- Ошибка RDP подключения: исправление шифрования CredSSP
- Отключение уведомления об ошибке шифрования CreedSSP на клиенте
- Установка обновления для исправления шифрования CreedSSP на сервере
- Комментариев: 30
- Error when you try to RDP to a Windows VM in Azure: CredSSP encryption oracle remediation
- Symptoms
- How to verify that the CredSSP update is installed
- Cause
- Resolution
- How to install this update by using Azure Serial console
- How to install this update by using Remote PowerShell
- Workaround
- Scenario 1:В Updated clients cannot communicate with non-updated servers
- Scenario 2:В Non-updatedВ clients cannot communicate with patched servers
- Azure Serial Console scripts
- Remote PowerShell scripts
Ошибка RDP подключения: исправление шифрования CredSSP
Утро пятницы началось с жалоб некоторых пользователей на невозможность подключится к удаленному рабочему столу Windows Server 2008 R2 и Windows Server 2012 R2.
Произошла ошибка при проверке подлинности. Указанная функция не поддерживается.
Причиной ошибки может быть исправление шифрования CredSSP. Дополнительные сведения см. статье https://go.microsoft.com/fwlink/?linkid=866660
Причиной отказа в подключении послужило обновление безопасности Windows, закрывающее уязвимости в протоколе CredSSP (бюллетень CVE-2018-0886), в результате чего клиентам запрещалось подключаться к удаленным RDP серверам с непропатченой версией CredSSP. Таким образом, клиентские машины, установившие майские обновления остались не при делах.
Есть несколько путей решения проблемы. Наиболее правильным я считаю всё-таки установку обновления для закрытия уязвимости CredSSP на сервере, однако такое решение может выйти боком в некоторых случаях. Приведу простой пример когда не стоит гнаться за обновлениями.
В сети имеются компьютеры на старой версии Mac OS X (10.7.5), для которых не существует свежей версии RDP-клиента и после такого обновления теряется возможность работы с сервером. Вопрос безопасности соединения мобильных пользователей в таком случае решается VPN туннелем.
Так что, для начала рассмотрим вариант, позволяющий убрать уведомление безопасности и блокировку подключения с установленным обновлением безопасности без обновления самого сервера. Удаление самого обновления, конечно решает проблему, но неужели вы будете заниматься этим постоянно?
Отключение уведомления об ошибке шифрования CreedSSP на клиенте
Можно пойти двумя путями — внести изменения через редактор локальных групповых политик (не прокатит в редакциях Windows Home), либо напрямую в реестр с помощью командной строки. Второй способ более быстрый и универсальный — в командной строке, запущенной от имени администратора, выполним:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Если же вам удобнее использовать редактор локальных групповых политик, то запустив редактор gpedit.msc, переходим в раздел:
Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных
(Computer Configuration -> Administrative Templates -> System -> Credentials Delegation)
Открываем параметр с именем «Исправление уязвимости шифрующего оракула» (Encryption Oracle Remediation), и нажимаем «Включено» («Enabled»). Уровень защиты ставим как «Оставить уязвимость» (Vulnerable).
Обновить политики на компьютере можно командой, после чего подключение по RDP должно заработать:
Установка обновления для исправления шифрования CreedSSP на сервере
Установить отсутствующие обновления безопасности на сервере можно через службу Windows Update или вручную. Чтобы не тянуть кучу лишнего, вот прямые ссылки на обновления для разных версий Windows Server:
- Windows Server 2012 R2 / Windows 8: KB4103715
- Windows Server 2008 R2 / Windows 7: KB4103712
- Windows Server 2016 / Windows 10 1607: KB4103723
Учтите, что после установки обновления сервер уйдет в перезагрузку.
Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.
Комментариев: 30
Спасибо больше помогло ))
Спасибо за информацию. Винда конечно в своем репертуаре.
