RDP-Authen­tifizierung: CredSSP-Delegierung über Gruppenrichtlinien konfigurieren

    Authentifizierung über Username und PasswortIm ersten Quartal 2018 ver­öffent­lichte Micro­soft einen Patch für den Credential Security Support Provider (CredSSP). Seit­dem kann es beim Aufbau einer RDP-Ver­bindung zu einem Authen­tifizierungs­fehler kommen. Abhilfe schafft neben dem Ein­spielen des Patches die CredSSP-Konfigu­ration via GPO.

    CredSSP erlaubt es, Anmelde­informationen an einen Remote-Host weiter­zuleiten, wo sie dann zur Authen­tifizierung ver­wendet werden. Bekannte Anwendungen, die dieses Verfahren nutzen, sind der RDP-Client oder PowerShell. Für Letztere kann CredSSP das Second-Hop-Problem lösen, wenn man aus einer Remote-Session eine Verbindung zu einem weiteren Remote-Rechner aufbauen möchte.

    Patch mit unsicherer Konfiguration

    Im März brachte Microsoft einen Fix für eine Schwachstelle in der CredSSP-Implementierung. Um zu verhindern, dass noch nicht aktua­lisierte Systeme beim Aufbau einer RDP-Session scheitern, wenn die Gegenstelle den Patch bereits hat, ließ das Update auch unsichere Verbindungen zu.

    Gleichzeitig führte Microsoft eine neue Einstellung in den Gruppen­richt­linien ein, mit denen Admins das CredSSP-Verhalten steuern können. Sie wirkt sich je nach Konfiguration auf das Verhalten von Clients und Server aus.

    RDP-Verbindung zu unsicherem Server blockiert

    Wer anfangs auf die Konfiguration dieser Einstellung verzichtete, erhöhte damit zwar die Sicherheits­risiken, war aber mit keinen Ein­schränkungen von Services konfrontiert. Das änderte sich mit einem Update im Mai, das Clients so konfigurierte, dass sie sich nicht mehr mit unsicheren Servern verbinden.

    Wenn ein Server den CredSSP-Patch nicht enthält, dann verweigern aktualisierte Clients die RDP-Verbindung.

    Beim Herstellen einer Remotedesktop-Verbindung von einem aktualisierten Client zu einem Server ohne den CredSSP-Patch erhalten Benutzer seitdem die Fehlermeldung "Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt. (…) Ursache könnte eine CredSSP Encryption Oracle Remediation sein."

    Konfiguration per GPO empfohlen

    Im Idealfall verschwindet das Problem, weil der Administrator das Sicherheits-Update auf allen Rechnern installiert hat. Wenn das aus irgendwelchen Gründen nicht klappt, etwa weil Linux-Rechner mit rdesktop eine Session auf einem Windows-Server aufbauen sollen, dann muss das Verhalten von CredSSP entsprechend konfiguriert werden.

    Unabhängig davon ist es eine vernünftige vorbeugende Maßnahme, unsichere Verbindungen über ein GPO so weit wie möglich zu verhindern. Sollte das Update bei einzelnen Maschinen doch fehlen, dann werden sie auf diese Weise abgewiesen.

    Optionen für die neue Einstellung

    Die von Microsoft dafür vorgesehene Einstellung in den Gruppen­richtlinien heißt Encryption Oracle Remediation (Abhilfe gegen Verschlüsselungsorakel). Sie findet sich unter Computer­konfiguration => Richt­linien => Administrative Vorlagen => System => Delegierung von Anmelde­informationen.

    GPO-Einstellung für den CredSSP-Patch

    Sie bietet drei Optionen:

    • Vulnerable: Dieser Wert erlaubt jede Kombination aus sicheren bzw. unsicheren Clients und Servern. Wenn der Patch für das CredSSP-Problem nicht auf sämtlichen Rechnern installiert ist, werden damit auch sichere Systeme einem Risiko ausgesetzt.
    • Mitigated: Clients können sich bei dieser Einstellung nicht mit unsicheren Gegenstellen verbinden, Server lassen aber Clients zu, bei denen das Update nicht eingespielt wurde. Diese Variante würde sich für das erwähnte Problem mit rdesktop eignen.
    • Force Updated Clients: Diese Option sorgt dafür, dass Server alle Clients ohne Patch abweisen. Wird ein GPO mit dieser Einstellung auf Clients angewandt, dann verweigern sie die Verbindung mit einem Server, wenn er das Update nicht installiert hat. Sichere Clients kooperieren also nur mehr mit ebensolchen Servern, und umgekehrt gilt das Gleiche.

    Während die geänderte Einstellung in den Gruppen­richt­linien nach dem Aufruf von gpupdate sofort greift, erfordert CredSSP aber einen Neustart des Rechners, um sein Verhalten anzupassen.

    Über das Update spielt Microsoft auch ein aktualisiertes Template für die Gruppen­richtlinien ein, das die genannte Einstellung enthält. Verwendet man jedoch einen Central Store für die administrativen Vorlagen, dann muss man die Dateien CredSSP.admx und CredSSP.adml von einer aktualisierten Workstation selbst dorthin kopieren.

    1 Kommentar

    Bild von Felix
    Felix sagt:
    30. August 2018 - 14:22

    Hi,

    Sehr guter Artikel, aber eine kleine Randnotiz: rdesktop wird unter Linux seit Jahren nicht wirklich weiterentwickelt.

    XFreeRDP wiederum schon. Dieser unterstützt auch CredSSP (unsere Linux Geräte (Notebooks, Thinclients und Desktops) waren sogar die einzigen Geräte, die mit diesem Update keinerlei Problem hatten.