Како решити проблем грешака шифровања ЦрессСП

Како решити проблем грешака шифровања ЦрессСП

У пролеће 2018. године, Виндовс корисника се почео суочити са грешком која се раније није срела.

Убрзо је постало јасно да се порука "Енцриптион Орацле Ремедиатионс настала приликом покушаја повезивања клијентског рачунара са удаљеном машином, а то се догодило под следећим околностима:

  • Повезивање са удаљеном машином врши се са рачунара, на којем је недавно инсталиран релативно стари прозори (сервер 2012, "десет" Скупштина 1803 и испод, Сервер 2016), јер нема безбедносних ажурирања које су касније објављене;
  • Веза се дешава са сервером, где су наведена ажурирања нестала;
  • Када се повезују, уграђени средства за протокол РДП-а закључана су са удаљеним рачунаром због недостатка потребне закрпе на клијенту.

Размотрите узроке грешке и како исправити ситуацију.

Зашто је ЦРЕДССП грешка

Дакле, већ знамо да на многим верзијама Виндовс-а (опције сервера 2016/2012/2008, са изузетком 2013, као и клијентима, почевши од 7) без инсталираних кумулативних закрпа, ако се покушавате повезати са удаљеним рачунаром од стране РДС / РДП-а, може настати проблем везе са удаљеном радном површином.

Другим речима, са даљинском везом са рачунаром током поступка провјере идентитета шифрирања, дошло је до грешке у ЦРЕДССП-у, чији узрок може бити не-цлуптиратион протокола шифровања. То је зато што је један од аутомобила (клијент или даљинац) није инсталирао релевантне исправке које су пуштене након марта 2018. године.

Тада је Мицрософт почео да дистрибуира ажурирање чији је циљ заштита идентификоване рањивости протокола ЦРЕДССП-а, пријетећи вероватноћу даљинског извршења кода од стране нападача. Технички детаљи проблема дате су довољни детаљ у билтен цве2018-0886. Два месеца касније, објављено је још једно ажурирање које је подразумевано уведено забраном могућности Виндовс корисничке машине да се обратите удаљеном серверу ако има верзију протокола ЦРЕДССП-а није пропагирао Ажурирање марта.

То јест, ако имате Виндовс-ове клијента на време да се ажурирају на време и покушавате да се повежете са даљинским серверима, на којима, почевши од пролећа од 2018. године, није било безбедносних ажурирања, такви покушаји ће се завршити наглашени. Истовремено, клијентска машина ће добити поруку о немогућности вршења даљинског повезивања врсте ЦРЕДССП-а.

Дакле, разлог грешке може бити исправка програмера протокола шифрирања ЦрессСП-а, који се појавио као резултат објављивања следећих ажурирања:

  • За верзију сервера 2008. Р2 и "Севен" - КБ4103718;
  • За ВС 2016 - КБ4103723;
  • за ВС 2012 Р2 и Виндовс 8.1 - КБ4103725;
  • За скупштину "десетине" 1803 - КБ4103721;
  • За Скупштину Виндовс 10 1609 - КБ4103723;
  • За скупштину "дозене" 1703 - КБ4103731;
  • за В10 Буилд 1709 - КБ4103727.

Наведена листа означава да је број ажурирања објављен у мају 2018. године, тренутно је неопходно да инсталира још свеже пакете акумулативне (они се такође називају кумулативним) исправкама. Ова операција се може извршити на више начина. На пример, упућивање на услугу Виндовс Упдате, на основу сервера програмера или коришћењем локалног ВСУС сервера. Коначно, можете ручно преузети потребне безбедносне обрасце путем Мицрософт Ажурирај каталог (ово је каталог за ажурирање Виндодес).

Посебно је потражити ажурирања за ваш рачунар, на којој је постављено "десетак" скупштина 1803, у мају 2020. године упит за претрагу треба да има следећи приказ: Виндовс 10 1803 5 / * / 2020.

Начине решавања проблема

Постоје два начина из ове ситуације. Као што је лако погодити, један од њих је уклањање безбедносних ажурирања на клијентуском рачунару инсталираном након марта 2018. године. Наравно, такав корак се сматра веома ризичним и топло се не препоручује, јер постоје и друга решења проблема. Али он је најлакши да се изврши и може се користити за једносмерно покушај приступа удаљеној машини.

Сада размотримо алтернативне "исправне" опције за исправљање грешке која се појављује приликом провере аутентичности ЦРЕДССП-а.

Један од њих је да се онемогући (за једнократну употребу) поступак провера верзије ЦрессСП на удаљеном рачунару током покушаја повезивања од РДП-а. У овом случају, остајете заштићени, закрпе остају основане, постоји ризик само током комуникацијске сесије.

Алгоритам радњи:

  • Покренули смо се у "извођењу" гдетит конзола.МСЦ (уграђени уредник локалног ГПО-а);
  • Идемо на картицу Конфигурација рачунара, изаберите ставку Администриране предлошке, а затим идите на картицу Систем, а затим - да бисте преносили делегацију акредитива. На Русии Виндовс-у ће пуни пут изгледати на следећи начин: "Конфигурација рачунара" / картица "Административне предлоге" / МЕНУ МЕНУ МЕНУ МЕНУ КЛАСЕС
  • На листи политичара тражимо линију за санацију енкрипције Орацле, кликните на њега и укључите јели селектор политичара у омогућеном / "инклузивном" положају, одабиром рањиве линије (оставите рањивост) на листи која се појављује);
  • Покренули смо се кроз конзолу "Извођење" команде ГПУПДАТЕ / ФИЛЦЕ (присилно ажурирање политичара), попуњавање поступка за искључивање обавештења о уређивању локалне групе;
  • Покушајте да се повежете на удаљену машину.

