Ошибка CredSSP, исправляем за минуту | Настройка серверов windows и linux

Введение

Одним из основных неудобств для пользователя при запуске удаленного рабочего стола или опубликованного на терминальном сервере приложения является необходимость ввода своих учетных данных. Ранее для решения этой проблемы использовался механизм сохранения учетных данных в настройках клиента удаленного рабочего стола.

Windows ssp

Следующие поставщики общих служб устанавливаются вместе с Windows:

Варианты исправления ошибки credssp

На самом деле вариантов много, есть правильные, есть и временные и обходные, которые нужно сделать быстро, чтобы хоть как-то работало, так как бизнес может в этот момент простаивать и терять деньги.

  • Вы можете удалить новое обновление безопасности, самый плохой вариант, но в ответственные моменты, иногда используется, чтобы перенести работы на вечер или ночь
  • Если нужно быстро получить доступ к серверу и избежать проверку подлинности credssp, то я вам советую отключить на принимающем подключении сервере галку NLA (Network Level Authentication) в русском варианте “Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол  с проверкой подлинности на уровне сети”
  • То же быстрый метод и на массовое применение, это использование групповой политики, которая изменит шифрование Oracle Remediation
  • Ну и самый правильный методэто установка обновлений на все ваши системы

Дополнительные ресурсы

· Single Sign-On for Terminal Services

· How to enable Single Sign-On for my Terminal Server connections

· Introducing Web Single Sign-On for RemoteApp and Desktop Connections

· Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3

Назначение credssp

Что такое CredSSP – это Win32 API, используемый системами Microsoft Windows для выполнения различных операций, связанных с безопасностью, таких как аутентификация. SSPI функционирует, как общий интерфейс для нескольких поставщиков поддержки безопасности (SSP).

Похожее:  Парсинг сайтов на Python: Руководство для новичков • iDatica

CredSSP позволяет приложению делегировать учетные данные пользователя от клиента целевому серверу для удаленной аутентификации. CredSSP предоставляет зашифрованный канал протокола безопасности транспортного уровня . Клиент проходит проверку подлинности по зашифрованному каналу с использованием протокола SPNEGO (Simple and Protected Negotiate) с Microsoft Kerberos или Microsoft NTLM.

После проверки подлинности клиента и сервера клиент передает учетные данные пользователя на сервер. Учетные данные дважды шифруются с использованием ключей сеанса SPNEGO и TLS. CredSSP поддерживает вход в систему на основе пароля, а также вход в систему с использованием смарт-карт на основе X.509 и PKINIT.

Отключаем шифрование credssp через gpo

Если у вас большая инфраструктура, в которой сотни компьютеров и сотни серверов, то вы можете до установки нужных обновлений в вечернее время, временно отключить новый уровень шифрования CredSSP и убрать ошибку “Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP”.

Для этого мы можем воспользоваться всеми плюсами доменной инфраструктуры Active Directory. Тут два варианта, вы можете создать массовую политику для распространения ее на нужные OU или если у вас требование для одного или двух локальных компьютеров, то на них можно запустить локальный редактор групповых политик, тем самым внеся изменения только на них.

Напоминаю, что оснастку управление групповой политикой вы можете найти на контроллере домена или компьютере с установленным пакетом RSAT, открыть ее можно через команду в окне “Выполнить” gpmc.msc. Если нужно открыть локальный редактор групповых политик, то в окне “Выполнить” введите gpedit.msc.

Вам необходимо перейти в ветку:

Практическая информация

В этом разделе рассмотрим ограничения на использование технологии прозрачной авторизации и проблемы, которые могут возникнуть при её применении.

1. Технология Single Sign-On работает только при соединении с компьютеров под управлением операционной системы не Windows XP SP3 и более старших версий. В качестве терминального сервера могут быть использованы компьютеры с операционной системой Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.

2. Если терминальный сервер, к которому устанавливается соединение, не может быть аутентифицирован через Kerberos или SSL-сертификат, SSO работать не будет. Это ограничение можно обойти с помощью политики:

Разрешить делегирование учетных данных, установленных по умолчанию с проверкой подлинности сервера «только NTLM».

3. Алгоритм включения и настройки данной групповой политики аналогичен представленному выше. Файл реестра, соответствующей данной настройке имеет следующий вид.

