Isso pode ser devido à correção do oracle de criptografia CredSSP - RDP to host do Windows 10 pro

47

Erro

Após as atualizações de segurança do Windows em maio de 2018, ao tentar fazer RDP em uma estação de trabalho Windows 10 Pro, a seguinte mensagem de erro é exibida após a inserção bem-sucedida de credenciais do usuário:

Ocorreu um erro de autenticação. A função solicitada não é suportada.

Isso pode ser devido à correção do oracle de criptografia CredSSP

Captura de tela

insira a descrição da imagem aqui

Depuração

  • Confirmamos que as credenciais do usuário estão corretas.

  • Reiniciou a estação de trabalho.

  • Os serviços confirmados no diretório pré estão operacionais.

  • Estações de trabalho isoladas ainda para aplicar o patch de segurança de maio não são afetadas.

No entanto, pode gerenciar temporariamente para hosts perm, preocupados com o acesso ao servidor baseado em nuvem. Ainda não há ocorrências no Server 2016.

Obrigado

windows  authentication  remote-desktop  rdp  windows-10 
scott_lotus
fonte

Respostas:

20

Baseado inteiramente na resposta de Graham Cuthbert, criei um arquivo de texto no Bloco de Notas com as seguintes linhas e cliquei duas vezes depois (o que deve adicionar ao Registro do Windows quaisquer parâmetros que estejam no arquivo).

Observe que a primeira linha varia dependendo da versão do Windows que você está usando, portanto, pode ser uma boa idéia abrir regedite exportar qualquer regra apenas para ver o que está na primeira linha e usar a mesma versão no seu arquivo.

Além disso, não estou preocupado com a degradação da segurança nessa situação específica, pois estou me conectando a uma VPN criptografada e o host Windows não tem acesso à Internet e, portanto, não possui a atualização mais recente.

Arquivo rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Para aqueles que desejam algo fácil de copiar / colar em um prompt de comando elevado:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
Rodriguez
fonte
11
com a edição home do windows 10, a maneira mais rápida e temporária de instalar e executar.
Ahmad molaie 27/05
11
Este arquivo REG deve ser importado no cliente ou no servidor?
Nivs1978
@ nivs1978, esse arquivo deve ser usado no lado do cliente, supondo que o cliente tenha as atualizações mais recentes e o servidor não. Portanto, permitirá basicamente que o cliente mais atualizado se conecte a um servidor que não foi atualizado recentemente.
Rodriguez
Obrigado! Estou usando o Win 10 Home. Eu desinstalei a atualização do win que criou esse problema 10 vezes e a MS continua colocando-o de volta, apesar de fazer tudo o que pude para impedir isso. Também não há Editor de Políticas (ou não é respeitado) nesta versão do Windows. Procurei essas chaves de registro, de acordo com os documentos que li e os que não existiam, então achei que eles não funcionariam. Mas tentei executar o seu arquivo de qualquer maneira, corrigiu o problema como um encanto!
precisa saber é o seguinte
16

O protocolo CredSSP (Credential Security Support Provider) é um provedor de autenticação que processa solicitações de autenticação para outros aplicativos.

Existe uma vulnerabilidade de execução remota de código nas versões sem patch do CredSSP. Um invasor que explora com êxito essa vulnerabilidade pode retransmitir credenciais do usuário para executar o código no sistema de destino. Qualquer aplicativo que dependa do CredSSP para autenticação pode estar vulnerável a esse tipo de ataque.

[...]

13 de março de 2018

A versão inicial de 13 de março de 2018 atualiza o protocolo de autenticação CredSSP e os clientes da Área de Trabalho Remota para todas as plataformas afetadas.

