Microsoft May-Sicherheitsupdate - CredSSP

1092
Sun Cleverland

Nach der Bereitstellung des Sicherheitsupdates vom Mai auf unseren Testmaschinen ist etwas sehr Merkwürdiges aufgetreten. Hier ist das Ding -

Client-Computer: Win 7 mit installierter Sicherheit im Mai, CredSSP-Patch

Servermaschinen: Win 2008R2, nicht gepatcht

Wir haben ZWEI bestimmte AD-Benutzerkonten, bei denen die FIRST-Anmeldung beim RDP-Versuch vom gepatchten Client zu nicht gepatchten Servern immer fehlschlägt. Der Fehler lautet "Unbekannter Benutzername oder Passwort". In der Ereignisanzeige kann ich Ereignis 4625 finden, das den gleichen Fehlergrund mit dem Status 0xc0000006c angibt: Substatus 0xc0000006a

Nach einigen Tests und Nachforschungen kam ich zu dem Schluss, dass dies etwas mit dem im Mai veröffentlichten CredSSP-Patch zu tun hat. Die Fehlermeldung stimmt jedoch nicht mit der in Microsoft KB https://support.microsoft.com/de-de/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 aufgeführten überein

Irgendwie passt es auch nicht zur Interoperabilitätsmatrix.

Das Seltsamste ist, dass dies nur diese zwei bestimmten AD-Konten betrifft (nur normale Benutzerkonten, ich kann mir nichts Besonderes über diese beiden Konten vorstellen). Nachdem der erste Anmeldeversuch fehlgeschlagen ist, konnten sie sich beim zweiten Versuch erfolgreich anmelden.

Die andere Lösung besteht in der Anwendung der in Microsoft KB genannten Sicherheitsrichtlinie (Ändern der ENcryption Oracle-Korrektur in Vulnerable).

Ich glaube, es ist definitiv durch den Sicherheitspatch vom Mai verursacht, aber ich konnte nicht herausfinden, warum es nur zwei AD-Konten betrifft. Ich würde das gleiche Verhalten bei allen AD-Nutzern erwarten.

2
Es ist wahrscheinlich, dass dies mit der Tatsache zusammenhängt, dass der Server hinter Patches zurückliegt. Gibt es einen Grund, warum Sie nicht versucht haben, das Problem zu lösen, indem Sie die verfügbaren Updates installieren? Twisty Impersonator vor 5 Jahren 1
Aufgrund dieser unerklärlichen Situation habe ich etwas gezögert, den Patch auf der Serverseite bereitzustellen. Ich würde es vorziehen, alles herauszufinden, anstatt direkt zu den Patches zu gehen. Ich mache mir Sorgen, es könnte andere mögliche Auswirkungen geben, die ich nicht vollständig erwarten konnte. Sun Cleverland vor 5 Jahren 0
Die Installation von Updates zur Behebung unerwünschten Verhaltens ist eine der * ersten * Aktionen, die ein Sysadmin ausführt. Das Verschieben dieses Schrittes ist gleichbedeutend mit der Forderung nach einer Erklärung, warum Ihr Auto nicht startet, bevor Sie versuchen, den Tank zu füllen. Twisty Impersonator vor 5 Jahren 2

1 Antwort auf die Frage

1
Sun Cleverland

Der KB4103712 löst das Problem. Es kann jedoch nicht erklärt werden, warum bestimmte AD-Konten sich vor der Anwendung des Patches zweimal anmelden müssen.

Verwandte Probleme