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCredentialsDelegation]

“AllowDefCredentialsWhenNTLMOnly”=dword:00000001

“ConcatenateDefaults_AllowDefNTLMOnly”=dword:00000001

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCredentialsDelegationAllowDefCredentialsWhenNTLMOnly]

Прозрачная авторизация на терминальных серверах с windows xp sp3 — реальные заметки ubuntu & mikrotik

В предыдущей заметке я показал, как настроить прозрачную авторизацию и как произвести подключение с рабочей станции под управлением Windows 7 x64, но всё это, в конечном счёте хорошо, но как быть с рабочими станциями под управлением Windows XP. Этому и посвящена данная заметка.

В роли тестовой, будет выступать рабочая станция под управлением Windows XP SP3 Rus.

На OS Windows XP SP2 и более ранних данная технология поддерживающая прозрачное аутентификацию не работает. Поэтому, если вы собираетесь внедрять SSO, вам следует обновить ваши клиентские операционные системы хотя бы до SP3.

Попытка подключения рабочей станции под управлением Windows XP SP3 RUS через mstsc к терминальному серверу fileserv.polygon.local завершилась неудачей.

Отсутствие необходимых разрешений при подключении с рабочей станции Windows XP SP3.

Т.к. в системеWindows XP SP3возможностьCredSSPпо умолчаниюВЫКЛЮЧЕНА, включим, для этого откроем уже существующую групповую политику GPO_CredSSP_Terminal и перейдем в следующие пункты:

«Computer Configuration» – «Preferences» – «Windows Settings» – «Registry»

Следует создать ключи реестра с действием – обновить (Update)

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
В значении “Security Packages” типа REG_MULTI_SZ дописать “tspkg” к уже существующим данным, см. скриншот для наглядного понимания.

Дописать “tspkg” к уже существующим данным

Следует создать ключи реестра с действием – обновить (Update)

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders]

В значении “Security Packages” типа REG_MULTI_SZ  credssp.dll дописать к уже существующим данным, указанным для SSP, см. скриншот для наглядного понимания.

Ошибка CredSSP, исправляем за минуту | Настройка серверов windows и linux

У Вас должно получиться вот так:

Результат дописывания при обновлении ключей реестра.

Открываем свойства на каждом ключе реестра, щёлкнув правой кнопкой мыши.

См. скриншот для наглядного понимания.

Открываем свойства ключей реестра.

Далее Common – ставим галочку напротив пункта Item-level targeting, щёлкаем на Targeding… New Item (Operating System) и приводим к виду, как у меня на скриншоте:

Привязываем применение ключей реестра применительно к рабочим станциям под управлением Windows XP SP3.

Также нужно будет по аналогии выше сделать для ключей, но сперва выполнить их на машине на которой настраиваем групповую политику, в данном случаем это dc1.polygon.local

Запускаем командную строку с правами Администратора и выполняем следующие строчки.

reg add HKLMSOFTWAREPoliciesMicrosoftWindowsCredentialsDelegation /v AllowDefaultCredentials /t REG_DWORD /d 00000001 /f

reg add HKLMSOFTWAREPoliciesMicrosoftWindowsCredentialsDelegation /v ConcatenateDefaults_AllowDefault /t REG_DWORD /d 00000001 /f

reg add HKLMSOFTWAREPoliciesMicrosoftWindowsCredentialsDelegationAllowDefaultCredentials /v 1 /t REG_SZ /d TERMSRV/* /f

, после их можно будет удалить, т.к. здесь они уже больше не понадобятся.

Отлично, с этим справились. Теперь, чтобы Windows XP SP3 смогла работать с этой групповой политикой нужно на рабочие станции распространить следующий KB943729 файл. В прошлой статье я рассказал, для чего он нужен. После этого произвести подключение к терминальному серверу mstsc /v:fileserv.polygon.local и произойдёт  прозрачная аутентификация. На этом всё, удачи!!!

Самый правильный метод, это установка обновлений

Когда вам удалось везде подключиться и подошло время обслуживания ваших серверов, быстренько производим установку обновлений закрывающих брешь (CVE-2022-0886 | CredSSP Remote Code Execution Vulnerability).

Заключение

В статье рассмотрена технология прозрачной авторизации на терминальных серверах Single Sign-On. Её использование позволяет сократить время, затрачиваемое пользователем для входа на терминальный сервер и запуск удаленных приложений. Кроме того, с её помощью достаточно единожды вводить учетные данные при входе на локальный компьютер и затем использовать их при соединении с терминальными серверами домена. Механизм передачи учетных данных достаточно безопасен, а настройка серверной и клиентской части предельно проста.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *