Рейтинг
0.00

VPS.house

0 читателей, 3 топика

CredSSP encryption oracle remediation – ошибка при подключении по RDP

Начиная с 8 мая 2018 года, после установки обновлений на свой персональный компьютер, многие пользователи серверов под управлением ОС Windows Server столкнулись с ошибкой «CredSSP encryption oracle remediation» при попытке подключения к удалённому рабочему столу:


На самом деле это не ошибка, а уведомление о проблеме безопасности давно необновлённого сервера.
13 марта 2018 года вышла информация об уязвимости в протоколе CredSSP и первые патчи для ее закрытия в серверных операционных системах. Эта уязвимость позволяет в обход проверки выполнять на самом сервере от имени передаваемых учётных записей различные команды, включая установку и удаление произвольного программного обеспечения, изменение и удаление данных на сервере, создание учётных записей с произвольными правами.

С этой проблемой не столкнулись те, кто своевременно устанавливал накопительные обновления на свой сервер. В марте они вышли для серверных операционных систем, для десктопных ОС они автоматически установились с прочими обновлениями в мае.

Для решения проблемы первым делом нужно к нему все-таки подключиться. Проще всего это сделать через авариный режим работы с сервером в вашем личном кабинете – такое есть почти у кажого провайдера VPS / VDS серверов. На VPS.house это делается простым кликом на скриншот экрана сервера в личном кабинете:


Или же вы можете на время просто отключить на компьютере, с которого пытаетесь подключаться, данное блокирующее уведомление о проблеме безопасности:
Инструкция для тех, кто пользуется редакцией Windows HOME:
1. Запустите на вашем компьютере (том, с которого хотите подключиться к серверу) командную строку от имени администратора

2. Наберите следующий текст в командной строке (можно скопировать и вставить):
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Эта команда вносит изменения в реестр Windows, разрешая вашему компьютеру подключаться с протоколом шифрования CredSSP к ещё необновлённому серверу.

Если в результате выполнения вы получили ошибку «Отказано в доступе», значит вы запустили командную строку НЕ от имени администратора (см. на скриншоте выше как запускается командная строка корректно).

Инструкция для тех, кто пользуется редакцией Windows PRO:
1. Откройте редактор групповых политик, для этого в командной строке или в PowerShell наберите «gpedit.msc» или найдите его через поиск на вашем ПК по фразе «Edit group policy» или «Изменение групповой политики» если вы работаете в русскоязычном интерфейсе.

Если после выполнения этой команды вы получили ошибку о том, что команда не найдена или не является внутренней или внешней командой, значит у вас Windows не версии PRO, а скорее всего HOME и вам нужно смотреть инструкцию выше.
2. В папках настроек дерева слева вам необходимо открыть:
Computer Configuration -> Administrative Templates -> System -> Credentials Delegation

если ваша ОС русифицирована, то:
Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных


3. В папке «Credentials Delegation» («Передача учетных данных») найдите параметр «Encryption Oracle Remediation» («Исправление уязвимости шифрующего оракула»), откройте его, включите его использование, выбрав «Enabled» («Включено») и установите значение параметра в выпадающем списке на «Vulnerable» («Оставить уязвимость»)

После выполнения этих действий на вашем ПК, вы сможете подключаться к серверу также, как и раньше, но это не решение проблемы безопасности.

Как только вы подключились к серверу, установите обновления как это делается в любой десктопной версии Windows.


Если при попытке установки возникает ошибка, поверьте запущена ли служба «Windows Update» («Центр обновления Windows»). Открыть список служб можно по пути:
Start -> Windows Administrative Tools -> Services

если ваша ОС русифицирована, то:
Пуск -> Средства администрирования Windows -> Службы

Если служба не запускается, проверьте, разрешен ли ее запуск: статус не должен быть «Disabled» («Отключена»).


Если вы используете Windows Server 2012 R2 или Windows Server 2008 R2 SP1, то вы можете установить не все обновления, а только одно, исправляющее эту уязвимость и тем самым значительно быстрее решить проблему подключения к серверу.