Искључивање шифриторОрацлеМенеМедион Политика ће омогућити вашем рачунару да се повеже и на нестабилне удаљене рачунаре и сервере без ажурирања свјеже безбедности.

Пажња. Подсетите се да се ова метода уклањања грешака шифрирања ЦРИРССП-а у Виндовс не препоручује за сталну употребу. Боље је да информишете администратора даљинског машине о проблему недоследности протокола за шифровање за инсталирање одговарајућих исправки.

Размислите о томе како функционише политичка политика. Има три нивоа заштите од рањивости Протокола ЦрессСП-а у непостојању закрпа:

  1. Форце Ажуриране свештенице - основни ниво заштите, комплетна забрана повезивања са удаљене машине за повезивање клијентских рачунара без инсталираних ажурирања. По правилу, ова политика се активира након потпуног ажурирања у оквиру целокупне мрежне инфраструктуре, односно након инсталирања свежих ажурирања на свим мрежним станицама које се односе на мрежу, укључујући сервере на које се врши удаљена веза.
  2. Ублажен - овај ниво заштите блокира било какве покушаје повезивања са серверима на којима протокол ЦРЕДССП није правилан. Истовремено, све остале услуге ЦрессСП-а нису погођене.
  3. Рањиво - минимални ниво је ушивен, који уклања забрану удаљеног приступа РДП машини ако постоји рањива верзија ЦРЕДССП-а.

Имајте на уму да на неким аутомобилима клијената (на пример, кућна верзија система Виндовс), уредник локалног политичара у Скупштини није укључен. У овом случају, уношење промена које вам омогућавају да се укључите у удаљене машине без продужених ажурирања на страни сервера врши се ручно уређивањем регистра.

Да бисте то учинили, представите линију на конзолу на линији:

РЕГ ДОДАТАК ХКМЛ \ СОФТВАРА \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Политике \ Систем \ Цресссп \ Параметри / В ДоблеЦрицторитиорацле / Т рег_дворд / д 2

Овај поступак се може применити на све радне станице користећи домен ГПО (лансирање конзоле - ГПМЦ.МСЦ) Или можете применити Скрипту ПоверСхелл (да бисте добили списак радних станица који припадају овом домену, можете да користите наредбу Гет-ДЦомпјутер, која је део РСАТ-ОП-ПоверСхелл-а након следећег садржаја:

Активноректори увоза-модула
$ ПСС = (Гет -ДЦомпутер -Филтер *).ДНСХОСТНАМЕ
Фориацх ($ Цомпутер ин $ ПЦС)
Позовите -Цомманд -ЦомпутерНаме $ рачунар -Сцриптблоцкблоцк
РЕГ ДОДАТАК ХКЛМ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Политике \ Систем \ Цресссп \ Параметри / В ДоблеЦрицторитицлецле / Т Рег_ДВорд / Д 2

Али да би се избегло непотребан ризик, неопходно је одмах након повезивања на удаљену машину ако постоје одговарајућа права на постављање тренутних ажурирања помоћу Виндовс Упдате Сервице (то треба да се укључи). Ова операција се може извршити ручно преузимањем свеже кумулативне исправке и обављање њихове инсталације у складу са алгоритамом наведен раније.

Ако желите да исправите грешку шифрирања ЦрессСП на Виндовс-у КСП / Сервер 2003, који тренутно нису подржани, већ због одређених околности које се користе, све ове машине морају пробити уградњу уградњу.

Важан. Након успешног покушаја да се обратите серверу, инсталирање кумулативних закрпа на њега и поново покрените сервер, обавезно испуните обрнуте трансформације у политици клијента, постављајући вредност у политици ФорцупдаутЦлентс у подразумеваној или замени вредност тастера АЛЕЦКУПДОЗАЦЛЕ. 2 до извора 0. Стога ћете поново заштитити рачунар од рањивости својствене у УРДП везу, израђујући корекцију шифрирања ЦРИСССП-а.

Нисмо споменули још један сценарио погрешне поруке "Енцриптион Орацле Ремедион" - када је све у реду са удаљеним сервером, а клијентски рачунар се испоставило да је неспојив. У наставку ће се активирати да се политика активира на удаљеној машини која блокира покушаје успостављања везе са укљученим клијентним рачунарима.

У овом случају није потребно брисати безбедносне исправке на клијенту. Ако имате неуспешан покушај да се обратите серверу, требало би да проверите када је последњи пут постала инсталација кумулативних безбедносних исправки за корисничку машину. Можете извршити чек путем употребе модула ПСВИНДОПДАТЕ, као и попуњавањем команде у конзоли:

ГВМИ вин32_куицкфиксенгинеринг | сортирај инсталиран на -деск

Ако је датум прилично стар (опционо до марта 2018.), инсталирајте најновије кумулативно ажурирање за своју верзију оперативног система Виндовс.