спасибо очень выручили, бухгалтерия наша благодарна
Вот у майкрософт всегда так — одно лечим, другое калечим. А что делать если до сих пор часть клиентов сидит на Windows XP а другая часть на Windows 10. Получается делаем выбор, либо работаю те, либо другие?
nikolay_m, выйти из такой ситуации можно отключением уведомлений об ошибке шифрования CreedSSP на компах с обновлениями, о чем писал в самом начале. Если же сервер уже обновили, то тоже есть вариант — отключить Network Level Authentication на сервере, хотя это тоже костыль, причём, могут появиться недовольные среди пользователей, особенно те кто пароли сохраняет для подключения.
Спасибо огромное. Помогло!
Мужик! Ты это. Мужик. Спасибо.
Спасибо! Помогли восстановить связь с торговым терминалом на VDS сервере.
Как же задолбали эти обновления да еще и насильственным путём! Вот ведь всё работало, всё устраивало, а теперь танцы с бубном. На сервер обновление ставить не стал, слишком много геморроя со старыми машинами.
Отключил через реестр на новых машинах с Windows 10 как вы написали, пока пусть живут так. На семерке обновления отключены, ставлю только которые сам считаю нужными.
Золотое правило «Не трогай пока работает» никто не отменял. Спасибо за статью
Cегодня тоже не смогла подключиться к серверу, у меня Windows 10, на сервере 2008R2. Так как к управлению сервером прав нет, отключила у себя уведомление. Теперь всё заходит, спасибо 🙂
Лаконично и по делу, спасибо!
Огромное спасибо! Помогло устранить ошибку.
Спасибо за решение! =)
спасибо брат! ты меня спас! помогло!!
Судя по всему в обновлениях следующего месяца на RDS серверах майкрософтовцы также поменяют значение политики по-умолчанию с текущего Mitigated на более жесткое Force updated clients. Таким образом, сервера будут полностью блокировать подключение с уязвимых CredSSP клиентов.
Вот только после установки обновления на сервере (WS2012r2) сервер не загружается. Приходится откатывать в безопасном режиме.
Мой спаситель. Спасибо тебе милый человек.
Спасибо огромное. Заработало.
огонь ! все работает
Обновления для всех систем с офиц. сайта Microsoft https://remotehelper.ru/administrirovanie/oshibka-proverki-podlinnosti-shifrovaniya-credssp-pri-podklyuchenii-po-rpd
Опечатка в тексте :»Отключение уведомления об ошибке шифрования CreedSSP на клиенте». Не CreedSSP, а CredSSP..
Все получилось, спасибо
Спасибо, командной строкой помогло
Увы, не сработал не один способ. Windows 8.1
Что-то видимо не так делаете. Вариант с командной строкой работает даже на Windows 10
Error when you try to RDP to a Windows VM in Azure: CredSSP encryption oracle remediation
This article provides a solution to an issue in which you are not able to connect to a virtual machine (VM) using RDP with error: CredSSP encryption oracle remediation.
Original product version: В Virtual Machine running Windows
Original KB number: В 4295591
Symptoms
Consider the following scenario:
- The Credential Security Support Provider protocol (CredSSP) updates for CVE-2018-0886 are applied toВ a Windows VMВ (remote server) in Microsoft Azure or on a local client.
- You try to make a remote desktop (RDP) connection to the server from the local client.
In this scenario, you receive the following error message:
An authentication error has occurred. The function requested is not supported. Remote computer: . This could be due to CredSSP encryption oracle remediation. For more information, see https://go.microsoft.com/fwlink/?linkid=866660.
