Esto podría deberse a la corrección del oráculo de cifrado CredSSP - RDP a Windows 10 pro host

47

Error

Después de las actualizaciones de seguridad de Windows en mayo de 2018, al intentar RDP a una estación de trabajo con Windows 10 Pro, se muestra el siguiente mensaje de error después de ingresar correctamente las credenciales de usuario:

Se produjo un error de autenticación. La función solicitada no es compatible.

Esto podría deberse a la corrección del oráculo de cifrado CredSSP

Captura de pantalla

ingrese la descripción de la imagen aquí

Depuración

  • Hemos confirmado que las credenciales de usuario son correctas.

  • Reinició la estación de trabajo.

  • Los servicios de directorio prem confirmados están operativos.

  • Las estaciones de trabajo aisladas aún por aplicar el parche de seguridad de mayo no se ven afectadas.

Sin embargo, se puede administrar mientras tanto en hosts permanentes, preocupados por el acceso al servidor basado en la nube. Todavía no hay ocurrencias en Server 2016.

Gracias

windows authentication remote-desktop rdp windows-10 scott_lotus
fuente

Respuestas:

20

Basado completamente en la respuesta de Graham Cuthbert, creé un archivo de texto en el Bloc de notas con las siguientes líneas, y simplemente hice doble clic después (lo que debería agregar al Registro de Windows los parámetros que estén en el archivo).

Solo tenga en cuenta que la primera línea varía según la versión de Windows que esté utilizando, por lo que puede ser una buena idea abrir regedity exportar cualquier regla solo para ver qué hay en la primera línea y usar la misma versión en su archivo.

Además, no me preocupa la degradación de la seguridad en esta situación particular porque me estoy conectando a una VPN encriptada y el host Windows no tiene acceso a Internet y, por lo tanto, no tiene la última actualización.

Archivo rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Para aquellos que desean algo fácil de copiar / pegar en un símbolo del sistema elevado:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
Rodriguez
fuente
1
teniendo la edición casera de Windows 10, la forma temporal más rápida de funcionar.
ahmad molaie
1
Este archivo REG debe importarse en el cliente o el servidor?
nivs1978
@ nivs1978, este archivo está destinado a ser utilizado en el lado del cliente, suponiendo que el cliente tenga las actualizaciones más recientes y el servidor no. Por lo tanto, básicamente permitirá que el cliente más actualizado se conecte a un servidor que no se haya actualizado recientemente.
Rodríguez
¡Gracias! Estoy usando Win 10 Home. Desinstalé la actualización ganadora que creó este problema 10 veces, y MS sigue volviendo a ponerla en marcha, a pesar de hacer todo lo posible para detenerla. Tampoco hay un Editor de políticas (o no se respeta) en esta versión de Windows. Busqué estas claves de registro, por documentos que leí y no existían, así que pensé que no funcionarían. Pero intenté ejecutar su archivo de registro de todos modos, ¡solucionó el problema como un encanto!
BuvinJ
16

El protocolo de proveedor de soporte de seguridad de credenciales (CredSSP) es un proveedor de autenticación que procesa las solicitudes de autenticación para otras aplicaciones.

Existe una vulnerabilidad de ejecución remota de código en versiones sin parchear de CredSSP. Un atacante que aprovecha esta vulnerabilidad con éxito podría transmitir las credenciales de usuario para ejecutar código en el sistema de destino. Cualquier aplicación que dependa de CredSSP para la autenticación puede ser vulnerable a este tipo de ataque.

[...]

13 de marzo de 2018

La versión inicial del 13 de marzo de 2018 actualiza el protocolo de autenticación CredSSP y los clientes de Escritorio remoto para todas las plataformas afectadas.

La mitigación consiste en instalar la actualización en todos los sistemas operativos elegibles del cliente y el servidor y luego usar la configuración de la directiva de grupo incluida o los equivalentes basados ​​en el registro para administrar las opciones de configuración en las computadoras cliente y servidor. Recomendamos que los administradores apliquen la política y la configuren en "Forzar clientes actualizados" o "Mitigada" en los equipos cliente y servidor lo antes posible. Estos cambios requerirán un reinicio de los sistemas afectados.