Скачать его можно прямо с сайта Microsoft на странице описания уязвимости:

Если, прочитав всё описанное выше, вам так и не удалось понять, что нужно сделать или если ничего не получилось, вы всегда можете пересоздать сервер в личном кабинете – эта функция также есть у любого провайдера облачных услуг. Она существует для получения сервера чистого, как будто вы только что его заказали, он будет пустым, все ваши данных будут потеряны! Прибегаете к ней только в крайней необходимости и в случае если на вашем сервере не хранится и не работает ничего важного или требующего долгой последующей настройки.



Все образы операционных систем Windows Server на VPS.house по умолчанию содержат все последние обновления и после пересоздания сервера проблем с ошибкой «CredSSP encryption oracle remediation» при подключении к нему уже не будет.

Виртуальный сервер с экстремальной производительностью



Со вчерашнего дня мы добавили в работу совершенно новое и уникальное на рынке облачных услуг оборудование – таких VPS / VDS вы не найдете ни у одного провайдера:
  • Новейшие процессоры Intel Xeon W-2145 с тактовой частотой 3.7ГГц, а благодаря мощной системе жидкостного охлаждения они работают у нас практически все время на частоте 4.4ГГц
  • Оперативная память — самая быстрая из всех существующих серверных вариантов с частотой 2666МГц
  • Дисковая система – один из самых надёжных и быстрых RAID6, построенных на новейших контролерах Broadcom MegaRAID (ex LSI) и дисках SSD PCIe NVMe корпоративного класса Intel P4600

Те, кто хоть раз пробовал работать на виртуальном сервере, мог сформировать мнение о том, что это слабые машинки для решения несерьёзных задач – VPS.house разрушает этот стереотип, предлагая новые конфигурации, которые даже с минимальными параметрами работают быстрее многих домашних компьютеров или предлагаемыми в аренду физических серверов.

Что такое RAID на дисках SSD NVMe?
Сравнить невероятную производительность такой системы можно только с RAM-диском. RAM-диск – это когда от оперативной памяти отрезается кусок и используется через специальные приложения как обычный диск в системе. Проблема RAM-дисков в том, что при перезагрузке все данные на них пропадают и они все еще остаются крайне дорогими. Как разу эту проблему решают диски SSD, а с распространением применением их с интерфейсом PCI Express, необходимость в RAM-дисках и интерес к ним практически полностью угас.

В одной из предыдущих статей мы делали обзор производительности нашего виртуального сервера на классическом серверном оборудовании. Под словом «классическое» тем не менее подразумевается самое современное оборудование для серверов высочайшей плотности, которое до сих пор редко можно встретить у многих других хостинг-провайдеров.

Для демонстрации работы нового поколения серверов с экстремальной производительностью, мы создали тестовый VPS-сервер с относительно скромными параметрами:
2 ядра CPU, 2ГБ оперативной памяти и 40ГБ места на диске – стоимость данной всего 1400 руб. в месяц

Вот что у нас получилось в результате теста дисковой системы с помощью популярной утилиты CrystalDiskMark:


Переходим к самому интересному – тесту производительности процессора. Для наглядности параллельно мы провели идентичный тест на относительно современном домашнем ПК с полноценным процессором Intel Core i7-4820K (4 ядра, 8 потоков, также 3.7 ГГц). Тесты производились с использованием приложения Geekbench 4:
Тестовый VPS с 2-я ядрами CPU
browser.geekbench.com/v4/cpu/8175306


Домашний ПК с Intel Core i7-4820K
browser.geekbench.com/v4/cpu/8175397



Это не шутка и не рекламный трюк, 2 ядра на виртуальном сервере работают почти также быстро, как все 4 ядра с гипертрейдингом на процессоре Intel Core i7-4820K.

В заключение
Выбор облачного провайдера – очень важный этап, напрямую влияющий на работу всего бизнеса в дальнейшем, найдите несколько минут вашего времени и проведите оценку производительности того, с чем вы работаете сейчас или планируете работать в будущем.

Но даже если вы сделали не самый оптимальный выбор, вы всегда можете отказаться от услуг вашего провайдера виртуальных серверов, перенеся целиком свою инфраструктуру в другое место, например, на VPS.house. Как это сделать всего за 1 день мы подробно распишем в нашей будущей статье!