How to verify that the CredSSP update is installed
Check the update history for the following updates, or check the version of TSpkg.dll.
| Operating system | TSpkg.dll version with CredSSPВ update | CredSSP update |
|---|---|---|
| Windows 7 Service Pack 1 / Windows Server 2008 R2 Service Pack 1 | 6.1.7601.24117 | KB4103718 (Monthly Rollup) |
| KB4103712 (Security-only update) | ||
| Windows Server 2012 | 6.2.9200.22432 | KB4103730 (Monthly Rollup) |
| KB4103726 (Security-only update) | ||
| Windows 8.1 / Windows Server 2012 R2 | 6.3.9600.18999 | KB4103725 (Monthly Rollup) |
| KB4103715 (Security-only update) | ||
| RS1 — Windows 10 Version 1607 / Windows Server 2016 | 10.0.14393.2248 | KB4103723 |
| RS2 — Windows 10 Version 1703 | 10.0.15063.1088 | KB4103731 |
| RS3 — Windows 10 1709 | 10.0.16299.431 | KB4103727 |
Cause
This error occurs if you are trying to establishВ an insecure RDP connection, and the insecure RDP connectionВ is blocked by an Encryption Oracle Remediation policy setting on the server orВ client. This setting defines how to build an RDP session by using CredSSP, and whether anВ insecure RDP is allowed.
See the following interoperability matrix for scenarios that are either vulnerable to thisВ exploit or cause operational failures.
| — | — | Server | — | — | — |
|---|---|---|---|---|---|
| — | — | Updated | Force updated clients | Mitigated | Vulnerable |
| Client | Updated | Allowed | Blocked 2 | Allowed | Allowed |
| Force updated clients | Blocked | Allowed | Allowed | Allowed | |
| Mitigated | Blocked 1 | Allowed | Allowed | Allowed | |
| Vulnerable | Allowed | Allowed | Allowed | Allowed |
Examples
1 The client has the CredSSPВ update installed, and Encryption Oracle Remediation is set to Mitigated. This client will notВ RDP to a server that does not haveВ theВ CredSSPВ update installed.
2 The server has the CredSSPВ update installed, and Encryption Oracle Remediation is set to Force updated clients. The server will block any RDP connection from clients that doВ not have the CredSSPВ update installed.
Resolution
To resolve the issue, install CredSSP updates for both client and server so that RDP can be established in a secure manner. For more information, see CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability.
How to install this update by using Azure Serial console
Sign in to the Azure portal, select Virtual Machine, and then select the VM.
Scroll down to the Support + Troubleshooting section, and then click Serial console (Preview). The serial console requires Special Administrative Console (SAC) to be enabled within the Windows VM. If you do not see SAC> in the console (as shown in the following screenshot),В go to the «How to install this update by using Remote PowerShell»В section in this article.
Type cmd to start a channel that has a CMD instance.
Type ch-si 1 to switch to the channel that is running the CMD instance. You receive the following output:
Press Enter, and then enter your login credentials that haveВ administrative permission.
AfterВ you enter valid credentials, the CMD instance opens, and you will see the command at which you can start troubleshooting.
To start a PowerShell instance, type PowerShell .
In the PowerShell instance, run the Serial console script based on the VM operating system. This script performs the following steps:
- Create a folder in which to saveВ the download file.
- Download the update.
- Install the update.
- Add the vulnerability key to allow non-updated clients to connect to the VM.
- Restart the VM
How to install this update by using Remote PowerShell
On any Windows-based computer that has PowerShell installed, add the IP address of the VM to the «trusted» list in the host file, as follows:
In the Azure portal, configure Network Security Groups on the VM to allow traffic to port 5986.
In the Azure portal,В select Virtual Machine > , scroll down to the OPERATIONS section, click the Run command,В and then run EnableRemotePS.
On the Windows-based computer, run the Remote PowerShell script for the appropriateВ systemВ version of your VM. This script performs the following steps:
- Connect to Remote PowerShell on theВ VM.
- Create a folder to which to saveВ the download file.
- Download the Credssp update.
- Install the update.
- Set the vulnerability registry key to allow non-updated clients to connect to the VM.
- Enable Serial Console for future and easier mitigation.
- Restart the VM.
Workaround
After you change the following setting, an unsecure connection is allowed that will expose the remote server to attacks.В Follow the steps in this section carefully. Serious problems might occur if you modify the registry incorrectly. Before you modify it, back up the registry for restoration in case problems occur.
