Неприятное обновление безопасности в CredSSP и RDP


Еще в марте вышло обновление безопасности для CredSSP, которое закрывало возможность удаленного выполнения кода. Такие дыры в безопасности особенно опасны и должны закрываться максимально быстро.

RDP это касается в том случае, если включен режим NLA. А это рекомендуемый режим повышенной безопасности, и скорее всего он у вас включен.

CredSSP используется не только в RDP, так что другие приложения также могут быть подвержены это проблеме.

И так в мае 2018 вышел уже третий вариант этого обновления безопасности. Нужно патчить и клиент, и сервер. И перезагрузиться. Неприятность в том, что последнее обновление за май 2018 года изменяет умолчания с Vulnerable на Mitigated, чтобы вынудить администраторов установить обновление безопасности: если вы пропатчили клиент, то теряете доступ к непропатченному серверу. Чтобы этого избежать нужно выставить на клиенте в реестре значение ключа AllowEncryptionOracle в 2 (Vulnerable).

Можно предположить, что через месяц умолчание будет изменено на ещё более жесткое Mitigated на Force updated clients.

Как бы то ни было мы вынуждены будем вспоминать об этом обновлении ещё много лет всякий раз, как мы не сможем подключиться по RDP к какому-то серверу.

CredSSP updates for CVE-2018-0886

Реклама

Предупреждения сертификатов в Remote Desktop


Попалась статья, в которой описаны несколько сценариев настройки сертификатов в Remote Desktop. Привлекает стройность статьи. Полезна, если вы только задумались о наведении порядка в своей инфраструктуре. Остальные полезности найдете тут, в моем блоге в рубрике «Remote Desktop«.

Remote Desktop — убитая консоль RD Gateway


Если кратко, то (возможно) ноябрьское кумулятивное обновление 2017 года для Windows Server 2016 убивает консоль Remote Desktop Gateway. Возможно не только её. Читать далее

Remote Desktop — как один баг может взорвать всё!


Началось всё с древнего бага, который завершил своё существование на Windows Server 2016. Неважно что за баг (это уже другая история). Факт в том, что он исправлен только в Windows Server 2016. Пришлось задуматься о миграции одного сервера на Windows Server 2016. Как минимум надо предварительно обновить сервер KMS, чтобы активировать Windows Server 2016. К тому же исходный сервер оказался терминальным… Читать далее

Изменение порта RD Gateway


Если хотите сильно «зашифроваться», то в принципе возможно изменить рабочие порты (TCP и UPD) RD Gateway. Изменения придется внести на самом сервере RD Gateway, на шлюзе публикации и в клиенте (или на ферме, где динамически формируется rdp-файл. Как это сделать описано по ссылке.

 

DPI в Remote Desktop сессии


Как-то выскользнула из моего внимания эта тема, которая активно обсуждалась на форумах Technet несколько лет назад, но всё еще актуальна. Поэтому оставлю тут короткую заметку.

Иной раз пользователи, подключаясь в серверу по RDP, испытывают проблемы из-за мелкого шрифта. В давние времена можно было изменить настройки эрана в удаленной RDP сессии и сделать объекты крупнее. В версии Windows 2008 эта возможность пропала. Позднее появился отдельный патч, который возвращал эту возможность.

В Windows 2012 ситуация изменилась кординально. В удаленной сессии нет возможности менять DPI. Но не все так плохо. Теперь обновленный RDP клиент сам выполняет масштабирование. В удаленной сессии он устанавлиевает то же DPI, что и в локальной сессии. Иначе говоря, если вы выставили масштаб в 125% в локальных настройках экрана, то этот же масштаб будет в удаленной сессии.

Remote Desktop Gateway в ресурсном лесу


Даже не подозревал, что может быть проблема, если пользователи и Remote Desktop Gateway находятся в разных лесах – пользователи не могут пройти авторизацию на шлюзе.

Ситуация и решение подробно описаны в статье https://support.microsoft.com/en-ca/kb/972133

Суть в том, что в политику CAP нужно включать только универсальные группы, а уже в них глобальные из разных лесов.