错误

Question 1

完全基于Graham Cuthbert 的回复我在记事本中创建了一个包含以下几行文本的文件，然后双击它（无论文件中包含什么参数，它都会添加到 Windows 注册表中）。

regedit请注意，第一行根据您使用的 Windows 版本而有所不同，因此打开并导出任何规则以查看第一行的内容并在文件中使用相同的版本可能是个好主意。

此外，我并不担心在这种特殊情况下安全性会降低，因为我正在连接到加密的 VPN，并且主机 Windows 无法访问互联网，因此没有最新的更新。

文件rd_patch.reg：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

对于那些想要轻松复制/粘贴到提升的命令提示符中的人：

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

Answer

完全基于Graham Cuthbert 的回复我在记事本中创建了一个包含以下几行文本的文件，然后双击它（无论文件中包含什么参数，它都会添加到 Windows 注册表中）。

regedit请注意，第一行根据您使用的 Windows 版本而有所不同，因此打开并导出任何规则以查看第一行的内容并在文件中使用相同的版本可能是个好主意。

此外，我并不担心在这种特殊情况下安全性会降低，因为我正在连接到加密的 VPN，并且主机 Windows 无法访问互联网，因此没有最新的更新。

文件rd_patch.reg：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

对于那些想要轻松复制/粘贴到提升的命令提示符中的人：

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

Question 2

凭证安全支持提供程序协议 (CredSSP) 是一种处理其他应用程序的身份验证请求的身份验证提供程序。

未修补的 CredSSP 版本中存在远程代码执行漏洞。成功利用此漏洞的攻击者可以中继用户凭据以在目标系统上执行代码。任何依赖 CredSSP 进行身份验证的应用程序都可能容易受到此类攻击。

[...]

2018 年 3 月 13 日

2018 年 3 月 13 日的初始版本更新了所有受影响平台的 CredSSP 身份验证协议和远程桌面客户端。

缓解措施包括在所有符合条件的客户端和服务器操作系统上安装更新，然后使用随附的组策略设置或基于注册表的等效设置来管理客户端和服务器计算机上的设置选项。我们建议管理员尽快在客户端和服务器计算机上应用该策略并将其设置为“强制更新客户端”或“缓解”。这些更改将需要重新启动受影响的系统。

请密切关注本文后面兼容性表中导致客户端和服务器之间的交互“被阻止”的组策略或注册表设置对。

2018 年 4 月 17 日

KB 4093120 中的远程桌面客户端 (RDP) 更新将增强当更新的客户端无法连接到未更新的服务器时显示的错误消息。

2018 年 5 月 8 日

更新将默认设置从“易受攻击”更改为“已缓解”。

来源：https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018[1]

另请参阅此 reddit 帖子： https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/[2]

微软的解决方法：

更新服务器和客户端。（需要重启，推荐）

如果您的服务器是公开的，或者您的内部网络中没有严格的流量控制，则不建议使用这种方法，但有时在工作时间重新启动 RDP 服务器是不可行的。

通过 GPO 或注册表设置 CredSSP 修补策略。（需要重新启动或 gpupdate /force）
卸载 KB4103727（无需重启）
我认为禁用 NLA（网络层身份验证）也可能有效。（无需重启）

请务必了解使用这些产品时的风险并尽快修补您的系统。

[1] 所有 GPO CredSSP 描述和注册表修改均在此处描述。

[2] 以防 Microsoft 网站瘫痪的 GPO 和注册表设置示例。

Answer

凭证安全支持提供程序协议 (CredSSP) 是一种处理其他应用程序的身份验证请求的身份验证提供程序。

未修补的 CredSSP 版本中存在远程代码执行漏洞。成功利用此漏洞的攻击者可以中继用户凭据以在目标系统上执行代码。任何依赖 CredSSP 进行身份验证的应用程序都可能容易受到此类攻击。

[...]

2018 年 3 月 13 日

2018 年 3 月 13 日的初始版本更新了所有受影响平台的 CredSSP 身份验证协议和远程桌面客户端。

缓解措施包括在所有符合条件的客户端和服务器操作系统上安装更新，然后使用随附的组策略设置或基于注册表的等效设置来管理客户端和服务器计算机上的设置选项。我们建议管理员尽快在客户端和服务器计算机上应用该策略并将其设置为“强制更新客户端”或“缓解”。这些更改将需要重新启动受影响的系统。

请密切关注本文后面兼容性表中导致客户端和服务器之间的交互“被阻止”的组策略或注册表设置对。

2018 年 4 月 17 日

KB 4093120 中的远程桌面客户端 (RDP) 更新将增强当更新的客户端无法连接到未更新的服务器时显示的错误消息。

2018 年 5 月 8 日

更新将默认设置从“易受攻击”更改为“已缓解”。