Scenario 1:В Updated clients cannot communicate with non-updated servers
The most common scenario is that the client has the CredSSP update installed, and the Encryption Oracle Remediation policyВ settingВ doesn’t allow an insecure RDP connection to a server that does notВ have the CredSSP update installed.
To work around this issue, follow these steps:
On the client that has the CredSSPВ update installed, run gpedit.msc, and then browse to Computer Configuration > Administrative Templates > System > Credentials Delegation in the navigationВ pane.
Change the Encryption Oracle Remediation policy to Enabled, and then change Protection Level to Vulnerable.
If you cannot use gpedit.msc, you can make the same change by using the registry, as follows:
Open a Command Prompt window as Administrator.
Run the following command to add a registry value:
Scenario 2:В Non-updatedВ clients cannot communicate with patched servers
If the Azure Windows VMВ has this update installed, and it is restricted to receivingВ non-updatedВ clients, follow these steps to change the Encryption Oracle Remediation policyВ setting:
On any Windows computer that has PowerShell installed, addВ the IP of the VM to the «trusted» list in the host file:
Go to the Azure portal,В locate the VM, and then update the Network Security group to allow PowerShell ports 5985 and 5986.
On the Windows computer, connect to the VM by using PowerShell:
For HTTP:
For HTTPS:
Run the following command to change the Encryption Oracle Remediation policyВ setting by using the registry:
Azure Serial Console scripts
| OS Version | Script |
|---|---|
| Windows 7 Service Pack 1 / Windows Server 2008 R2 Service Pack 1 | #Create a download location md c:\temp |
##Download the KB file
$source = «http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/05/windows6.1-kb4103718-x64_c051268978faef39e21863a95ea2452ecbc0936d.msu»
$destination = «c:\temp\windows6.1-kb4103718-x64_c051268978faef39e21863a95ea2452ecbc0936d.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows6.1-KB4103718-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/04/windows8-rt-kb4103730-x64_1f4ed396b8c411df9df1e6755da273525632e210.msu»
$destination = «c:\temp\windows8-rt-kb4103730-x64_1f4ed396b8c411df9df1e6755da273525632e210.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows8-RT-KB4103730-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/05/windows8.1-kb4103725-x64_cdf9b5a3be2fd4fc69bc23a617402e69004737d9.msu»
$destination = «c:\temp\windows8.1-kb4103725-x64_cdf9b5a3be2fd4fc69bc23a617402e69004737d9.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows8.1-KB4103725-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/05/windows10.0-kb4103723-x64_2adf2ea2d09b3052d241c40ba55e89741121e07e.msu»
$destination = «c:\temp\windows10.0-kb4103723-x64_2adf2ea2d09b3052d241c40ba55e89741121e07e.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows10.0-KB4103723-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/c/msdownload/update/software/secu/2018/05/windows10.0-kb4103731-x64_209b6a1aa4080f1da0773d8515ff63b8eca55159.msu»
$destination = «c:\temp\windows10.0-kb4103731-x64_209b6a1aa4080f1da0773d8515ff63b8eca55159.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows10.0-KB4103731-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/c/msdownload/update/software/secu/2018/05/windows10.0-kb4103727-x64_c217e7d5e2efdf9ff8446871e509e96fdbb8cb99.msu»
$destination = «c:\temp\windows10.0-kb4103727-x64_c217e7d5e2efdf9ff8446871e509e96fdbb8cb99.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows10.0-KB4103727-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/c/msdownload/update/software/secu/2018/05/windows10.0-kb4103721-x64_fcc746cd817e212ad32a5606b3db5a3333e030f8.msu»
