RDP-Authen­tifizierung: CredSSP-Delegierung über Gruppenrichtlinien konfigurieren

Im März brachte Microsoft einen Fix für eine Schwachstelle in der CredSSP-Implementierung. Um zu verhindern, dass noch nicht aktua­lisierte Systeme beim Aufbau einer RDP-Session scheitern, wenn die Gegenstelle den Patch bereits hat, ließ das Update auch unsichere Verbindungen zu.

Gleichzeitig führte Microsoft eine neue Einstellung in den Gruppen­richt­linien ein, mit denen Admins das CredSSP-Verhalten steuern können. Sie wirkt sich je nach Konfiguration auf das Verhalten von Clients und Server aus.

RDP-Verbindung zu unsicherem Server blockiert

Wer anfangs auf die Konfiguration dieser Einstellung verzichtete, erhöhte damit zwar die Sicherheits­risiken, war aber mit keinen Ein­schränkungen von Services konfrontiert. Das änderte sich mit einem Update im Mai, das Clients so konfigurierte, dass sie sich nicht mehr mit unsicheren Servern verbinden.

Beim Herstellen einer Remotedesktop-Verbindung von einem aktualisierten Client zu einem Server ohne den CredSSP-Patch erhalten Benutzer seitdem die Fehlermeldung "Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt. (…) Ursache könnte eine CredSSP Encryption Oracle Remediation sein."

Konfiguration per GPO empfohlen

Im Idealfall verschwindet das Problem, weil der Administrator das Sicherheits-Update auf allen Rechnern installiert hat. Wenn das aus irgendwelchen Gründen nicht klappt, etwa weil Linux-Rechner mit rdesktop eine Session auf einem Windows-Server aufbauen sollen, dann muss das Verhalten von CredSSP entsprechend konfiguriert werden.

Unabhängig davon ist es eine vernünftige vorbeugende Maßnahme, unsichere Verbindungen über ein GPO so weit wie möglich zu verhindern. Sollte das Update bei einzelnen Maschinen doch fehlen, dann werden sie auf diese Weise abgewiesen.

Optionen für die neue Einstellung

Die von Microsoft dafür vorgesehene Einstellung in den Gruppen­richtlinien heißt Encryption Oracle Remediation (Abhilfe gegen Verschlüsselungsorakel). Sie findet sich unter Computer­konfiguration => Richt­linien => Administrative Vorlagen => System => Delegierung von Anmelde­informationen.

Sie bietet drei Optionen:

• Vulnerable: Dieser Wert erlaubt jede Kombination aus sicheren bzw. unsicheren Clients und Servern. Wenn der Patch für das CredSSP-Problem nicht auf sämtlichen Rechnern installiert ist, werden damit auch sichere Systeme einem Risiko ausgesetzt.
• Mitigated: Clients können sich bei dieser Einstellung nicht mit unsicheren Gegenstellen verbinden, Server lassen aber Clients zu, bei denen das Update nicht eingespielt wurde. Diese Variante würde sich für das erwähnte Problem mit rdesktop eignen.
• Force Updated Clients: Diese Option sorgt dafür, dass Server alle Clients ohne Patch abweisen. Wird ein GPO mit dieser Einstellung auf Clients angewandt, dann verweigern sie die Verbindung mit einem Server, wenn er das Update nicht installiert hat. Sichere Clients kooperieren also nur mehr mit ebensolchen Servern, und umgekehrt gilt das Gleiche.

Während die geänderte Einstellung in den Gruppen­richt­linien nach dem Aufruf von gpupdate sofort greift, erfordert CredSSP aber einen Neustart des Rechners, um sein Verhalten anzupassen.

Über das Update spielt Microsoft auch ein aktualisiertes Template für die Gruppen­richtlinien ein, das die genannte Einstellung enthält. Verwendet man jedoch einen Central Store für die administrativen Vorlagen, dann muss man die Dateien CredSSP.admx und CredSSP.adml von einer aktualisierten Workstation selbst dorthin kopieren.