血崩,今天连接服务器发现出现”出现身份验证错误,要求的函数不受支持!”的错误,后经过搜索发现是昨晚进行的一波系统更新造成的。而且发现所有的服务器都出现这个错误了[其中一台可以连接但是会断],没有办法只好进行安全降级了?
根据连接介绍大概得知:
凭据安全支持提供程序协议 (CredSSP) 是处理其他应用程序的身份验证请求的身份验证提供程序。
CredSSP 的未修补版本中存在远程代码执行漏洞。 成功利用此漏洞的攻击者可以在目标系统上中继用户凭据以执行代码。 任何依赖 CredSSP 进行身份验证的应用程序都可能容易受到此类攻击。
此安全更新通过更正 CredSSP 在身份验证过程中验证请求的方式来修复此漏洞。
若要了解有关此漏洞的更多信息,请参阅 CVE-2018-0886。
解决:策略路径:“计算机配置”->“管理模板”->“系统”->“凭据分配”
设置名称: 加密 Oracle 修正
加密 oracle 修正
此策略设置可应用于使用 CredSSP 组件(例如,远程桌面连接)的应用程序。
CredSSP 协议的某些版本容易受到针对客户端的加密 oracle 攻击。 此策略控制与易受攻击的客户端和服务器的兼容性。 此策略允许你设置针对加密 oracle 漏洞的防护级别。
如果启用此策略设置,将会基于以下选项选择 CredSSP 版本支持:
强制更新的客户端– 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本,且使用 CredSSP 的服务将不接受未修补的客户端。
注意 在所有远程主机支持最新版本之前,不应部署此设置。
缓解– 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本,但使用 CredSSP 的服务将接受未修补的客户端。
易受攻击– 使用 CredSSP 的客户端应用程序将通过支持回退到不安全的版本使远程服务器遭受攻击,但使用 CredSSP 的服务将接受未修补的客户端。
警告:如果使用注册表编辑器或其他方法修改注册表不当,可能会出现严重问题。 这些问题可能需要您重新安装操作系统。 Microsoft 不能保证可解决这些问题。 请自行承担修改注册表的风险。
注册表路径:HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
值:AllowEncryptionOracle
数据类型:DWORD
是否需要重启?是
注册表值:
强制更新的客户端:0
缓解:1
易受攻击 :2
—我只好暂时降低安全设置以便能进行远程连接了。
编辑组策略->计算机配置->管理模板->系统->凭据分配
设置名称: 加密 Oracle 修正
设置成”易受攻击”,之前设置成“已缓解”还是无法远程连接上服务器。
5月14日:本来想在13日当天就更新更新一波的,但是懒。。。在13日时服务器端进行了系统更新而客户端的设置还没更改而无法连接上,通过VNC连接卸载更新(补丁:KB4093114)发现又可以连接上了,为了其他没有打补丁的机子我的客户端还不能修改安全设置,只能不打服务器的补丁先了
参考:https://support.microsoft.com/zh-cn/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018