$destination = «c:\temp\windows10.0-kb4103721-x64_fcc746cd817e212ad32a5606b3db5a3333e030f8.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows10.0-KB4103721-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
Remote PowerShell scripts
| OS Version | Script |
|---|---|
| Windows 7 Service Pack 1 / Windows Server 2008 R2 Service Pack 1 | #Set up your variables: $subscriptionID = » » $vmname = » » $PSPort = «5986» #change this variable if you customize HTTPS on PowerShell to another port |
#​​​​Log in to your subscription
Add-AzureRmAccount
Select-AzureRmSubscription -SubscriptionID $subscriptionID
Set-AzureRmContext -SubscriptionID $subscriptionID
#Connect to Remote PowerShell
$Skip = New-PSSessionOption -SkipCACheck -SkipCNCheck
Enter-PSSession -ComputerName $vmname -port $PSPort -Credential (Get-Credential) -useSSL -SessionOption $Skip
#Create a download location
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/05/windows6.1-kb4103718-x64_c051268978faef39e21863a95ea2452ecbc0936d.msu»
$destination = «c:\temp\windows6.1-kb4103718-x64_c051268978faef39e21863a95ea2452ecbc0936d.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows6.1-KB4103718-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Set up Azure Serial Console flags
cmd
bcdedit /set
bcdedit /set
bcdedit /set
bcdedit /ems
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
$subscriptionID = » »
$vmname = » »
$PSPort = «5986» #change this variable if you customize HTTPS on PowerShell to another port
#​​​​Log in to your subscription
Add-AzureRmAccount
Select-AzureRmSubscription -SubscriptionID $subscriptionID
Set-AzureRmContext -SubscriptionID $subscriptionID
#Connect to Remote PowerShell
$Skip = New-PSSessionOption -SkipCACheck -SkipCNCheck
Enter-PSSession -ComputerName $vmname -port $PSPort -Credential (Get-Credential) -useSSL -SessionOption $Skip
#Create a download location
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/04/windows8-rt-kb4103730-x64_1f4ed396b8c411df9df1e6755da273525632e210.msu»
$destination = «c:\temp\windows8-rt-kb4103730-x64_1f4ed396b8c411df9df1e6755da273525632e210.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows8-RT-KB4103730-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Set up Azure Serial Console flags
cmd
bcdedit /set
bcdedit /set
bcdedit /set
bcdedit /ems
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
$subscriptionID = » »
$vmname = » »
$PSPort = «5986» #change this variable if you customize HTTPS on PowerShell to another port
#​​​​Log in to your subscription
Add-AzureRmAccount
Select-AzureRmSubscription -SubscriptionID $subscriptionID
Set-AzureRmContext -SubscriptionID $subscriptionID
#Connect to Remote PowerShell
$Skip = New-PSSessionOption -SkipCACheck -SkipCNCheck
Enter-PSSession -ComputerName $vmname -port $PSPort -Credential (Get-Credential) -useSSL -SessionOption $Skip
#Create a download location
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/05/windows8.1-kb4103725-x64_cdf9b5a3be2fd4fc69bc23a617402e69004737d9.msu»
$destination = «c:\temp\windows8.1-kb4103725-x64_cdf9b5a3be2fd4fc69bc23a617402e69004737d9.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows8.1-KB4103725-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Set up Azure Serial Console flags
cmd
bcdedit /set
bcdedit /set
bcdedit /set
bcdedit /ems
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
$subscriptionID = » »
$vmname = » »
$PSPort = «5986» #change this variable if you customize HTTPS on PowerShell to another port
#​​​​Log in to your subscription
Add-AzureRmAccount
Select-AzureRmSubscription -SubscriptionID $subscriptionID
Set-AzureRmContext -SubscriptionID $subscriptionID
#Connect to Remote PowerShell
$Skip = New-PSSessionOption -SkipCACheck -SkipCNCheck
Enter-PSSession -ComputerName $vmname -port $PSPort -Credential (Get-Credential) -useSSL -SessionOption $Skip
#Create a download location
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/05/windows10.0-kb4103723-x64_2adf2ea2d09b3052d241c40ba55e89741121e07e.msu»