Preste mucha atención a los pares de configuración de registro o directiva de grupo que resultan en interacciones "bloqueadas" entre clientes y servidores en la tabla de compatibilidad más adelante en este artículo.

17 de abril de 2018

La actualización de la actualización del Cliente de escritorio remoto (RDP) en KB 4093120 mejorará el mensaje de error que se presenta cuando un cliente actualizado no se conecta a un servidor que no se ha actualizado.

8 de mayo de 2018

Una actualización para cambiar la configuración predeterminada de Vulnerable a Mitigada.

Fuente: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Ver también este hilo reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Solución alternativa de Microsoft:

  • Actualizar servidor y cliente. (requiere reinicio, recomendado)

No se recomiendan soluciones alternativas si su servidor está disponible públicamente, o si NO tiene un control de tráfico estricto en su red interna, pero a veces no se puede reiniciar el servidor RDP en horas de trabajo.

  • Establezca la política de parches CredSSP a través de GPO o el Registro. (requiere reinicio o gpupdate / force)
  • Desinstalar KB4103727 (no se requiere reiniciar)
  • Creo que deshabilitar NLA (Autenticación de capa de red) también podría funcionar. (no se requiere reiniciar)

Asegúrese de comprender los riesgos al usarlos y parchear sus sistemas lo antes posible.

[1] Toda la descripción de GPO CredSSP y las modificaciones del registro se describen aquí.

[2] ejemplos de GPO y configuraciones de registro en caso de que el sitio de Microsoft caiga.

Michal Sokolowski
fuente
Eso creo, sí. :) Por lo que puedo decir, Windows 7, Windows 8.1, Windows 10 y Server 2016 se ven afectados en mi entorno. Concluyendo tenemos que parchear todas las versiones de Windows compatibles.
Michal Sokolowski
3
La confirmación de deshabilitar NLA en el servidor de destino funciona como una solución temporal.
Ketura
Alguien tiene alguna secuencia de comandos PS (Powershell) a mano cómo comprobar esto? ¿En servidor y cliente?
Tilo
¿Es este error porque RDP en el servidor está actualizado y el cliente no lo está, o son los clientes los que están actualizados y el servidor no?
nivs1978
@ nivs1978, AFAIR, ambos escenarios darán los mismos síntomas.
Michal Sokolowski
7
  1. Vaya a "Editor de directivas de grupo local> Plantillas administrativas> Sistema> Delegación de credenciales> Cifrado Oracle Remediation", edítelo y actívelo, luego configure "Nivel de protección" en "Mitigada".
  2. Establecer clave de registro (de 00000001 a 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters] "AllowEncryptionOracle" = dword:
  3. Reinicie su sistema si es necesario.
Mohammad Lotfi
fuente
Utilicé el primer paso con la excepción de habilitarlo y configurarlo como Vulnerable. Luego pude RDP mi W10 a una máquina W7 en la red
seizethecarp
¡Hice lo que mencionaste y trabajé! Cliente W10 y Servidor WS2012 R2. ¡Gracias!
Phi
4

Investigación

Refiriéndose a este artículo:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Actualización provisional de mayo de 2018 que podría afectar la capacidad de establecer conexiones de sesión RDP de host remoto dentro de una organización. Este problema puede ocurrir si el cliente local y el host remoto tienen configuraciones diferentes de "Remediación de Oracle de cifrado" dentro del registro que definen cómo construir una sesión RDP con CredSSP. Las opciones de configuración de "Remediación de Oracle de cifrado" se definen a continuación y si el servidor o el cliente tienen expectativas diferentes sobre el establecimiento de una sesión RDP segura, la conexión podría bloquearse.

