Keine RDP-Verbindungen nach Windows Mai 2018-Update mehr

[English]Seit dem Microsoft die Mai 2018-Updates für Windows freigegeben hat, mehren sich die Berichte, dass Nutzer Probleme mit Remote Desktop- oder VPN-Verbindungen haben. Es kommt zu einem CredSSP-Authentifizierungsfehler. Das ist by Design, hier ein paar Informationen.


Anzeige

Plötzlich keine RDP-Verbindung mehr

Administratoren in Firmenumgebungen, die die Mai 2018-Updates unter Windows installieren, stellen plötzlich fest, dass keine RDP-Verbindungen mehr möglich sind. Windows bringt stattdessen einen Fehlerdialog.

RDP CredSSP Fehler

Der betreffende Fehlertext lautet in englischer Sprache:

An authentication error has occurred.
The function requested is not supported

Remote computer: <computer name>
This could be due to CredSSP encryption oracle remediation.
For more information, see https:/go.microsoft.com/fwlink/?linkid=866660

Es ist bei der Authentifizierung ein Fehler aufgetreten, die geforderte Funktion wird nicht unterstützt. Hier im Blog findet sich z.B. dieser Kommentar zum Thema. Ich habe aber weitere Forenpostings zu diesem Thema gesehen. Bei Technet gibt es z.B. diesen Thread. Und hier hat sogar jemand einen Blog-Beitrag zum Thema veröffentlicht.


Anzeige

Die Sicherheitslücke CVE-2018-0886

Der technische Hintergrund ist, dass in den Remote Desktop Protokollen (RDP) von Windows eine kritische Sicherheitslücke entdeckt wurde, die alle Windows-Versionen betrifft. Die Sicherheitslücke CVE-2018-0886 ermöglicht Remote-Angreifern, RDP- und WinRM-Verbindungen zum Stehlen von Daten oder zum Ausführen von Malware zu nutzen. Konkret steckt die kritische Sicherheitslücke Credential Security Support Provider-Protokoll (CredSSP), das in allen bisherigen Versionen von Windows verwendet wird.

Das CredSSP-Protokoll wurde für die Verwendung durch RDP (Remote Desktop Protocol) und Windows Remote Management (WinRM) entwickelt. Das Protokoll übernimmt die sichere Weiterleitung der vom Windows-Client verschlüsselten Anmeldeinformationen an die Zielserver zur Remote-Authentifizierung. Ich hatte Mitte März 2018 im Blog-Beitrag CredSSP-Sicherheitslücke in RDP unter Windows über dieses Problem berichtet.

Das Problem war lange angekündigt

Microsoft hat diese Sicherheitslücke im März 2018 mit Updates geschlossen und noch weitergehende Maßnahmen verkündet. Ende März 2018 kam der Hinweis, dass mit dem Mai 2018-Update RDP-Anfragen von ungepatchten Clients blocken werden sollen. Administratoren mussten also reagieren.

Microsoft-Empfehlungen

Im Microsoft KB-Artikel 4093492 findet sich nicht nur die Erklärung zur Sicherheitslücke im Credential Security Support Provider Protocol (CredSSP). Microsoft empfahl Administratoren bereits im März 2018 dringend, das Update auf Servern und Clients durchgängig zu installieren.

Weiterhin sind die Gruppenrichtlinien so anzupassen, dass die Einstellungen "Force Updates Clients" und "Mitigated" sowohl auf dem Server als auch auf den Clients sobald wie möglich aktiviert werden. Dies soll die Server gegen unsichere (ungepatchte) Clients absichern. Das Ganze ist im Blog-Beitrag Microsoft blockt bald RDP-Anfragen von Clients ausführlicher angesprochen worden.

Die Mai 2018-Updates riegeln ungepatchte Clients ab

In obigem Blog-Beitrag hatte ich auch den 8. Mai 2018 genannt. Zu diesem Datum hatte Microsoft geplant, ein Update auszurollen, um die Standardeinstellung von Vulnerable (verwundbar) auf Mitigated (abgesichert) zu ändern. Ab Installation dieses Updates sind dann keine RDP-Verbindungen von ungepatchten Clients mehr möglich.

