it-swarm-pt.tech

Isso pode ser devido à criptografia CredSSP, correção do Oracle - host RDP para Windows 10 pro

Erro

Após as atualizações de segurança do Windows em maio de 2018, ao tentar fazer RDP em uma estação de trabalho Windows 10 Pro, a seguinte mensagem de erro é exibida após a inserção bem-sucedida de credenciais do usuário:

Ocorreu um erro de autenticação. A função solicitada não é suportada.

Isso pode ser devido à correção do Oracle de criptografia CredSSP

Captura de tela

enter image description here

Depuração

  • Confirmamos que as credenciais do usuário estão corretas.

  • Reiniciou a estação de trabalho.

  • Os serviços confirmados no diretório pré estão operacionais.

  • Estações de trabalho isoladas ainda para aplicar o patch de segurança de maio não são afetadas.

No entanto, pode gerenciar temporariamente para hosts perm, preocupados com o acesso ao servidor baseado em nuvem. Ainda não há ocorrências no Server 2016.

Obrigado

47
scott_lotus

Pesquisa

Referindo-se a este artigo:

https://blogs.technet.Microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Atualização provisória de maio de 2018 que pode afetar a capacidade de estabelecer conexões remotas de sessão do Host RDP dentro de uma organização. Esse problema pode ocorrer se o cliente local e o host remoto tiverem configurações diferentes de "Criptografia Oracle Remediation" no registro que definem como criar uma sessão RDP com CredSSP. As opções de configuração “Criptografia Oracle Remediation” são definidas abaixo e se o servidor ou cliente tiver expectativas diferentes sobre o estabelecimento de uma sessão RDP segura, a conexão poderá ser bloqueada.

Uma segunda atualização, programada para ser lançada em 8 de maio de 2018, mudará o comportamento padrão de "Vulnerável" para "Mitigado".

Se você perceber se o cliente e o servidor estão corrigidos, mas a configuração de diretiva padrão for deixada em "Vulnerável", a conexão RDP será "Vulnerável" para atacar. Depois que a configuração padrão é modificada para “Mitigado”, a conexão se torna “Segura” por padrão.

Resolução

Com base nessas informações, estou procedendo para garantir que todos os clientes estejam totalmente corrigidos, e espero que o problema seja atenuado.

4
scott_lotus

Baseado inteiramente em resposta de Graham Cuthbert Criei um arquivo de texto no Bloco de Notas com as seguintes linhas e cliquei duas vezes depois (o que deve adicionar ao Registro do Windows quaisquer parâmetros que estejam no arquivo).

Observe que a primeira linha varia dependendo da versão do Windows que você está usando, portanto, pode ser uma boa ideia abrir regedit e exportar qualquer regra apenas para ver o que está na primeira linha e usar a mesma versão em seu Arquivo.

Além disso, não estou preocupado com a degradação da segurança nessa situação específica, pois estou me conectando a uma VPN criptografada e o Host Windows não tem acesso à Internet e, portanto, não possui a atualização mais recente.

Arquivo rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Para aqueles que desejam algo fácil de copiar/colar em um comando elevado Prompt:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
20
Rodriguez

O protocolo CredSSP (Credential Security Support Provider) é um provedor de autenticação que processa solicitações de autenticação para outros aplicativos.

Existe uma vulnerabilidade de execução remota de código nas versões sem patch do CredSSP. Um invasor que explora com êxito essa vulnerabilidade pode retransmitir credenciais do usuário para executar o código no sistema de destino. Qualquer aplicativo que dependa do CredSSP para autenticação pode estar vulnerável a esse tipo de ataque.

[...]

13 de março de 2018

A versão inicial de 13 de março de 2018 atualiza o protocolo de autenticação CredSSP e os clientes da Área de Trabalho Remota para todas as plataformas afetadas.

A mitigação consiste em instalar a atualização em todos os sistemas operacionais elegíveis para cliente e servidor e, em seguida, usar as configurações de Diretiva de Grupo incluídas ou equivalentes baseados em registro para gerenciar as opções de configuração nos computadores cliente e servidor. Recomendamos que os administradores apliquem a política e a definam como "Forçar clientes atualizados" ou "Mitigados" nos computadores cliente e servidor o mais rápido possível. Essas alterações exigirão uma reinicialização dos sistemas afetados.

