Questão Erro de conexão de área de trabalho remota após a atualização do Windows 2018/05/08 - Atualizações do CredSSP para CVE-2018-0886


Após o Windows Update, eu recebo esse erro ao tentar se conectar a um servidor usando o Remote Desktop Connection.

Quando ler a ligação fornecido por mensagem de erro, parece devido a uma atualização em 2018/05/08:

8 de maio de 2018

Uma atualização para alterar a configuração padrão de Vulnerável para Atenuada.

Os números relacionados da Base de Dados de Conhecimento da Microsoft estão listados em CVE-2018-0886.

Existe uma solução para isso?

Error RDC


82


origem


(Meta: atualizações vão no final das postagens, para garantir que elas ainda sejam compreensíveis para novos leitores, e as respostas vão para o espaço de resposta, não mescladas em perguntas. Obrigado). - halfer


Respostas:


(Postou uma resposta em nome do autor da pergunta).

Como em algumas respostas, a melhor solução para esse erro é atualizar o servidor e os clientes para a versão> = a atualização 2018-05-08 da Microsoft.

Se você não pode atualizar os dois (ou seja, você só pode atualizar o cliente ou servidor), em seguida, você poderia aplicar uma das soluções alternativas das respostas abaixo e alterar a configuração de volta o mais rápido possível para que você minimize a duração da vulnerabilidade introduzida pela solução alternativa.


18



Este é um daqueles casos raros em que a resposta aceita também é a melhor resposta. Outras respostas deixam você vulnerável ao CVE-2018-0886: "Existe uma vulnerabilidade de execução remota de código em versões não corrigidas do CredSSP. Um invasor que explorar com êxito esta vulnerabilidade pode retransmitir credenciais de usuário para executar código no sistema de destino. Qualquer aplicativo que dependa do CredSSP para autenticação pode ser vulnerável a esse tipo de ataque. " - Braiam
Encontramos uma solução útil e não invasiva - conseguimos usar o RDP usando um dos nossos servidores como uma caixa de salto - OutstandingBill
Alguma idéia de quão séria a vulnerabilidade é se ambos, cliente e servidor, estão na mesma rede local e apenas expostos à internet por trás de um roteador sem nenhuma porta aberta? - Kevkong
@Kevkong: esta é uma resposta do wiki que postei para o autor da pergunta. Você pode enviar um ping sob a pergunta, se desejar. - halfer
Oi @Peter: obrigado por suas edições. Principalmente concorda com eles, mas a meta-introdução é necessária IMO para ficar dentro das regras de licença de atribuição. Eu tenho várias centenas delas no Stack Overflow, e a visão do Meta é que isso não só precisa permanecer, mas algumas pessoas acham que é insuficiente, e o OP deve ser nomeado. Essa visão de longo prazo não ganhou muita força, mas mostra a amplitude da opinião sobre como a atribuição é melhor alcançada. Mas, basicamente, não podemos apagar a autoria. Isso pode ser restaurado por favor? - halfer


Método alternativo para gpedit usando cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

74



Salva-vidas Para aqueles que usam o Windows 10 Home, isso deve funcionar perfeitamente. Apenas lembre-se de executar o cmd como administrador.
Este comando está funcionando no windows 8. Obrigado - Naveen Soni
Na verdade, o problema era que as atualizações ainda estavam sendo instaladas no servidor, portanto, nenhuma conexão era possível. Apenas esperou e funcionou. serverfault.com/questions/387593/… - reddy
@pghcpa Ignore isso, o comando cria os nós de registro ausentes e insere o parâmetro para você. Isso é realmente um salva-vidas se você não puder atualizar o servidor com o patch de segurança que causou esse problema. - Gergely Lukacsy
Eu não sei porque, mas seu trabalho Obrigado - dian


Eu encontrei uma solução. Conforme descrito no link de ajuda, Tentei recuperar da atualização 2018/05/08 alterando o valor desta política de grupo:

  • Corre gpedit.msc

  • Configuração do Computador -> Modelos Administrativos -> Sistema -> Delegação de Credenciais -> Criptografia Oracle Remediation

Mude para Habilitar e no nível de proteção, mude de volta para Vulnerável.