A mitigação consiste em instalar a atualização em todos os sistemas operacionais elegíveis para cliente e servidor e, em seguida, usar as configurações de Diretiva de Grupo incluídas ou equivalentes baseados em registro para gerenciar as opções de configuração nos computadores cliente e servidor. Recomendamos que os administradores apliquem a política e a definam como "Forçar clientes atualizados" ou "Mitigados" nos computadores cliente e servidor o mais rápido possível. Essas alterações exigirão uma reinicialização dos sistemas afetados.

Preste muita atenção à diretiva de grupo ou aos pares de configurações do registro que resultam em interações "bloqueadas" entre clientes e servidores na tabela de compatibilidade posteriormente neste artigo.

17 de abril de 2018

A atualização de atualização do Remote Desktop Client (RDP) no KB 4093120 aprimorará a mensagem de erro apresentada quando um cliente atualizado falha na conexão com um servidor que não foi atualizado.

8 de maio de 2018

Uma atualização para alterar a configuração padrão de Vulnerável para Mitigado.

Fonte: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Veja também este tópico do reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Solução alternativa da Microsoft:

  • Atualize servidor e cliente. (requer reinicialização, recomendado)

Soluções alternativas não recomendadas se o seu servidor estiver disponível publicamente ou se você NÃO tiver um controle de tráfego rigoroso na sua rede interna, mas às vezes reiniciar o servidor RDP no horário de trabalho não é permitido.

  • Defina a política de correção do CredSSP via GPO ou Registro. (requer reinicialização ou gpupdate / force)
  • Desinstalar KB4103727 (não é necessário reiniciar)
  • Eu acho que desabilitar o NLA (autenticação de camada de rede) também pode funcionar. (não é necessário reiniciar)

Certifique-se de entender os riscos ao usá-los e corrigir seus sistemas o mais rápido possível.

[1] Todas as descrições e modificações de registro do GPO CredSSP são descritas aqui.

[2] exemplos de configurações de GPO e registro, caso o site da Microsoft caia.

Michal Sokolowski
fonte
Eu acho que sim. :) Pelo que sei, o Windows 7, o Windows 8.1, o Windows 10 e o Server 2016 são afetados no meu ambiente. Concluindo, precisamos corrigir todas as versões suportadas do Windows.
Michal Sokolowski
3
A confirmação da desativação do NLA no servidor de destino funciona como uma solução temporária.
Ketura
alguém tem algum script PS (Powershell) útil como verificar isso? No servidor e cliente?
Tilo
Esse erro ocorre porque o RDP no servidor está atualizado e o cliente não está, ou são os clientes atualizados e o servidor não está?
Nivs1978
@ nivs1978, AFAIR, os dois cenários apresentarão os mesmos sintomas.
Michal Sokolowski
7
  1. Vá para "Editor de Diretiva de Grupo Local> Modelos Administrativos> Sistema> Delegação de Credenciais> Correção Oracle Remediation", edite e ative-o e defina "Nível de Proteção" como "Mitigado".
  2. Defina a chave de registro (de 00000001 a 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters] "AllowEncryptionOracle" = dword:
  3. Reinicie o sistema, se necessário.
Mohammad Lotfi
fonte
Eu usei o primeiro passo com a exceção de habilitá-lo e configurá-lo como Vulnerável. Então eu era capaz de RDP minha W10 a uma máquina W7 na rede
seizethecarp
Eu fiz como você mencionou e trabalhou! Cliente W10 e Servidor WS2012 R2. Obrigado!
Phi
4

Pesquisa

Referindo-se a este artigo:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Atualização provisória de maio de 2018 que pode afetar a capacidade de estabelecer conexões de sessão RDP de host remoto em uma organização. Esse problema pode ocorrer se o cliente local e o host remoto tiverem configurações diferentes de "Criptografia Oracle Remediation" no registro que definem como criar uma sessão RDP com CredSSP. As opções de configuração “Criptografia Oracle Remediation” são definidas abaixo e se o servidor ou cliente tiver expectativas diferentes sobre o estabelecimento de uma sessão RDP segura, a conexão poderá ser bloqueada.