Preste muita atenção à diretiva de grupo ou aos pares de configurações do registro que resultam em interações "bloqueadas" entre clientes e servidores na tabela de compatibilidade posteriormente neste artigo.

17 de abril de 2018

A atualização de atualização do Remote Desktop Client (RDP) no KB 4093120 aprimorará a mensagem de erro apresentada quando um cliente atualizado falha na conexão com um servidor que não foi atualizado.

8 de maio de 2018

Uma atualização para alterar a configuração padrão de Vulnerável para Mitigado.

Fonte: https://support.Microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Veja também este tópico do reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Solução alternativa da Microsoft:

  • Atualize servidor e cliente. (requer reinicialização, recomendado)

Soluções alternativas não recomendadas se o seu servidor estiver disponível ao público ou se você NÃO tiver um controle de tráfego rigoroso na sua rede interna, mas às vezes reiniciar o servidor RDP no horário de trabalho não é permitido.

  • Defina a política de correção do CredSSP via GPO ou no Registro. (Requer reinicialização ou gpupdate/force)
  • Desinstalar KB4103727 (não é necessário reiniciar)
  • Eu acho que desabilitar o NLA (autenticação de camada de rede) também pode funcionar. (não é necessário reiniciar)

Certifique-se de entender os riscos ao usá-los e corrigir seus sistemas o mais rápido possível.

[1] Todos GPO CredSSP e modificações no registro são descritas aqui.

[2] exemplos de GPO e configurações do registro, caso o site da Microsoft caia.

16
Michal Sokolowski
  1. Vá para "Editor de Diretiva de Grupo Local> Modelos Administrativos> Sistema> Delegação de Credenciais> Correção do Oracle Remediation", edite e ative-o e defina "Nível de Proteção" como "Mitigado".
  2. Defina a chave de registro (de 00000001 a 00000002) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle" = dword:
  3. Reinicie o sistema, se necessário.
7
Mohammad Lotfi

O valor do registro não estava presente na minha máquina Windows 10. Eu tive que ir para a seguinte política de grupo local e aplicar a alteração no meu cliente:

Configuração do Computador -> Modelos Administrativos -> Sistema -> Delegação de Credenciais - Correção do Oracle Remediation

Ative e defina o valor como vulnerable.

4
Ion Cojocaru

É recomendável atualizar o cliente em vez desses scripts para ignorar o erro, mas por sua conta e risco, você pode fazer isso no cliente e não precisa reiniciar o PC do cliente. Também não há necessidade de alterar nada no servidor.

  1. Abra Run, digite gpedit.msc e clique em OK.
  2. Expandir Administrative Templates.
  3. Expanda System.
  4. Aberto Credentials Delegation.
  5. No painel direito, clique duas vezes em Encryption Oracle Remediation.
  6. Selecione Enable.
  7. Selecione Vulnerable de Protection Level Lista.

Esta configuração de diretiva se aplica a aplicativos que usam o componente CredSSP (por exemplo: Conexão de área de trabalho remota).

Algumas versões do protocolo CredSSP são vulneráveis ​​a um ataque do Oracle de criptografia contra o cliente. Esta política controla a compatibilidade com clientes e servidores vulneráveis. Essa política permite definir o nível de proteção desejado para a vulnerabilidade do Oracle à criptografia.

Se você habilitar essa configuração de política, o suporte à versão CredSSP será selecionado com base nas seguintes opções:

Forçar clientes atualizados: os aplicativos clientes que usam CredSSP não poderão voltar às versões inseguras e os serviços que usam CredSSP não aceitarão clientes não corrigidos. Nota: essa configuração não deve ser implantada até que todos os hosts remotos suportem a versão mais recente.

Mitigado: Os aplicativos clientes que usam CredSSP não poderão voltar à versão não segura, mas os serviços que usam CredSSP aceitarão clientes sem patches. Consulte o link abaixo para obter informações importantes sobre o risco representado pelos clientes não corrigidos restantes.

