derwowusste
Goto Top

CredSSP-Updates beißen sich mit rdesktop

https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve ... beschreibt notwendige Patches und Policies, um CredSSP abzusichern, welches unter anderem bei RDP-Verbindungen mit Single Sign on zum Einsatz kommt. Solltet Ihr das in Eurem Netzwerk gepatcht und abgesichert haben, achtet darauf, ob Remoteverbindungen von Linuxclients aus (mittels z.B. rdesktop) noch funktionieren. Hier, auf SUSE Leap, kann keine RDP-Verbindung mehr zu Windowsrechnern hergestellt werden, es sei denn, man deaktiviert windowsseitig NLA.
Sonst kommt auf Linux der Fehler "CredSSP required by server"

Also: für Kompatibilität mit rdesktop (falls benötigt) entweder ganz auf NLA verzichten, oder den Patch auf "mitigated" einstellen, nicht auf "Force updated clients"!

->Falls Ihr die GPO auf "Force updated clients" eingestellt haben solltet und dennoch kompatible Linux-RDP-Clients habt, würde mich sehr interessieren, welche das sind.

Edit: Beim Testen ist mir etwas durcheinandergegangen. Folgende Änderung der Ansage:
rdesktop kann von sich aus kein CredSSP - seine Unfähigkeit hat mit der neuen Policy somit nichts zu tun.
Andere RDP-Clients wie krdc, welche CredSSP beherrschen, funktionieren wie angesagt nur bis zur Einstellung "mitigated".

Content-Key: 370535

Url: https://administrator.de/contentid/370535

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 10.04.2018 um 13:36:27 Uhr
Goto Top
Beim Testen ist mir etwas durcheinandergegangen. Folgende Änderung der Ansage:
rdesktop kann von sich aus kein CredSSP - seine Unfähigkeit hat mit der neuen Policy somit nichts zu tun.
Andere RDP-Clients wie krdc, welche CredSSP beherrschen, funktionieren wie angesagt nur bis zur Einstellung "mitigated".
Mitglied: sabines
sabines 24.04.2018 um 08:17:08 Uhr
Goto Top
Moin,

ich habe den Patch installiert und die GPO ebenfalls konfiguriert.

Obwohl für einen Server der HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters auf 0 (also Force updated clients) steht, kann ich von Knoppix eine rdesktop Sitzungs zum Server (W2008R2) aufbauen und mich anmelden.

Kann das einer nachvollziehen?
Habe ich was übersehen?

Gruss
Mitglied: DerWoWusste
DerWoWusste 24.04.2018 um 08:39:19 Uhr
Goto Top
Hi.

Habe ich was übersehen?
Evtl. CredSSP ganz ausgeschaltet?
capture
Dieser Haken muss gesetzt sein und ist evtl. bei Dir nicht gesetzt.
Mitglied: sabines
sabines 24.04.2018 um 13:16:21 Uhr
Goto Top
Danke für den Hinweis, das ist per GPO gesetzt, nur nicht da wo ich getestet habe.
Asche auf mein Haupt, kaum macht man's richtig, funktioniert's.
Mitglied: NetzwerkDude
NetzwerkDude 27.04.2020 um 16:53:13 Uhr
Goto Top
Ja ich weiß man soll alte Threads nicht wiederbeleben, aber da ich das hier über Google fand, findets evtl. auch jemand anders, daher der Workaround:
https://github.com/rdesktop/rdesktop/wiki/Network-Level-Authentication-( ...
--> Man nutzt für CredSSP z.B. den krb5-client - dannach geht auch rdesktop über NLA

MFG
N-Dude