Não tenho certeza se isso pode reverter o risco de um invasor explorar minha conexão. Espero que a Microsoft corrija isso em breve para que eu possa restaurar a configuração para a configuração recomendada Mitigado.

Enter image description here


36



Meu sistema não tem essa opção para "Criptografia Oracle Remediation" lá, é um servidor do Windows 2012. Parece que aplicou a atualização de segurança 5/8.
O que eu descobri foi que para nós o cliente era o "problema". Os servidores não tinham as atualizações mais recentes. Os clientes tinham a última atualização para não funcionarem. Uma vez que o servidor foi atualizado, tudo funcionou.
Para quem não sabe por onde começar, execute "gpedit.msc" e siga as instruções acima. - Glen Little


Outra maneira é instalar o cliente Microsoft Remote Desktop da MS Store - https://www.microsoft.com/pt-br/store/p/microsoft-remote-desktop/9wzdncrfj3ps


11



Obrigado, espero que ele tenha copiar / colar arquivo em vez de compartilhar pasta um dia. Só tem compartilhamento de área de transferência para copiar / colar texto - Pham X. Bach
O cliente RDP da Windows App Store não possui muitos dos recursos de personalização e integração do mstsc.exe É difícil levar a sério. De um ponto de vista de segurança, ele não permitirá que você veja o certificado usado para conexões seguras (última vez que verifiquei), ele também não possui suporte a cartão inteligente, abrangência de vários monitores, redirecionamento de unidade e outros. A própria tabela de comparação da Microsoft revela como é anêmica: docs.microsoft.com/pt-br/windows-server/remote/… - Dai


Esse problema só acontece na minha VM do Hyper-V, e o remoting para máquinas físicas está OK.

Vamos para Este PC → Configurações do sistema → Configurações avançadas do sistema no servidor e depois resolvi desmarcando a VM de destino "permitem conexões somente de computadores que executam a Área de Trabalho Remota com Autenticação no Nível da Rede (recomendado)".

Uncheck this


4



Deus, caramba. Eu habilitei essa opção, esqueci e, duas horas depois, percebi que era o problema. - Shafiq al-Shaar


Seguindo a resposta do ac19501 eu criei dois arquivos de registro para tornar isso mais fácil:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

3





Eu me deparei com os mesmos problemas. A melhor solução seria atualizar a máquina à qual você está se conectando, em vez de usar a resposta do Pham X Bach para reduzir o nível de segurança.

No entanto, se você não conseguir atualizar a máquina por algum motivo, sua solução alternativa funcionará.


2



Desculpe por entender mal sua resposta. Sim, a melhor solução deve ser o servidor de atualização e todos os clientes para a versão> = a atualização 2018/05/08 do MS - Pham X. Bach


Você precisa instalar um Windows Update para o servidor e todos os clientes. Para procurar a atualização, vá para https://portal.msrc.microsoft.com/pt-pt/security-guidance, em seguida, procure o 2018-0886 CVE e escolha a atualização de segurança para a versão do Windows instalada.


1





Você precisa atualizar o seu Windows Server usando o Windows Update. Todos os patches necessários serão instalados. Então você pode se conectar ao seu servidor via Remote Desktop novamente.

Você precisa instalar o kb4103725

Leia mais em: https://support.microsoft.com/pt-br/help/4103725/windows-81-update-kb4103725


1



Para aqueles caras que perderam o acesso ao seu servidor remoto, ainda posso acessar meus servidores com o Remote Desktop for Android. Em seguida, você pode instalar correções e resolver o problema com conexões de área de trabalho remota de clientes Windows.


Para servidores, também podemos alterar a configuração via Remote PowerShell (assumindo que o WinRM esteja ativado, etc ...)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Agora, se essa configuração for gerenciada por um GPO de domínio, é possível que ela seja revertida. Portanto, você precisa verificar os GPOs. Mas para uma solução rápida, isso funciona.

Referência: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell


1





Atualização no exemplo de GPO na tela de impressão.

Com base na resposta "reg add" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Diretivas \ Sistema \ CredSSP \ Parâmetros "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Captura de tela

Caminho da Chave: Software \ Microsoft \ Windows \ CurrentVersion \ Políticas \ System \ CredSSP \ Parameters
Nome do valor: AllowEncryptionOracle
Dados do valor: 2


1