{"id":203162,"date":"2018-04-10T07:40:28","date_gmt":"2018-04-10T05:40:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=203162"},"modified":"2022-01-07T16:53:27","modified_gmt":"2022-01-07T15:53:27","slug":"achtung-bei-linux-rdp-verbindungen-und-credssp-updates","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/04\/10\/achtung-bei-linux-rdp-verbindungen-und-credssp-updates\/","title":{"rendered":"Achtung bei Linux-RDP-Verbindungen und CredSSP-Updates"},"content":{"rendered":"

[English<\/a>]Im Vorfeld des Patchday und kommender Updates noch ein kleiner Hinweis auf CredSSP-Updates f\u00fcr Windows. Diese k\u00f6nnen zu Konflikten bei Remote Desktop-Verbindungen zwischen Linux und Windows f\u00fchren. <\/p>\n

<\/p>\n

Ein paar Hintergrundinformationen zu CredSSP<\/h2>\n

\"\"In allen Windows-Versionen gibt es eine kritische Sicherheitsl\u00fccke im Credential Security Support Provider (CredSSP). Die Sicherheitsl\u00fccke CVE-2018-0886<\/a> erm\u00f6glicht nun Remote-Angreifern, RDP- und WinRM-Verbindungen zum Stehlen von Daten oder zum Ausf\u00fchren von Malware zu nutzen. Ich hatte auf dieses Thema k\u00fcrzlich im Blog-Beitrag CredSSP-Sicherheitsl\u00fccke in RDP unter Windows<\/a> hingewiesen.<\/p>\n

Microsoft beginnt daher aus Sicherheitsgr\u00fcnden damit, nicht gepatchte Systeme von RDP-Verbindungen auszuschlie\u00dfen. Ich hatte im Blog-Beitrag Microsoft blockt bald RDP-Anfragen von Clients<\/a> auf das Thema hingewiesen. Am 17. April ist das n\u00e4chste RDP-Update geplant. Microsoft hat in KB4093492<\/a> (CredSSP updates for CVE-2018-0886) f\u00fcr Windows Clients und Windows Server zusammen gefasst, was man wissen soll. <\/p>\n

Was ist rdesktop?<\/h2>\n

Bei rdesktop handelt es sich um ein Open Source-Programm, welches eine RDP-Verbindung von Unix-artigen Betriebssystemen zu Microsoft Windows herstellen kann (siehe diesen Wikipedia-Artikel<\/a>). Dieses Wiki<\/a> beschreibt die Nutzung des Programms unter Ubuntu.<\/p>\n

Achtung: CredSSP kollidiert mit rdesktop<\/h2>\n

Nun gibt es aber wohl ein Problem im Zusammenspiel von rdesktop und den von Microsoft geplanten CredSSP-\u00c4nderungen. Ich bin bei administrator.de auf diese aktuelle Warnung<\/a> eines Administrators gesto\u00dfen. Der Nutzer schreibt: <\/p>\n

\n

KB4093492<\/a> beschreibt notwendige Patches und Policies, um CredSSP abzusichern, welches unter anderem bei RDP-Verbindungen mit Single Sign on zum Einsatz kommt. <\/p>\n

Solltet Ihr das in Eurem Netzwerk gepatcht und abgesichert haben, achtet darauf, ob Remoteverbindungen von Linuxclients aus (mittels z.B. rdesktop) noch funktionieren. <\/p>\n

Hier, auf SUSE Leap, kann keine RDP-Verbindung mehr zu Windowsrechnern hergestellt werden, es sei denn, man deaktiviert windowsseitig NLA.<\/p>\n

Sonst kommt auf Linux der Fehler \"CredSSP required by server\"
Also: f\u00fcr Kompatibilit\u00e4t mit rdesktop (falls ben\u00f6tigt) entweder ganz auf NLA verzichten, oder den Patch auf \"mitigated\" einstellen, nicht auf \"Force updated clients\"!<\/p>\n

->Falls Ihr die GPO auf \"Force updated clients\" eingestellt haben solltet und dennoch kompatible Linux-RDP-Clients habt, w\u00fcrde mich sehr interessieren, welche das sind.<\/p>\n<\/blockquote>\n

Der Betroffene schreibt, wenn er Network Level Authentication<\/a> (NLA) auf dem Windows Server deaktiviert, funktioniert die RDP-Verbindung von Linux. Network Level Authentication war mit RDP 6.0 (ab Windows Vista unterst\u00fctzt) eingef\u00fchrt worden. NLA erfordert eine Authentifizierung des Nutzers, bevor eine Remote Desktop Session mit dem Server aufgebaut wird (Microsoft beschreibt hier<\/a> die Vorteile \u2013 z.B. Schutz vor Denial of Service-Angriffe). <\/p>\n

NLA verwendet CredSSP, um die Anmeldeinformationen des Benutzers am Server f\u00fcr die Authentifizierung vor dem Erstellen einer Sitzung zu pr\u00e4sentieren. Wenn Microsoft jetzt an CredSSP herum patcht, hat das Einfluss auf die RDP-Verbindungen, wie der Nutzer oben schreibt. <\/p>\n

\n

Ich bin beim Erstellen des Artikels auf diesen Technet-Forenbeitrag<\/a> gesto\u00dfen, wo es sporadisch Probleme unter Windows 7 mit RDP-Verbindungen mit Windows Server 2012 R2 gab. Dort war es allerdings ein RDS-Zertifikat, was wohl die Probleme versursacht hatte. Ist zwar eine andere Baustelle, ich fand die Ausf\u00fchrungen aber recht interessant. <\/p>\n<\/blockquote>\n

Der Fehler \"CredSSP required by server\" <\/h2>\n

Der Fehler \"CredSSP required by server\" ist wohl eine Dauerbaustelle zwischen Linux und Windows, wenn ich diesen Artikel<\/a> richtig interpretiere. Interessant ist dieser Artikel, weil er Hintergr\u00fcnde und Ma\u00dfnahmen zur Abhilfe beschreibt. Dort wird Freerdp als RDP-Client vorgeschlagen, da dieser wohl funktioniert. <\/p>\n

Es kann sein, dass es jetzt eine Einzelbeobachtung ist (ich kann aus diversen Gr\u00fcnden momentan nichts testen) \u2013 ihr k\u00f6nnt ja hier ggf. eine R\u00fcckmeldung geben, ob ihr betroffen seid und falls ihr das anders gel\u00f6st habt. <\/p>\n

\u00c4hnliche Artikel:<\/strong>
CredSSP-Sicherheitsl\u00fccke in RDP unter Windows<\/a>
Microsoft blockt bald RDP-Anfragen von Clients<\/a>
Windows-Remoteunterst\u00fctzung als Risiko<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Im Vorfeld des Patchday und kommender Updates noch ein kleiner Hinweis auf CredSSP-Updates f\u00fcr Windows. Diese k\u00f6nnen zu Konflikten bei Remote Desktop-Verbindungen zwischen Linux und Windows f\u00fchren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,123,301],"tags":[6939,6941,6940,3205,4315],"class_list":["post-203162","post","type-post","status-publish","format-standard","hentry","category-linux","category-netzwerk","category-windows","tag-credssp","tag-nla","tag-rdesktop","tag-rdp","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203162","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=203162"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203162\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=203162"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=203162"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=203162"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}