微軟於 2018 年 5 月 8 日發行一道安全性更新,Windows 1703 的更新檔版號為 KB4103731;Windows 1709 的更新檔版號為 KB4103727;Windows 1803 的更新檔版號為 KB4103721
此次的安全性更新可能導致 Windows 設備無法正常使用遠端桌面或是被遠端連線,並出現錯誤訊息如下。
更新內容包含了CVE-2018-0886 的 CredSSP 更新,更正 CredSSP 在驗證過程中驗證要求的方式,藉此解決弱點。
詳細資訊請參考 Microsoft 支援服務。
修正遠端桌面問題 – 確認是否已安裝更新檔?
您可於桌面左下角的 Windows 按鈕圖示按滑鼠右鍵,點選【系統 → 關於】 確認 Windows 的版本號。
確認版本號後,點選工具列的搜尋列輸入【控制台】並點選進入。
點選【程式和功能 → 檢視已安裝的更新】,確認是否有上述的更新檔版號。
若使用者 Windows Update 未收到更新通知可於微軟資訊安全技術中心選擇相對應的更新檔並下載後手動安裝更新。
文內有提到此更新會將”加密 Oracle 補救”的”預設層級”從「易受攻擊」變更為「已降低」,並且列出可能導致遠端桌面失敗的原因,如下圖。
從此圖得知,若伺服器端未安裝此更新(未修補)且用戶端有安裝此次更新(已降低)即會導致無法進行遠端桌面連線。
(註:伺服器端為被連線端,用戶端為發出連線端。)
故強烈建議使用者用戶端以及伺服器端皆安裝此更新檔,除了提高安全性以外,遠端桌面也能恢復正常作業。
以我們現有的產品 Windows 10 NAS – NE-201 來舉幾個可能遇到的狀況:
假設我們有一台 Windows 10 PC (以下簡稱 PC )以及一台 NE-201
情況 | PC 有安裝更新檔, NE-201 未安裝更新檔 | PC 未安裝更新檔, NE-201 有安裝更新檔 | PC 未安裝更新檔, NE-201 未安裝更新檔 | PC 有安裝更新檔, NE-201 有安裝更新檔 |
PC 遠端桌面至 NE-201 | 失敗 | 成功 | 成功 | 成功 |
NE-201 遠端桌面至 PC | 成功 | 失敗 | 成功 | 成功 |
解決辦法 | NE-201 需安裝更新檔或參考本篇後方之解決辦法 | PC 需安裝更新檔或參考本篇後方之解決辦法 | 雖可成功連線,但仍建議使用者將兩端設備都安裝更新檔 | 無 |
若伺服器端因特殊需求,無法安裝最新的更新,可參考以下操作使遠端桌面可正常連線,請注意微軟提供的網頁內有說明,若改為”易受攻擊”會導致安全性降低,因此強烈建議使用者盡量避免使用以下方式修改保護層級。
無法安裝更新之解決辦法
1. 進入本機群組原則編輯器,在用戶端內點選 Windows 按鈕並輸入 gpedit.msc 後按下 Enter 進入。
2. 進入【電腦設定 → 系統管理範本 → 系統 → 認證委派】,雙擊滑鼠左鍵進入。
3. 進入認證委派後,雙擊點選加密 Oracle 補救措施。
預設為【尚未設定】。
4. 要將其設定為 【已啟用】,保護層級設定 “易受攻擊” 後按下【確定】。
可以看到加密 Oracle 補救措施狀態為【已啟用】。
5. 設定後需重新啟動,啟動後即可正常進行遠端連線。
再次提醒,若非特殊需求,不建議使用此方式修改保護層級,此修改方式會導致安全性降低,請見微軟提供的網頁說明。
建議使用者選擇將用戶端及伺服器端皆安裝此更新檔,以提升裝置安全性 。