In den KB-Artikeln zu den Sicherheitsupdates Mai 2018 für Windows 7 bis Windows 10 finden sich in der Liste der Fixes (siehe Linkliste am Artikelende) immer folgender Hinweis:

Addresses an issue that may cause an error when connecting to a Remote Desktop server. For more information, see CredSSP updates for CVE-2018-0886.

Der verlinkte Artikel enthält Hinweise, wie Gruppenrichtlinien anzupassen sind, um RDP-Verbindungen zuzulassen.

Was kann ich tun?

Wer von dem Problem der geblockten RDP-Verbindungen betroffen ist, könnte die Sicherheitsupdates vom Mai 2018 deinstallieren. Das ist aber keine gute Idee.

Administratoren sollten vielmehr sicherstellen, dass sowohl die Clients als auch die Server mit den März 2018 Sicherheitsupdates versehen sind. Bei Windows 10 sollten kumulative Updates reichen – bei Windows 7/8.1 und den Server-Pendants müsste das Security Only-Rollup vom Mai 2018 die notwendigen Updates ebenfalls bereitstellen – andernfalls die März 2018-Updates nachholen. Für Windows 8.1 / Windows Server 2012 R2 ist dies zum Beispiel KB4103725.

Wer diese Updates, auf Grund von Problemen, noch nicht installieren kann, muss sich vorübergehend mit Workarounds behelfen.

  • In diesem Blog-Beitrag findet sich der Hinweis, die RDP-Option 'Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)' (Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird) abzuwählen.
  • In diesem superuser.com-Forenthread finden sich weitere Hinweise, wie man per Gruppenrichtlinien oder Registrierungseintrag die RDP-Verbindungen wieder temporär zulassen kann (reduziert aber die Sicherheit).

Mit den Hinweisen sollten sich RDP-Verbindungen wieder herstellen lassen. Ich hoffe, jetzt nichts übersehen zu haben (ich nutze weder RDP noch VPN). Ihr könnte ja ggf. einen Kommentar hinterlassen.

Probleme mit VPN-Verbindungen

Ich habe auch Forenbeiträge gesehen, wo es Probleme mit VPN-Verbindungen gab. In diesem Blog-Beitrag wird die Beobachtung geschildert, dass VPN-Verbindungen Probleme bereiten, wenn die höhere Sicherheitstufe bei Remoteverbindungen gesetzt ist. Microsoft erwähnt in seinen KB-Artikeln, dass manche VPN-Clients mit veralteten SDKs entwickelt wurden (siehe hier). Hier sollte geklärt werden, ob es Updates von Seiten der VPN-Client-Entwickler gibt. Weitere Hinweise zu VPN-Einstellungen gibt es auch in diesem tecchannel-Beitrag.

Ähnliche Artikel:
Achtung bei Linux-RDP-Verbindungen und CredSSP-Updates
Microsoft blockt bald RDP-Anfragen von Clients
CredSSP-Sicherheitslücke in RDP unter Windows
Patchday: Updates für Windows 7/8.1/Server Mai 2018
Patchday: Windows 10-Updates 8. Mai 2018


Anzeige

Dieser Beitrag wurde unter Problemlösung, Update, Windows abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Keine RDP-Verbindungen nach Windows Mai 2018-Update mehr

  1. RalphAndreas sagt:

    Kleine Ergänzung:
    Das Verhalten ist auch umgekehrt, d.h. Client gepatcht und Server noch nicht, dann geht auch kein RDP mehr.

