Error de conexión de escritorio remoto después de actualizar Windows 2018/05/08: actualizaciones de CredSSP para CVE-2018-0886

90

Después de Windows Update, recibo este error cuando intento conectarme a un servidor usando la Conexión a Escritorio remoto.

Cuando lee el enlace proporcionado por el mensaje de error, parece debido a una actualización en 2018/05/08:

8 de mayo de 2018

Una actualización para cambiar la configuración predeterminada de Vulnerable a Mitigada.

Los números relacionados de Microsoft Knowledge Base se enumeran en CVE-2018-0886.

¿Existe alguna solucion para esto?

Error RDC

Pham X. Bach
fuente
1
(Meta: las actualizaciones van al final de las publicaciones, para garantizar que aún sean entendibles para los nuevos lectores, y las respuestas van en el espacio de respuestas, no se fusionan en preguntas. Gracias).
halfer

Respuestas:

21

(Publicó una respuesta en nombre del autor de la pregunta) .

Como en algunas respuestas, la mejor solución para este error es actualizar tanto el servidor como los clientes a la versión> = la actualización 2018-05-08 de Microsoft.

Si no puede actualizar ambos (es decir, solo puede actualizar el cliente o el servidor), puede aplicar una de las soluciones de las respuestas a continuación y cambiar la configuración lo antes posible para minimizar la duración de la vulnerabilidad introducida por la solución.

halfer
fuente
Este es uno de esos casos raros donde la respuesta aceptada es también la mejor respuesta. Otras respuestas lo dejan vulnerable a CVE-2018-0886: "Existe una vulnerabilidad de ejecución remota de código en versiones no parcheadas de CredSSP. Un atacante que explote con éxito esta vulnerabilidad podría transmitir las credenciales de usuario para ejecutar código en el sistema de destino . Cualquier aplicación que dependa de CredSSP para la autenticación puede ser vulnerable a este tipo de ataque ".
Braiam
Encontramos una solución práctica y no invasiva: pudimos utilizar RDP usando uno de nuestros servidores como una caja de salto
excepcional
¿Alguna idea de la gravedad de la vulnerabilidad si tanto el cliente como el servidor están en la misma red local y solo están expuestos a Internet detrás de un enrutador sin puertos abiertos?
Kevkong
@Kevkong: esta es una respuesta wiki que publiqué para el autor de la pregunta. Puede hacer ping a la pregunta si lo desea.
halfer
Hola @Peter: gracias por tus ediciones. La mayoría está de acuerdo con ellos, pero la metaintroducción es necesaria para mantener la OMI dentro de las reglas de la licencia de atribución. Tengo varios cientos de estos en Stack Overflow, y la opinión de Meta es que esto no solo debe permanecer, sino que algunas personas piensan que es insuficiente, y el OP debe ser nombrado. Ese punto de vista diferente no ganó mucha tracción, pero muestra la amplitud de opiniones sobre cómo se logra mejor la atribución. Pero, básicamente, no podemos borrar la autoría. ¿Se puede restaurar esto por favor?
halfer
90

Método alternativo para gpedit usando cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

fuente
44
Salvador de la vida. Para aquellos que usan Windows 10 Home, esto debería funcionar perfectamente. Solo recuerde ejecutar cmd como administrador.
1
Este comando está trabajando en Windows 8. Gracias
Jairath
1
En realidad, el problema era que las actualizaciones todavía estaban siendo instalados en el servidor por lo tanto no hay conexión era posible. Solo esperé y funcionó. serverfault.com/questions/387593/...
tobiak777
1
@pghcpa haga caso de que, el comando crea los ficheros de registro que falta e inserta el parámetro para usted. Esto es realmente protector de la vida si no se puede actualizar el servidor con el parche de seguridad que causó este problema.
Gergely Lukacsy
1
no sé por qué, pero su trabajo Muchas gracias
dian
39

Encontré una solución. Como se describe en el enlace de ayuda , he intentado rodar hacia atrás desde la actualización 08/05/2018 cambiando el valor de esta política del grupo:

  • Ejecute gpedit.msc

  • Configuración del equipo -> Plantillas administrativas -> Sistema -> Delegación de credenciales -> Cifrado Oracle Remediation

Cambie a Habilitar y en el nivel de Protección, vuelva a cambiar a Vulnerable .

No estoy seguro de si puede revertir cualquier riesgo de que un atacante explote mi conexión. Espero que Microsoft arregle esto pronto para poder restaurar la configuración a la configuración recomendada Mitigada .