Una segunda actualización, que se lanzará tentativamente el 8 de mayo de 2018, cambiará el comportamiento predeterminado de "Vulnerable" a "Mitigado".

Si observa que tanto el cliente como el servidor están parcheados, pero la configuración de política predeterminada se deja en "Vulnerable", la conexión RDP es "Vulnerable" para atacar. Una vez que la configuración predeterminada se modifica a "Mitigada", la conexión se convierte en "Segura" de forma predeterminada.

Resolución

Con base en esta información, procedo a garantizar que todos los clientes estén completamente parcheados, entonces esperaría que el problema se mitigue.

scott_lotus
fuente
4

El valor del registro no estaba allí en mi máquina con Windows 10. Tuve que ir a la siguiente política de grupo local y aplicar el cambio en mi cliente:

Configuración de la computadora -> Plantillas administrativas -> Sistema -> Delegación de credenciales - Cifrado Oracle Remediation

Habilitar y establecer en valor a vulnerable.

Ion Cojocaru
fuente
Esto funcionó para mí en W10 conectando a una máquina W7 en mi red
seizethecarp
3

Se recomienda actualizar el cliente en lugar de este tipo de scripts para evitar el error, pero bajo su propio riesgo puede hacerlo en el cliente y no es necesario reiniciar la PC del cliente. Tampoco es necesario cambiar nada en el servidor.

  1. Abrir Run, escribir gpedit.mscy hacer clic OK.
  2. Ampliar Administrative Templates.
  3. Ampliar System.
  4. Abierto Credentials Delegation.
  5. En el panel derecho, haga doble clic en Encryption Oracle Remediation.
  6. Seleccionar Enable.
  7. Seleccionar Vulnerablede la Protection Levellista.

Esta configuración de directiva se aplica a las aplicaciones que usan el componente CredSSP (por ejemplo: Conexión a Escritorio remoto).

Algunas versiones del protocolo CredSSP son vulnerables a un ataque de cifrado oracle contra el cliente. Esta política controla la compatibilidad con clientes y servidores vulnerables. Esta política le permite establecer el nivel de protección deseado para la vulnerabilidad del oráculo de cifrado.

Si habilita esta configuración de directiva, se seleccionará la compatibilidad con la versión de CredSSP según las siguientes opciones:

Forzar clientes actualizados: las aplicaciones cliente que usan CredSSP no podrán recurrir a las versiones inseguras y los servicios que usan CredSSP no aceptarán clientes no parcheados. Nota: esta configuración no debe implementarse hasta que todos los hosts remotos admitan la versión más reciente.

Mitigada: las aplicaciones de cliente que usan CredSSP no podrán recurrir a la versión insegura, pero los servicios que usan CredSSP aceptarán clientes no parcheados. Consulte el siguiente enlace para obtener información importante sobre el riesgo que representan los clientes restantes sin parches.

Vulnerable: las aplicaciones de cliente que usan CredSSP expondrán los servidores remotos a ataques al admitir el retroceso a las versiones inseguras y los servicios que usan CredSSP aceptarán clientes sin parches.

  1. Haz clic en Aplicar.
  2. Haga clic en Aceptar.
  3. Hecho.

ingrese la descripción de la imagen aquí Referencia

AVB
fuente
Usted recomienda que las personas hagan clic en una opción que dice "Vulnerable". Sería bueno explicar cuáles serán las consecuencias de esto, en lugar de simplemente dar una (buena) secuencia de comandos para hacerlo.
Ley29
@ Law29 Tienes razón, actualizado!
AVB
0

Este tipo tiene una solución para su problema exacto:

Esencialmente, tendrá que cambiar la configuración de GPO y forzar una actualización. Pero estos cambios requerirán un reinicio para tener efecto.

  1. Copie estos dos archivos de una máquina recién actualizada;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd hizo feb 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd, febrero de 2018: su carpeta local puede ser diferente, es decir, en-GB)

  2. En un DC, navegue a:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Cambiar el nombre de la corriente CredSsp.admxaCredSsp.admx.old
    • Copie el nuevo CredSsp.admxa esta carpeta.