Uma segunda atualização, programada para ser lançada em 8 de maio de 2018, mudará o comportamento padrão de "Vulnerável" para "Mitigado".

Se você perceber se o cliente e o servidor estão corrigidos, mas a configuração de diretiva padrão é deixada em “Vulnerável”, a conexão RDP é “Vulnerável” para atacar. Depois que a configuração padrão é modificada para “Mitigado”, a conexão se torna “Segura” por padrão.

Resolução

Com base nessas informações, para garantir que todos os clientes estejam totalmente atualizados, esperaria que o problema fosse atenuado.

scott_lotus
fonte
4

O valor do registro não estava presente na minha máquina Windows 10. Eu tive que ir para a seguinte política de grupo local e aplicar a alteração no meu cliente:

Configuração do Computador -> Modelos Administrativos -> Sistema -> Delegação de Credenciais - Correção do Oracle Remediation

Ative e defina como valor para vulnerable.

Ion Cojocaru
fonte
Isso funcionou para mim em W10 conectar a uma máquina W7 na minha rede
seizethecarp
3

É recomendável atualizar o cliente em vez desses scripts para ignorar o erro, mas por sua conta e risco, você pode fazer isso no cliente e não precisa reiniciar o PC do cliente. Também não há necessidade de alterar nada no servidor.

  1. Abra Run, digite gpedit.msce clique OK.
  2. Expanda Administrative Templates.
  3. Expanda System.
  4. Aberto Credentials Delegation.
  5. No painel direito, clique duas vezes em Encryption Oracle Remediation.
  6. Selecione Enable.
  7. Selecione Vulnerableda Protection Levellista.

Esta configuração de política se aplica a aplicativos que usam o componente CredSSP (por exemplo: Conexão de Área de Trabalho Remota).

Algumas versões do protocolo CredSSP são vulneráveis ​​a um ataque de criptografia oracle contra o cliente. Esta política controla a compatibilidade com clientes e servidores vulneráveis. Esta política permite definir o nível de proteção desejado para a vulnerabilidade do oracle de criptografia.

Se você habilitar essa configuração de política, o suporte à versão CredSSP será selecionado com base nas seguintes opções:

Forçar clientes atualizados: os aplicativos clientes que usam CredSSP não poderão voltar às versões inseguras e os serviços que usam CredSSP não aceitarão clientes não corrigidos. Nota: essa configuração não deve ser implantada até que todos os hosts remotos suportem a versão mais recente.

Mitigado: Os aplicativos clientes que usam CredSSP não poderão voltar à versão não segura, mas os serviços que usam CredSSP aceitarão clientes sem patches. Consulte o link abaixo para obter informações importantes sobre o risco representado pelos clientes não corrigidos restantes.

Vulnerável: os aplicativos clientes que usam CredSSP exporão os servidores remotos a ataques, suportando o retorno às versões inseguras e os serviços que usam CredSSP aceitarão clientes sem patches.

  1. Clique em Aplicar.
  2. Clique OK.
  3. Feito.

insira a descrição da imagem aqui Referência

AVB
fonte
Você está recomendando que as pessoas cliquem em uma opção dizendo "Vulnerável". Seria bom explicar quais serão as consequências disso, em vez de apenas fornecer um (bom) script para fazê-lo.
precisa saber é o seguinte
@ Law29 Você está certo, Atualizado!
AVB
0

Esse cara tem uma solução para o seu problema exato:

Essencialmente - você precisará alterar as configurações de GPO e forçar uma atualização. Mas essas alterações exigirão que uma reinicialização entre em vigor.

  1. Copie esses dois arquivos de uma máquina atualizada;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd fez fev 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd fevereiro de 2018 - sua pasta local pode ser diferente, por exemplo, en-GB)

  2. Em um controlador de domínio, navegue para:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Renomeie a corrente CredSsp.admxparaCredSsp.admx.old
    • Copie o novo CredSsp.admxpara esta pasta.

