treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

これからOSインストール直後はRDP繋がらないよ

Windowsをクリーンインストールした直後、さっそくネットワーク設定を実施し、リモートデスクトップ接続を有効化…、
完了後にメインPCからリモートデスクトップでキッティング対象のPCを開いて操作する、というやり方でいつもPCの再セットアップをしていました。

今月5月からは、これができなくなる、という話をご報告です。

正確には、再インストール後にできなくて「アレ?なんだっけ?」ってなったから、覚えておこうと思った内容です。

できない要因は

5月のセキュリティアップデートにより、CredSSP暗号化の脆弱性対策が完了しました。3月から暫定的に更新プログラムが配布されていたのですが、5月分の更新プログラム配布によって、状況は変わってきます。

簡単に言えば、「Windowsインストール直後にリモートデスクトップ接続を実施して対象のコンピュータを操作することができなくなる」という事を意味します。

その理由は…?

最新の更新プログラムが適用されたWindowsであれば、今月分となる2018年5月のセキュリティ更新が適用されているはずです。

実際に再インストールしたPCがあると分かるのですが、この2018年5月のセキュリティ更新が適用された最新状態のWindows環境から、OS再インストール直後のWindowsにリモートデスクトップ接続を開始すると、こんなエラーとなってしまいます。

接続しようとすると表示されるエラー画面

f:id:treedown:20180518142443p:plain
-------------------------------------------------------
[Window Title]
リモート デスクトップ接続

[Content]
認証エラーが発生しました。
要求された関数はサポートされていません

リモート コンピューター: %COMPUTERNAME%
原因は CredSSP 暗号化オラクルの修復である可能性があります。
詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください

[OK]
-------------------------------------------------------

これ、なんです?

「詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください」
と指示されたURLを見てもなんのことだか分からない、という方もいらっしゃるかもしれません。

簡単に覚えてくとしたら、
今後リモートデスクトップは2018年5月のセキュリティ更新より新しいアップデートが適用されてないといけない
新しいセキュリティアップデートはリモートデスクトップの接続する側と接続される側の両方に必要
の二点を覚えておくとこのエラーに遭遇することもなくなるかと思います。

もうちょっと詳しく言えば、接続する側&される側の双方に以下の脆弱性が存在しない状態じゃないとリモートデスクトップ接続ができないよ、という感じです。

■CVE-2018-0886 | CredSSP のリモートでコードが実行される脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2018-0886

CredSSPってのが世の中で静かに話されている脆弱性を含んだ認証技術です。

再インストール後は

これからWindows再インストール(クリーンインストール)後にリモートデスクトップ接続を使う前に、

「必ずWindows Updateを1周完了させてからじゃないとリモートデスクトップ接続が使えなくなる」

これを頭に入れておこうと思いました。