最近微軟 2018 三月的資安公告釋出了數個安全性更新,也隨著最近的 Windows Update 一同發佈,同時也解決了一個 高安全性風險 的 CVE-2018-0886 弱點。這個弱點會讓你在透過 CredSSP 進行身分驗證的時候遭遇攻擊,可讓駭客執行任意程式碼,影響範圍遍及 Microsoft Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1 and RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and 1709 Windows Server 2016 and Windows Server, version 1709 等版本。首當其衝的就是 遠端桌面連線 (RDP) 正好就會用到 CredSSP 來進行認證,所以在座的各位都是高危險群啊!本篇文章將說明如何解決這個問題!
問題解說
基本上,當你的 Windows 自動更新後,如果透過 遠端桌面連線 (RDP) 連到遠端主機,很有可能會全都出現如下圖的錯誤訊息。
也就是你會完全連不到遠端伺服器!
解決方法有兩種:
- 同時將用戶端與伺服器端全部都一起套用 Windows 更新,改用安全的方式進行遠端通訊!
- 透過調整機碼暫時降低目前用戶端電腦的安全性,先連到遠端電腦再說,等遠端電腦更新完畢後,再將設定調整回來即可!
應變方案 (Workaround)
以下是透過調整機碼的快速設定方法:
-
先降低安全性暫時可連線到遠端電腦
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2
-
回復預設的安全性設定
reg DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP" /f
參考資料