CredSSP Encryption Oracle Remediation – RDP

Nach einem großen Patchday 2018 von Microsoft klagten viele Benutzer darüber, dass sich keine Remote Desktop Verbindungen mehr aufbauen lassen. Hier erscheint die folgende Fehler-Meldung: Ursache könnte eine CredSSP Encryption Oracle Remediation sein. Doch warum erscheint die RDP Fehlermeldung, und wie kann man diese beheben? Wir zeigen euch wie ein einfacher Windows Registry Wert das Problem lösen kann.

CredSSP encryption Oracle remediation

CredSSP encryption Oracle remediation

Bei ungepatchten Windows Betriebssystemen von CredSSP besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Ein Angreifer könnte, der diese CredSSP Sicherheits-Lücke erfolgreich ausnutzen und die Windows Anmeldeinformationen von Benutzern weiterleiten. Damit ist es möglich schadhaften Code auf dem Zielsystem auszuführen.

Die genaue Fehlermeldung beim Verbinden auf einen Client lautet bei RDP-Verbindungen:

Authentifizierungsfehler.
Die angeforderte Funktion wird nicht unterstützt.

Remotecomputer: HOSTNAME
Ursache könnte eine CredSSP Encryption Oracle Remediation sein.
Weitere Informationen findet Sie unter https://go.microsoft.com/fwlink/?=linkid=866660

CredSSP encryption Oracle remediation – Remote Desktop Fehler beheben

Es gibt mehrere Möglichkeiten den CredSSP Fehler zu beheben. Hier bietet uns die Windows Registry und Gruppenrichtlinien / GPO im Active Directory Abhilfe. Ich nutze in größeren Netzwerken gerne Gruppenrichtlinien im AD, da sich diese schön verwalten lassen.

Gruppenrichtlinie / GPO

Wie oben schon gesagt, sollte man in größeren Netzwerken Gruppenrichtlinien verwenden, da sich diese besser verwalten lassen und es zu keinen Konfigurationsfehlern kommen kann. Hierzu erstellen wir einen neue Computer-Richtlinie und wechseln in folgendes Verzeichnis:

Computerkonfiguration\Administrative Vorlagen\System\Delegierung von Anmeldeinformationen

Hier gibt es eine Gruppenrichtlinie namens “Encryption Oracle Remediation (Abhilfe gegen Verschlüsselungsorakel)” welche aktiviert werden muss und die Einstellung auf “Vulnerable” gesetzt werden muss.

credssp gpo gruppenrichtlinie

Auf Englischen Systemen lautet der Pfad übrigens

Computerkonfiguration\Administrative Templates\System\Credentials Delegation

und die dazugehörige GPO lautet “Encryption Oracle Remediation“.

Windows Registry

Wenn das Problem bei einem oder wenigigen Clients im Netzwerk auftritt, so ist wahrscheinlich die Registry die beste Möglichkeit. Um das Problem über die Windows Registry zu beheben, öffnen wir den Registry-Editor und navigieren zu folgendem Pfad:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\

Hier müssen wir ein DWORD-Eintrag namens “AllowEncryptionOracle” hinzufügen. Dem Eintrag geben wir den Wert “2“. Falls der Eintrag schon vorhanden ist, müssen wir natürlich lediglich mit einem Doppelklick den Wert ändern.

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

Click Here to Leave a Comment Below 0 comments