Wer anfangs auf die Konfiguration dieser Einstellung verzichtete, erhöhte damit zwar die Sicherheits­risiken, war aber mit keinen Ein­schränkungen von Services konfrontiert. Das änderte sich mit einem Update im Mai, das Clients so konfigurierte, dass sie sich nicht mehr mit unsicheren Servern verbinden.

Beim Herstellen einer Remotedesktop-Verbindung von einem aktualisierten Client zu einem Server ohne den CredSSP-Patch erhalten Benutzer seitdem die Fehlermeldung "Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt. (…) Ursache könnte eine CredSSP Encryption Oracle Remediation sein."

Konfiguration per GPO empfohlen

Im Idealfall verschwindet das Problem, weil der Administrator das Sicherheits-Update auf allen Rechnern installiert hat. Wenn das aus irgendwelchen Gründen nicht klappt, etwa weil Linux-Rechner mit rdesktop eine Session auf einem Windows-Server aufbauen sollen, dann muss das Verhalten von CredSSP entsprechend konfiguriert werden.

Sollte das Update bei einzelnen Maschinen doch fehlen, dann werden sie auf diese Weise abgewiesen.

Optionen für die neue Einstellung

Die von Microsoft dafür vorgesehene Einstellung in den Gruppen­richtlinien heißt Encryption Oracle Remediation. Man findet sie unter Computer­konfiguration => Richt­linien => Administrative Vorlagen => System => Delegierung von Anmelde­informationen.

Sie bietet drei möglichkeiten:

• Vulnerable: Dieser Wert erlaubt jede Kombination aus sicheren / unsicheren Clients und Servern. Wenn der Patch für das CredSSP-Problem nicht auf sämtlichen Rechnern installiert ist, werden damit auch sichere Systeme einem Risiko ausgesetzt.
• Mitigated: Clients können sich bei dieser Einstellung nicht mit unsicheren Gegenstellen verbinden, Server lassen aber Clients zu, bei denen das Update nicht eingespielt wurde. Diese Variante würde sich für das erwähnte Problem mit rdesktop eignen.
• Force Updated Clients: Diese Option sorgt dafür, dass Server alle Clients ohne Patch abweisen. Wird ein GPO mit dieser Einstellung auf Clients angewandt, dann verweigern sie die Verbindung mit einem Server, wenn er das Update nicht installiert hat. Sichere Clients kooperieren also nur mehr mit ebensolchen Servern, und umgekehrt gilt das Gleiche.

Während die geänderte Einstellung in den Gruppen­richt­linien nach dem Aufruf von gpupdate sofort greift, erfordert CredSSP aber einen Neustart des Rechners, um sein Verhalten anzupassen.

Über das Update spielt Microsoft auch ein aktualisiertes Template für die Gruppen­richtlinien ein, das die genannte Einstellung enthält. Verwendet man jedoch einen Central Store für die administrativen Vorlagen, dann muss man die Dateien CredSSP.admx und CredSSP.adml von einer aktualisierten Workstation selbst dorthin kopieren.