  2. wufuc_MaD sagt:

    man sagt – wer sucht der findet
    ich finde 30 minuten über den haufen zu werfen, um hier nicht so viel zu schreiben, ist ok!
    nie nach updates suchen = empfohlen!
    der kostenpflichtigen av software den ersten vollständigen scan nach ~1 jahr zu gestatten und die angeschleppte, bereits verweste beute zur kenntnis zu nehmen = mitleiderregend -> tipp – mal eine leere textdatei mit namen "blackjack" erstellen
    mehr als ein einziges "update", oder war es ein "sicherheitsupdate"… 2 sicherheitsupdates in diesem jahr waren einfach nicht drin, bei windows 7, bei windows 10 -> 0..
    einen defender der nur unnötig terz macht, gibt es nicht mehr..
    credentials credentials sein lassen, eine efi-boot-fähige win7_x64sp2 dvd erstellen und sich an der herrlichkeit der remote execution erfreuen!..
    schönes wochenende! ohne probleme! 4025057 viech immer schön auf distanz halten!..

  3. wufuc_MaD sagt:

    htt ps://answers.microsoft.com/en-us/windows/forum/windows_10-update/what-does-this-update-do-in-windows-10-kb4023057/a0744249-1b61-49bf-8e5d-60bf55fddea8

    ich kenne keinen anderen artikel bei dem knapp 1.300 leute den button "frag ich mich auch" geklickt haben. daher ganz nett zur belustigung! :-)

    und -> 4023057 & 2952664.. muss es natürlich heißen! sorry! (WX; W7)

    das mistvieh ist unter WX z.Zt. 666,46KB, unter W7 6,4MB groß… gibt sich als kritisch bzw. wichtig aus, hoch repetitiv!

  4. Christian sagt:

    Die GPO "Encryption Oracle Remediation" laut MS Artikel existiert auf meinen DC (SRV 2012r2) nicht, entsprechend kann sie auch nicht gesetzt werden. Server ist auf dem aktuellen Stand und weitere Updates werden auch keine gefunden.

    Wie es aussieht ist diese GPO nur auf Server 2016 verfügbar:

    https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.CredentialsSSP::AllowEncryptionOracle&Language=de-de

  5. s0da sagt:

    @Christian
    Das ist ganz normal, da du wahrscheinlich zentral die GPOs in den PolicyDefinitions verwaltest. Von alleine aktualisieren die sich nicht, DU musst die ADMX bzw. ADML Files erst reinkopieren. Dann kannst du auch eine GPO dazu basteln.
    https://www.mcbsys.com/blog/2018/03/updating-the-credssp-group-policy/

  6. Tobi sagt:

    Den Blödsinn möchte ich ungern mitmachen. Um das Problem zu umgehen, muss man dann
    2018-05 Sicherheitsqualitätsupdate für Windows X …
    und sogar
    2018-05 Monatliches Sicherheitsqualitätsrollup für Windows X …
    ablehnen?

    Danke vorab.

  7. Tom sagt:

    Für Win10 Builds vor 1607 gibt es keinerlei Updates, die sind von aktuellen Win10 via RDP nicht mehr erreichbar, wenn sich keines der zurückliegenden Feature-Updates installieren ließ. Es sei denn man macht es für die 1607 und höher Builds wieder rückgängig manuell in der Registry oder via GPO.

  8. Ralf sagt:

    Ich bin bei einem ungepatchten 2016er-Terminalserver hereingefallen. Da wurden die Updates nur bis Februar installiert und der Server stellt Published Apps zur Verfügung, die sich dann nicht mehr öffnen (Clients sind aktuelle gepatcht).
    Ein Klick bei der Verbindung auf "Details" zeigt, dass der Anmelde-Bildschirm der Published App bei der Eingabe der Anmeldedaten stehen bleibt. Also übergibt der Client keine Anmeldedaten mehr an den Server! Habe die GPO nachgezogen und auf "Vulnerable" stellen müssen, bis jemand mal den Terminalserver patcht!

  9. David sagt:

    Ich habe gestern noch alle Terminalserver und RemoteApp server gepatched… sobald ich ein Remoteapp starten möchte, kommt dieser Fehler trotzdem noch. Werde wohl auch die GPO Variante nachziehen müssen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.