Мы не скрываем от своих клиентов наш продукт – совершенно бесплатно в любое время вы можете взять на тест сервер любой конфигурации стоимостью до 3000 руб. в месяц – процесс предоставления ресурсов полностью автоматизирован и займет не более 3-4 минут вашего времени.



https://vps.house
постоянная 10% скидка промо: ABE-IDP-EOR

Виртуальный сервер с защитой от DDoS-атак



С понятием DDoS-атака знакомы уже многие, но далеко не все с ней сталкивались и знают, как правильно с подобными атаками бороться.

Практически всегда атакующий ставит задачу сделать недоступным ваш онлайн-ресурс (web-сайт, игровой сервер, и т.д.), цели получения закрытых данных нет.

DDoS-атака – это очень просто / дёшево и эффективно, успешно провести её на небольшой интернет-магазин может любой желающий прямо из своего дома, убытки при этом от времени простоя могут доходить до сотен тысяч рублей, особенно если при этом вы активно запускаете рекламные компании.

Атакующему даже не обязательно знать, как и что работает на вашем сервере, он может просто отправлять паразитный трафик по его IP-адресу и ваш сервер будет гарантировано его получать. Это наиболее распространённые случаи атак, когда используется либо SYN-флуд, перегружающее сетевое оборудование SYN-запросами в TCP-протоколе, либо просто забивается весь канал сервера UDP-флудом.

Неподготовленный к этому администратор судорожно начинает создавать правила в файрволе на сервере или предшествующем ему сетевом оборудовании, однако все это тщетно, так как что файрвол, что роутер – все пакеты обязательно получат и только потом не пустят до вашего приложения, сам канал связи при этом остаётся перегружен.

Следующим шагом или одновременно с этим начинаются гневные звонки провайдеру с требованием «что-то сделать» и восстановить работу: «я плачу вам деньги, а мой сервер недоступен!». В этом есть здравый смысл, но чаще всего провайдер просто перестаёт обслуживать атакуемого клиента, автоматически или вручную занося клиентский IP-адрес в так называемый «блекхол» (подобные пункты всегда есть в Договорах на оказание услуг).

При атаках на вас ваш провайдер (дата-центр) страдает не меньше вас – трафик может быть огромным, даже относительно слабые атаки силой в 10Гбит/c существенно ухудшают работу сети небольших дата-центров и, соответственно, всех размещающихся там клиентов.

К сожалению, справиться с DDoS-атакой самостоятельно или силами сетевиков в дата-центре невозможно. Лет 15 назад, когда редко какие атаки доходили до 1Гбит/c можно было спокойно себя чувствовать, находясь на канале 10Гбит/c. Сейчас работают только геораспределенные защиты – когда трафик фильтуреся не в точке конечного адресата, а на всех путях его следования по каналам связи магистральных провайдеров. Считается практически невозможным забить на 100% все каналы связи всех провайдеров, да ещё в целом ряде стран.

Как раз такую геораспределённую услугу защиты предлагает своим клиентам лидер на рынке в России, компания DDoS-Guard, очищая трафик на путях следования в России, Германии, Нидерландах и Японии. Это все здорово, но, многие сочтут их цены малодоступными (от 6000 рублей в месяц за сравнительно слабый по производительности VDS-сервер с защитой).

Специализирующийся на предоставлении виртуальных серверов, облачный провайдер VPS.house, арендуя защищённые каналы связи в компании DDoS-Guard, мы оказываем услуги защиты от DDoS-атак своим клиентам. Данное сотрудничество обеспечивает значительную экономию средств для конечных клиентов хостинга VPS.house. Так, конфигурация VPS-сервера за 6000 руб. на DDoS-Guard будет стоить на VPS.house с подключенной услугой защиты от DDoS всего 2090 руб. в месяц.



Правило №1 для всех, чей доход напрямую связан с деятельностью в сети Интернет – подключать услуги защиты по умолчанию. Это стоит недорого и обеспечивает нормальную работу ваших ресурсов, предотвращая убытки от действий большинства злоумышленников.

А если у вас под рукой есть сервис, позволяющий проводить DDoS-атаки, вы можете протестировать защиту виртуального сервера на VPS.house бесплатно в течение 3-х часов после моментальной регистрации.

https://vps.house
постоянная 10% скидка промо: ABE-IDP-EOR