$destination = «c:\temp\windows10.0-kb4103723-x64_2adf2ea2d09b3052d241c40ba55e89741121e07e.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows10.0-KB4103723-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Set up Azure Serial Console flags
cmd
bcdedit /set
bcdedit /set
bcdedit /set
bcdedit /ems
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
$subscriptionID = » »
$vmname = » »
$PSPort = «5986» #change this variable if you customize HTTPS on PowerShell to another port
#​​​​Log in to your subscription
Add-AzureRmAccount
Select-AzureRmSubscription -SubscriptionID $subscriptionID
Set-AzureRmContext -SubscriptionID $subscriptionID
#Connect to Remote PowerShell
$Skip = New-PSSessionOption -SkipCACheck -SkipCNCheck
Enter-PSSession -ComputerName $vmname -port $PSPort -Credential (Get-Credential) -useSSL -SessionOption $Skip
#Create a download location
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/c/msdownload/update/software/secu/2018/05/windows10.0-kb4103731-x64_209b6a1aa4080f1da0773d8515ff63b8eca55159.msu»
$destination = «c:\temp\windows10.0-kb4103731-x64_209b6a1aa4080f1da0773d8515ff63b8eca55159.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows10.0-KB4103731-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Set up Azure Serial Console flags
cmd
bcdedit /set
bcdedit /set
bcdedit /set
bcdedit /ems
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
$subscriptionID = » »
$vmname = » »
$PSPort = «5986» #change this variable if you customize HTTPS on PowerShell to another port
#​​​​Log in to your subscription
Add-AzureRmAccount
Select-AzureRmSubscription -SubscriptionID $subscriptionID
Set-AzureRmContext -SubscriptionID $subscriptionID
#Connect to Remote PowerShell
$Skip = New-PSSessionOption -SkipCACheck -SkipCNCheck
Enter-PSSession -ComputerName $vmname -port $PSPort -Credential (Get-Credential) -useSSL -SessionOption $Skip
#Create a download location
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/c/msdownload/update/software/secu/2018/05/windows10.0-kb4103727-x64_c217e7d5e2efdf9ff8446871e509e96fdbb8cb99.msu»
$destination = «c:\temp\windows10.0-kb4103727-x64_c217e7d5e2efdf9ff8446871e509e96fdbb8cb99.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows10.0-KB4103727-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Set up Azure Serial Console flags
cmd
bcdedit /set
bcdedit /set
bcdedit /set
bcdedit /ems
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
$subscriptionID = » »
$vmname = » »
$PSPort = «5986» #change this variable if you customize HTTPS on PowerShell to another port
#​​​​Log in to your subscription
Add-AzureRmAccount
Select-AzureRmSubscription -SubscriptionID $subscriptionID
Set-AzureRmContext -SubscriptionID $subscriptionID
#Connect to Remote PowerShell
$Skip = New-PSSessionOption -SkipCACheck -SkipCNCheck
Enter-PSSession -ComputerName $vmname -port $PSPort -Credential (Get-Credential) -useSSL -SessionOption $Skip
#Create a download location
md c:\temp
##Download the KB file
$source = «http://download.windowsupdate.com/c/msdownload/update/software/secu/2018/05/windows10.0-kb4103721-x64_fcc746cd817e212ad32a5606b3db5a3333e030f8.msu»
$destination = «c:\temp\windows10.0-kb4103721-x64_fcc746cd817e212ad32a5606b3db5a3333e030f8.msu»
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($source,$destination)
#Install the KB
expand -F:* $destination C:\temp\
dism /ONLINE /add-package /packagepath:»c:\temp\Windows10.0-KB4103721-x64.cab»
#Add the vulnerability key to allow unpatched clients
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle /t REG_DWORD /d 2
#Set up Azure Serial Console flags
cmd
bcdedit /set
bcdedit /set
bcdedit /set
bcdedit /ems
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
#Restart the VM to complete the installations/settings
shutdown /r /t 0 /f
detector