5
CredSSP-Updates beißen sich mit rdesktop
https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve ... beschreibt notwendige Patches und Policies, um CredSSP abzusichern, welches unter anderem bei RDP-Verbindungen mit Single Sign on zum Einsatz kommt. Solltet Ihr das in Eurem Netzwerk gepatcht und abgesichert haben, achtet darauf, ob Remoteverbindungen von Linuxclients aus (mittels z.B. rdesktop) noch funktionieren. Hier, auf SUSE Leap, kann keine RDP-Verbindung mehr zu Windowsrechnern hergestellt werden, es sei denn, man deaktiviert windowsseitig NLA.
Sonst kommt auf Linux der Fehler "CredSSP required by server"
Also: für Kompatibilität mit rdesktop (falls benötigt) entweder ganz auf NLA verzichten, oder den Patch auf "mitigated" einstellen, nicht auf "Force updated clients"!
->Falls Ihr die GPO auf "Force updated clients" eingestellt haben solltet und dennoch kompatible Linux-RDP-Clients habt, würde mich sehr interessieren, welche das sind.
Edit: Beim Testen ist mir etwas durcheinandergegangen. Folgende Änderung der Ansage:
rdesktop kann von sich aus kein CredSSP - seine Unfähigkeit hat mit der neuen Policy somit nichts zu tun.
Andere RDP-Clients wie krdc, welche CredSSP beherrschen, funktionieren wie angesagt nur bis zur Einstellung "mitigated".
Sonst kommt auf Linux der Fehler "CredSSP required by server"
Also: für Kompatibilität mit rdesktop (falls benötigt) entweder ganz auf NLA verzichten, oder den Patch auf "mitigated" einstellen, nicht auf "Force updated clients"!
->Falls Ihr die GPO auf "Force updated clients" eingestellt haben solltet und dennoch kompatible Linux-RDP-Clients habt, würde mich sehr interessieren, welche das sind.
Edit: Beim Testen ist mir etwas durcheinandergegangen. Folgende Änderung der Ansage:
rdesktop kann von sich aus kein CredSSP - seine Unfähigkeit hat mit der neuen Policy somit nichts zu tun.
Andere RDP-Clients wie krdc, welche CredSSP beherrschen, funktionieren wie angesagt nur bis zur Einstellung "mitigated".
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 370535
Url: https://administrator.de/contentid/370535
Ausgedruckt am: 17.11.2024 um 12:11 Uhr
5 Kommentare
Neuester Kommentar
Beim Testen ist mir etwas durcheinandergegangen. Folgende Änderung der Ansage:
rdesktop kann von sich aus kein CredSSP - seine Unfähigkeit hat mit der neuen Policy somit nichts zu tun.
Andere RDP-Clients wie krdc, welche CredSSP beherrschen, funktionieren wie angesagt nur bis zur Einstellung "mitigated".
rdesktop kann von sich aus kein CredSSP - seine Unfähigkeit hat mit der neuen Policy somit nichts zu tun.
Andere RDP-Clients wie krdc, welche CredSSP beherrschen, funktionieren wie angesagt nur bis zur Einstellung "mitigated".
Moin,
ich habe den Patch installiert und die GPO ebenfalls konfiguriert.
Obwohl für einen Server der HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters auf 0 (also Force updated clients) steht, kann ich von Knoppix eine rdesktop Sitzungs zum Server (W2008R2) aufbauen und mich anmelden.
Kann das einer nachvollziehen?
Habe ich was übersehen?
Gruss
ich habe den Patch installiert und die GPO ebenfalls konfiguriert.
Obwohl für einen Server der HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters auf 0 (also Force updated clients) steht, kann ich von Knoppix eine rdesktop Sitzungs zum Server (W2008R2) aufbauen und mich anmelden.
Kann das einer nachvollziehen?
Habe ich was übersehen?
Gruss
Hi.
Dieser Haken muss gesetzt sein und ist evtl. bei Dir nicht gesetzt.
Habe ich was übersehen?
Evtl. CredSSP ganz ausgeschaltet?
1
Danke für den Hinweis, das ist per GPO gesetzt, nur nicht da wo ich getestet habe.
Asche auf mein Haupt, kaum macht man's richtig, funktioniert's.
Asche auf mein Haupt, kaum macht man's richtig, funktioniert's.
Ja ich weiß man soll alte Threads nicht wiederbeleben, aber da ich das hier über Google fand, findets evtl. auch jemand anders, daher der Workaround:
https://github.com/rdesktop/rdesktop/wiki/Network-Level-Authentication-( ...
--> Man nutzt für CredSSP z.B. den krb5-client - dannach geht auch rdesktop über NLA
MFG
N-Dude
https://github.com/rdesktop/rdesktop/wiki/Network-Level-Authentication-( ...
--> Man nutzt für CredSSP z.B. den krb5-client - dannach geht auch rdesktop über NLA
MFG
N-Dude