Ingrese la descripción de la imagen aquí

Pham X. Bach
fuente
Mi sistema no tiene esa opción para "Cifrado Oracle Remediation", es un servidor Windows 2012. Parece que aplicó la actualización de seguridad 5/8.
44
Lo que encontré fue que para nosotros el cliente era el "problema". Los servidores no tenían las últimas actualizaciones. Los clientes tenían la última actualización para que no funcionaran. Una vez que se actualizó el servidor, todo funcionó.
Para aquellos que no están seguros de dónde comenzar, ejecute "gpedit.msc" y luego siga las instrucciones anteriores.
Glen Little
Esto no funciona en mi sistema Windows 10. La actualización manual de la clave de registro CredSSP me permite conectarme, lo que solo tengo la intención de hacer durante el tiempo suficiente para parchear la máquina hasta el estándar actual.
Tom W
12

Otra forma es instalar el cliente de Escritorio remoto de Microsoft desde MS Store: https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Pavel
fuente
2
Gracias, espero que algún día tenga un archivo para copiar / pegar en lugar de compartir carpeta. Solo compartir el portapapeles para copiar / pegar texto
Pham X. Bach
El cliente RDP de la Tienda de aplicaciones de Windows carece de muchas de las características de personalización e integración de la función incorporada mstsc.exeque es difícil de tomar en serio. Desde el punto de vista de la seguridad, ni siquiera le permitirá ver el certificado utilizado para conexiones seguras (la última vez que lo verifiqué), también carece de soporte para tarjetas inteligentes, expansión de múltiples monitores, redirección de unidades y otros. La propia tabla de comparación de Microsoft revela cuán anémica es: docs.microsoft.com/en-us/windows-server/remote/…
Dai
6

Este problema solo ocurre en mi máquina virtual Hyper-V, y la conexión remota a máquinas físicas está bien.

Vaya a Esta PC → Configuración del sistema → Configuración avanzada del sistema en el servidor y luego lo resolví desmarcando la VM de destino "permitir conexiones solo desde computadoras que ejecutan Escritorio remoto con autenticación de nivel de red (recomendado)".

Desmarca esto

au.tw
fuente
Maldita sea. Habilité esa opción, me olvidé y 2 horas después me di cuenta de que era el problema. 😩
Shafiq al-Shaar
3

Siguiendo la respuesta de ac19501, he creado dos archivos de registro para facilitar esto:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
yann.kmm
fuente
2

Actualización sobre el ejemplo de GPO en la pantalla de impresión.

Basado en la respuesta "reg add" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Imprimir pantalla

Ruta de acceso clave: Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parámetros
Nombre del valor: AllowEncryptionOracle Información del
valor: 2

Ramon Lucas
fuente
2

Me encontré con los mismos problemas. La mejor solución sería actualizar la máquina a la que se está conectando en lugar de usar la respuesta Pham X Bach para reducir el nivel de seguridad.

Sin embargo, si no puede actualizar la máquina por alguna razón, su solución funciona.

Peter Mortensen
fuente
Perdón por malinterpretar tu respuesta. Sí, la mejor solución debería ser actualizar el servidor y todos los clientes a la versión> = la actualización de 2018/05/08 de MS
Pham X. Bach
1

Necesita actualizar su servidor de Windows usando Windows Update. Se instalarán todos los parches necesarios. Luego puede volver a conectarse a su servidor a través de Escritorio remoto.

Necesitas instalar kb4103725

Lea más en: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


fuente
Para aquellos tipos que han perdido el acceso a su servidor remoto, aún puedo acceder a mis servidores con Escritorio remoto para Android. Luego puede instalar parches y resolver el problema con las conexiones de Escritorio remoto desde clientes de Windows.
1

Para los servidores, también podemos cambiar la configuración a través de PowerShell remoto (suponiendo que WinRM esté habilitado, etc.)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Ahora, si esta configuración es administrada por un GPO de dominio, es posible que se revierta, por lo que debe verificar los GPO. Pero para una solución rápida, esto funciona.

Referencia: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Francisco Xavier
fuente
1

Otra opción si tiene acceso a la línea de comandos (tenemos un servidor SSH ejecutándose en la caja) es ejecutar "sconfig.cmd" desde la línea de comandos. Obtienes un menú como el siguiente:

Ingrese la descripción de la imagen aquí

Elija la opción 7 y actívela para todos los clientes, no solo para la seguridad.

Una vez hecho esto, puede usar el escritorio remoto. Parece que para nosotros el problema fue que nuestros sistemas cliente se actualizaron para la nueva seguridad, pero nuestras cajas de servidores se quedaron atrás en las actualizaciones. Sugeriría obtener las actualizaciones y luego volver a activar esta configuración de seguridad.

Brent
fuente
1

Desinstalar:

  • Para Windows 7 y 8.1: KB4103718 y / o KB4093114 
  • Para Windows 10: KB4103721 y / o servidor KB4103727 sin actualizaciones 

Esta actualización contiene un parche para la vulnerabilidad CVE-2018-0886. En un servidor no parcheado, los deja entrar sin ellos.

CADUCAR
fuente
2
¡Bienvenido a Super User! ¿Puede explicar por qué ayudará desinstalar estos KB?
bertieb
porque esta actualización contiene un parche para la vulnerabilidad CVE-2018-0886, en un servidor sin parche les permite entrar sin ellos
EXPY