{"id":204197,"date":"2018-05-11T15:34:54","date_gmt":"2018-05-11T13:34:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=204197"},"modified":"2024-02-11T19:13:05","modified_gmt":"2024-02-11T18:13:05","slug":"keine-rdp-verbindungen-nach-windows-mai-2018-update-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/05\/11\/keine-rdp-verbindungen-nach-windows-mai-2018-update-mehr\/","title":{"rendered":"Keine RDP-Verbindungen nach Windows Mai 2018-Update mehr"},"content":{"rendered":"

[English]Seit dem Microsoft die Mai 2018-Updates f\u00fcr Windows freigegeben hat, mehren sich die Berichte, dass Nutzer Probleme mit Remote Desktop- oder VPN-Verbindungen haben. Es kommt zu einem CredSSP-Authentifizierungsfehler. Das ist by Design, hier ein paar Informationen.<\/p>\n

<\/p>\n

Pl\u00f6tzlich keine RDP-Verbindung mehr<\/h2>\n

\"\"Administratoren in Firmenumgebungen, die die Mai 2018-Updates unter Windows installieren, stellen pl\u00f6tzlich fest, dass keine RDP-Verbindungen mehr m\u00f6glich sind. Windows bringt stattdessen einen Fehlerdialog.<\/p>\n

\"RDP<\/p>\n

Der betreffende Fehlertext lautet in englischer Sprache:<\/p>\n

An authentication error has occurred.
\nThe function requested is not supported<\/p>\n

Remote computer: <computer name>
\nThis could be due to CredSSP encryption oracle remediation.
\nFor more information, see https:\/go.microsoft.com\/fwlink\/?linkid=866660<\/a><\/p><\/blockquote>\n

Es ist bei der Authentifizierung ein Fehler aufgetreten, die geforderte Funktion wird nicht unterst\u00fctzt. Hier im Blog findet sich z.B. dieser Kommentar<\/a> zum Thema. Ich habe aber weitere Forenpostings zu diesem Thema gesehen. Bei Technet gibt es z.B. diesen Thread. Und hier<\/a> hat sogar jemand einen Blog-Beitrag zum Thema ver\u00f6ffentlicht.<\/p>\n

Die Sicherheitsl\u00fccke CVE-2018-0886<\/h2>\n

Der technische Hintergrund ist, dass in den Remote Desktop Protokollen (RDP) von Windows eine kritische Sicherheitsl\u00fccke entdeckt wurde, die alle Windows-Versionen betrifft. Die Sicherheitsl\u00fccke CVE-2018-0886<\/a> erm\u00f6glicht Remote-Angreifern, RDP- und WinRM-Verbindungen zum Stehlen von Daten oder zum Ausf\u00fchren von Malware zu nutzen. Konkret steckt die kritische Sicherheitsl\u00fccke Credential Security Support Provider-Protokoll (CredSSP), das in allen bisherigen Versionen von Windows verwendet wird.<\/p>\n

Das CredSSP-Protokoll wurde f\u00fcr die Verwendung durch RDP (Remote Desktop Protocol) und Windows Remote Management (WinRM) entwickelt. Das Protokoll \u00fcbernimmt die sichere Weiterleitung der vom Windows-Client verschl\u00fcsselten Anmeldeinformationen an die Zielserver zur Remote-Authentifizierung. Ich hatte Mitte M\u00e4rz 2018 im Blog-Beitrag CredSSP-Sicherheitsl\u00fccke in RDP unter Windows<\/a> \u00fcber dieses Problem berichtet.<\/p>\n

Das Problem war lange angek\u00fcndigt<\/h2>\n

Microsoft hat diese Sicherheitsl\u00fccke im M\u00e4rz 2018 mit Updates geschlossen und noch weitergehende Ma\u00dfnahmen verk\u00fcndet. Ende M\u00e4rz 2018 kam der Hinweis, dass mit dem Mai 2018-Update RDP-Anfragen von ungepatchten Clients blocken werden sollen. Administratoren mussten also reagieren.<\/p>\n

<\/h2>\n

Microsoft-Empfehlungen<\/h3>\n

Im Microsoft KB-Artikel 4093492<\/a> findet sich nicht nur die Erkl\u00e4rung zur Sicherheitsl\u00fccke im Credential Security Support Provider Protocol (CredSSP). Microsoft empfahl Administratoren bereits im M\u00e4rz 2018 dringend, das Update auf Servern und Clients durchg\u00e4ngig zu installieren.<\/p>\n

Weiterhin sind die Gruppenrichtlinien so anzupassen, dass die Einstellungen \"Force Updates Clients\" und \"Mitigated\" sowohl auf dem Server als auch auf den Clients sobald wie m\u00f6glich aktiviert werden. Dies soll die Server gegen unsichere (ungepatchte) Clients absichern. Das Ganze ist im Blog-Beitrag Microsoft blockt bald RDP-Anfragen von Clients<\/a> ausf\u00fchrlicher angesprochen worden.<\/p>\n

Die Mai 2018-Updates riegeln ungepatchte Clients ab<\/h2>\n

In obigem Blog-Beitrag hatte ich auch den 8. Mai 2018 genannt. Zu diesem Datum hatte Microsoft geplant, ein Update auszurollen, um die Standardeinstellung von Vulnerable (verwundbar) auf Mitigated (abgesichert) zu \u00e4ndern. Ab Installation dieses Updates sind dann keine RDP-Verbindungen von ungepatchten Clients mehr m\u00f6glich.<\/p>\n

In den KB-Artikeln zu den Sicherheitsupdates Mai 2018 f\u00fcr Windows 7 bis Windows 10 finden sich in der Liste der Fixes (siehe Linkliste am Artikelende) immer folgender Hinweis:<\/p>\n

Addresses an issue that may cause an error when connecting to a Remote Desktop server. For more information, see CredSSP updates for CVE-2018-0886<\/a>.<\/p><\/blockquote>\n

Der verlinkte Artikel enth\u00e4lt Hinweise, wie Gruppenrichtlinien anzupassen sind, um RDP-Verbindungen zuzulassen.<\/p>\n

Was kann ich tun?<\/h2>\n

Wer von dem Problem der geblockten RDP-Verbindungen betroffen ist, k\u00f6nnte die Sicherheitsupdates vom Mai 2018 deinstallieren. Das ist aber keine gute Idee.<\/p>\n

Administratoren sollten vielmehr sicherstellen, dass sowohl die Clients als auch die Server mit den M\u00e4rz 2018 Sicherheitsupdates versehen sind. Bei Windows 10 sollten kumulative Updates reichen \u2013 bei Windows 7\/8.1 und den Server-Pendants m\u00fcsste das Security Only-Rollup vom Mai 2018 die notwendigen Updates ebenfalls bereitstellen \u2013 andernfalls die M\u00e4rz 2018-Updates nachholen. F\u00fcr Windows 8.1 \/ Windows Server 2012 R2 ist dies zum Beispiel KB4103725<\/a>.<\/p>\n

Wer diese Updates, auf Grund von Problemen, noch nicht installieren kann, muss sich vor\u00fcbergehend mit Workarounds behelfen.<\/p>\n