你知道 CVE-2019-0708 已经存在,每个人都在寻找 PoC,我跟着本文采取一些变通方法来强化我的旧 Windows 服务器。是的,我启用了 NLA。NLA 正在工作。但重新启动后,NLA 无法正常工作,输入密码并单击“确定”后,我立即与服务器断开连接。没有弹出消息,我只是断开了连接。很奇怪。
如果需要的话我可以给你一个Wireshark捕获数据包。
您可以一瞥发生了什么。使用密码自动填充。 Wireshark 捕获的数据包
那么到底发生了什么?我不熟悉 Windows,真的不知道为什么……最糟糕的是,我现在无法连接到它,因为它实际上是一个远程服务器……T_T……
我也收到以下错误日志:
[I] RDP ClientActiveX is trying to connect to the server (srv1.domain.com)
[I] Server supports SSL = supported
[I]Base64(SHA256(UserName)) is = -
[W] RDPClient_SSL: An error was encountered when transitioning from TsSslStateHandshakeInProgress to TsSslStateDisconnecting in response to TsSslEventHandshakeContinueFailed (error code 0x80004005)
[I] The multi-transport connection has been disconnected.
[I] RDP ClientActiveX has been disconnected (Reason = xx)
[I] The multi-transport connection has been disconnected.
答案1
如果您尝试连接到正在关闭的计算机,远程桌面客户端通常会立即断开连接,并且不会出现任何错误消息。这种情况最常发生在远程计算机正在安装更新时,因为这会拖延关机过程。
我得到的错误代码与您得到的稍微不同(0x8000FFFF而不是0x80004005),但这可能仅取决于客户端和服务器的确切版本以及其他因素,例如(短暂)建立的连接的质量。
带有选项的命令pslist(可从 MS 网站获取)-s可用于确定远程计算机正在执行的操作,尤其是区分实际正在安装更新的计算机和在尝试安装更新时挂起的计算机。您可能还希望检查基于组件的服务日志(可在 找到)c:\windows\logs\cbs\cbs.log以了解活动情况。
答案2
可能是更新过程有问题。
转到 RDP 设置,“高级”选项卡。
在“如果服务器身份验证失败”区域下,选择“连接但不警告”而不是“不连接”。
如果这不起作用,请尝试卸载 KB2984972。
考虑到你更新的问题,你还应该确保计算机->属性->远程设置->远程选项卡-> 选择“允许使用任何版本的 RDP 的计算机连接”。同时确保在“选择用户”上添加本地管理员帐户。