  3. No mesmo controlador de domínio, navegue para:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (ou seu idioma local)
    • Renomeie a corrente CredSsp.admlparaCredSsp.adml.old
    • Copie o novo CredSsp.admlarquivo para esta pasta.

  4. Tente sua política de grupo novamente.

https://www.petenetlive.com/KB/Article/0001433

Justin
fonte
0

Como outros já disseram, isso ocorre devido a um patch de março lançado pela Microsoft. Eles lançaram um patch de maio em 8 de maio que realmente aplica o patch de março. Portanto, se você possui uma estação de trabalho que recebeu o patch de maio e está tentando se conectar a um servidor que não recebeu o patch de março, receberá a mensagem de erro na sua captura de tela.

A resolução Você realmente deseja corrigir os servidores para que eles tenham o patch de março. Caso contrário, enquanto isso, você poderá aplicar uma Diretiva de Grupo ou uma edição do Registro.

Você pode ler instruções detalhadas neste artigo: Como corrigir a função de erro de autenticação não suportada Erro de CredSSP RDP

Você também pode encontrar cópias dos arquivos ADMX e ADML, caso precise encontrá-los.

Robert Russell
fonte
0

Eu tenho o mesmo problema. Os clientes estão nos servidores Win7 e RDS são 2012R2. Os clientes receberam "Atualização mensal de agregação da qualidade da segurança 2018-05 (kb4019264)". Depois de remover isso, tudo bem.

Loop de raiz
fonte
0

Descobri que algumas de nossas máquinas pararam de executar o Windows Update (executamos o WSUS local em nosso domínio) em janeiro. Acho que um patch anterior causou o problema (a máquina reclamaria de estar desatualizada, mas não instalaria os patches de Jan necessários). Devido à atualização 1803, não podíamos usar o Windows Update diretamente da MS para corrigi-la (o tempo limite seria excedido por algum motivo e as atualizações não seriam executadas).

Posso confirmar que, se você fizer o patch da máquina para a versão 1803, ela conterá a correção. Se você precisar de um caminho rápido para corrigir isso, usei o Assistente do Windows Update (link superior que diz Atualização) para executar a atualização diretamente (parece mais estável do que o Windows Update por algum motivo).

Machavity
fonte
Esse link oferece-me para baixar um ISO do Windows 10. É para isso que você pretende vincular?
Michael Hampton
@MichaelHampton O link inferior é para a ferramenta ISO. O link Atualizar agora é para o Assistente de Atualização
Machavity
0

Removemos a atualização de segurança mais recente KB410731 e conseguimos conectar-se às máquinas Windows 10 no build 1709 e versões anteriores. Para os PCs que poderíamos atualizar para a versão 1803, isso resolveu o problema sem desinstalar o KB4103731.

Gabriel C
fonte
0

Simplesmente, tente desativar Network Level Authenticationa área de trabalho remota. Poderia, por favor, verificar a seguinte imagem:

insira a descrição da imagem aqui

Mike Darwish
fonte
0

Abra o PowerShell como administrador e execute este comando:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Tente agora se conectar ao servidor. Vai funcionar.

Mukesh Salaria
fonte
0

Encontrei a resposta aqui , por isso não posso reivindicá-la como minha, mas a adição da seguinte chave ao meu registro e a reinicialização a corrigiram.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
Graham Cuthbert
fonte
6
Isso significa que sua comunicação com todos os servidores que não impõem a correção de descriptografia do oracle pode ser rebaixada e pode ser descriptografada. Então você se coloca em risco. Atualmente, mesmo servidores com credSSP atualizado não recusam clientes desclassificados por padrão, portanto, isso significa que praticamente todas as suas sessões de área de trabalho remota estão em risco, mesmo que seu cliente esteja totalmente atualizado sobre esse problema!
User188737
11
Essa alteração do registro NÃO é recomendada.
Spuder
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.