NTLM отключен, ошибка CredSSP при подключении RDP

tag-icon tag-icon windows security remote-desktop ntlm windows-server-2019
NTLM отключен, ошибка CredSSP при подключении RDP

Я пытаюсь отключить NTLM (в целях безопасности) на новом домене.

Я активирую Network security: Restrict NTLM: Incoming NTLM traffic, Network security: Restrict NTLM: NTLM authentication in this domainи Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers, чтобы запретить все входящие и исходящие NTLM-сообщения от/к клиентам/серверам.

настройки

Но затем, при попытке подключения через RDP, я получаю следующее сообщение об ошибке:

сообщение об ошибке

Я проверил предоставленную ссылку, и мой клиент Win 10 и мои серверы Windows 2019 полностью обновлены, а их tspkg.dll имеют более высокую версию, чем та, в которой установлен патч для исправления CVE credssp/oracle.

Я даже попробовал это на совершенно новом лабораторном домене в локальной виртуальной машине: то же самое.

Я также пытался понизить уровень аутентификации до «уязвимого» через gpedit, но безрезультатно.

Я где-то упустил какую-то настройку?

ссылка :https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-audit-incoming-ntlm-traffic

ссылка :https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain

решение1

У меня, когда в политике домена по умолчанию включено ограничение NTLM «Запретить для серверов домена» и на серверах проверен NLA, похоже, что подключение к удаленному рабочему столу (mstsc.exe) работает только с именами DNS, при использовании реальных IP-адресов серверов оно не работает.

решение2

В этой ссылке я нахожу решение

https://blog.getcryptostopper.com/rdp-brute-force-attack-detection-and-blacklisting-with-powershell

Рабочий стол>>Свойства>>Удаленный доступ>>Аутентификация (снимите флажок NLA)

решение3

Нет возможности включить NLA и отключить NTLM. Я проверил это на Windows Server 2012 и 2016. Я попробовал все стандартные изменения групповой политики с установкой cred ssp oracle remediation на уязвимый, но это не дало никакого эффекта.

Если вы хотите отключить NTLM в групповой политике, вам необходимо отключить NLA.

Если кто-то нашел способ оставить NLA включенным и отключить NTLM в групповой политике, я был бы рад услышать об этом, но пока нигде в Интернете я не нашел инструкций, как это успешно сделать.

решение4

Вы можете добавлять исключения с помощью групповой политики. Вы можете исключать серверы, используя их полное доменное имя или IP-адрес.

введите описание изображения здесь

Связанный контент