  3. En el mismo DC navegue a:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (o tu idioma local)
    • Cambiar el nombre de la corriente CredSsp.admlaCredSsp.adml.old
    • Copie el nuevo CredSsp.admlarchivo a esta carpeta.

  4. Intente su política de grupo nuevamente.

https://www.petenetlive.com/KB/Article/0001433

Justin
fuente
0

Como otros han dicho, esto se debe a un parche de marzo que Microsoft lanzó. Lanzaron un parche de mayo el 8 de mayo que realmente aplica el parche de marzo. Entonces, si tiene una estación de trabajo que recibió el parche de mayo e intenta conectarse a un servidor que no recibió el parche de marzo, recibirá el mensaje de error en su captura de pantalla.

La resolución Realmente desea parchear los servidores para que tengan el parche de marzo. De lo contrario, mientras tanto, puede aplicar una directiva de grupo o edición de registro.

Puede leer instrucciones detalladas en este artículo: Cómo corregir la función de error de autenticación No se admite Error CredSSP Error RDP

También puede encontrar copias de los archivos ADMX y ADML en caso de que necesite encontrarlos.

Robert Russell
fuente
0

Tengo el mismo problema. Los clientes están en Win7 y los servidores RDS son 2012R2, los clientes recibieron "Actualización acumulativa de calidad mensual de seguridad 2018-05 (kb4019264)". Después de quitar eso, todo bien.

Root Loop
fuente
0

Descubrí que algunas de nuestras máquinas habían dejado de realizar Windows Update (ejecutamos WSUS local en nuestro dominio) en algún momento de enero. Supongo que un parche anterior causó el problema (la máquina se quejaría por estar desactualizada, pero no instalaría los parches de Jan que dijo que necesitaban). Debido a la actualización de 1803, no podíamos usar Windows Update de MS directamente para solucionarlo (se agotaría el tiempo por alguna razón y las actualizaciones no se ejecutarían).

Puedo confirmar que si parches la máquina a la versión 1803, contiene la solución a esto. Si necesita una ruta rápida para solucionar esto, utilicé el Asistente de actualización de Windows (enlace superior que dice Actualización) para realizar la actualización directamente (por alguna razón, parece más estable que Windows Update).

Machavity
fuente
Ese enlace me ofrece descargar un ISO de Windows 10. ¿Es eso lo que querías vincular?
Michael Hampton
@MichaelHampton El enlace inferior es para la herramienta ISO. El enlace Actualizar ahora es para el Asistente de actualización
Machavity
0

Eliminamos la última actualización de seguridad KB410731 y pudimos conectarnos con máquinas con Windows 10 en la compilación 1709 y anteriores. Para las PC, podríamos actualizar a la compilación 1803, esto resolvió el problema sin desinstalar KB4103731.

Gabriel C
fuente
0

Simplemente, intente deshabilitar Network Level Authenticationdesde el escritorio remoto. ¿Podría por favor comprobar la siguiente imagen:

ingrese la descripción de la imagen aquí

Mike Darwish
fuente
0

Abra PowerShell como administrador y ejecute este comando:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Intente ahora conectarse al servidor. Funcionará.

Mukesh Salaria
fuente
0

Encontré la respuesta aquí , así que no puedo reclamarla como mía, pero agregar la siguiente clave a mi registro y reiniciar me la arregló.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
Graham Cuthbert
fuente
66
Esto significa que su comunicación con todos los servidores que no imponen la corrección de descifrado de Oracle se puede degradar y descifrar. Entonces te pones en riesgo. Actualmente, incluso los servidores con credSSP actualizado no rechazan a los clientes degradados de forma predeterminada, por lo que significaría que prácticamente todas sus sesiones de escritorio remoto están en riesgo, ¡incluso si su cliente está completamente actualizado sobre este tema!
user188737
1
NO se recomienda este cambio de registro.
Spuder