Vulnerável: os aplicativos clientes que usam CredSSP exporão os servidores remotos a ataques, suportando o retorno às versões inseguras e os serviços que usam CredSSP aceitarão clientes sem correção.

  1. Clique em Aplicar.
  2. Clique OK.
  3. Feito.

enter image description hereReferência

3
AVB

Esse cara tem uma solução para o seu problema exato:

Essencialmente - você precisará alterar as configurações GPO e forçar uma atualização. Mas essas alterações exigirão que uma reinicialização entre em vigor.

  1. Copie esses dois arquivos de uma máquina atualizada;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd, fev 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd fev 2018 - Sua pasta local pode ser diferente, ou seja, en-GB)
  2. Em um controlador de domínio, navegue para:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Renomeie o atual CredSsp.admx para CredSsp.admx.old
    • Copie o novo CredSsp.admx para esta pasta.
  3. Na mesma DC navegue para:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (ou seu idioma local)
    • Renomeie o atual CredSsp.adml para CredSsp.adml.old
    • Copie o novo CredSsp.adml para esta pasta.
  4. Tente sua política de grupo novamente.

https://www.petenetlive.com/KB/Article/00014

0
Justin

EXECUTAR POWERSHELL COMO ADMIN E EXECUTAR COMANDO

REG  ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2
0
Hayk Jomardyan

Como outros já disseram, isso ocorre devido a um patch de março lançado pela Microsoft. Eles lançaram um patch de maio em 8 de maio que realmente aplica o patch de março. Portanto, se você possui uma estação de trabalho que recebeu o patch de maio e está tentando se conectar a um servidor que não recebeu o patch de março, receberá a mensagem de erro na sua captura de tela.

A resolução Você realmente deseja corrigir os servidores para que eles tenham o patch de março. Caso contrário, enquanto isso, você poderá aplicar uma Diretiva de Grupo ou uma edição do Registro.

Você pode ler instruções detalhadas neste artigo: Como corrigir a função de erro de autenticação não suportada Erro de CredSSP RDP

Você também pode encontrar cópias dos arquivos ADMX e ADML, caso precise encontrá-los.

0
Robert Russell

Simplesmente, tente desativar Network Level Authentication Na área de trabalho remota. Poderia, por favor, verificar a seguinte imagem:

enter image description here

0
Mike Darwish

Eu tenho o mesmo problema. Os clientes estão nos servidores Win7 e RDS são 2012R2. Os clientes receberam "atualização mensal de agregação da qualidade da segurança 2018-05 (kb4019264)". Depois de remover isso, tudo bem.

0
Root Loop

Abra o PowerShell como administrador e execute este comando:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Tente agora se conectar ao servidor. Vai funcionar.

0
Mukesh Salaria

Descobri que algumas de nossas máquinas haviam parado de executar o Windows Update (executamos o WSUS local em nosso domínio) em janeiro. Suponho que um patch anterior tenha causado o problema (a máquina reclamaria de estar desatualizada, mas não instalaria os patches de Jan necessários). Devido à atualização de 1803, não podíamos usar o Windows Update da MS diretamente para corrigi-lo (o tempo limite seria excedido por algum motivo e as atualizações não seriam executadas).

Posso confirmar que, se você fizer o patch da máquina para a versão 1803, ela conterá a correção. Se você precisar de um caminho rápido para corrigir isso, usei o Assistente do Windows Update (link superior que diz Atualização) para executar a atualização diretamente (parece mais estável do que o Windows Update por algum motivo).

0
Machavity

Removemos a atualização de segurança mais recente KB410731 e conseguimos conectar-se às máquinas Windows 10 no build 1709 e versões anteriores. Para os PCs que poderíamos atualizar para a versão 1803, isso resolveu o problema sem desinstalar o KB4103731.

0
Gabriel C

Encontrei a resposta aqui , portanto não posso reivindicá-la como minha, mas adicionar a seguinte chave ao meu registro e reiniciar a corrigiu para mim.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
0
Graham Cuthbert