Início / server / Perguntas / 911590
Accepted
scott_lotus
Asked: 2018-05-11 00:40:09 +0800 CST

Isso pode ser devido à correção do oráculo de criptografia CredSSP - RDP para host do Windows 10 pro

  • 772

Erro

Após as atualizações de segurança do Windows em maio de 2018, ao tentar fazer o RDP em uma estação de trabalho Windows 10 Pro, a seguinte mensagem de erro é exibida após a inserção bem-sucedida das credenciais do usuário:

Ocorreu um erro de autenticação. A função solicitada não é suportada.

Isso pode ser devido à correção do oráculo de criptografia CredSSP

Captura de tela

insira a descrição da imagem aqui

Depuração

  • Confirmamos que as credenciais do usuário estão corretas.

  • Reiniciou a estação de trabalho.

  • Os serviços de diretório local confirmados estão operacionais.

  • As estações de trabalho isoladas que ainda não aplicaram o patch de segurança de maio não serão afetadas.

Pode gerenciar nesse ínterim para hosts permanentes, no entanto, preocupado com o acesso ao servidor baseado em nuvem. Nenhuma ocorrência no Server 2016 ainda.

obrigada

windows

14 respostas

  1. Com base inteiramente na resposta de Graham Cuthbert, criei um arquivo de texto no Bloco de Notas com as seguintes linhas e cliquei duas vezes nele depois (o que deve adicionar ao Registro do Windows quaisquer parâmetros que estejam no arquivo).

    Apenas observe que a primeira linha varia dependendo de qual versão do Windows você está usando, então pode ser uma boa ideia abrir regedite exportar qualquer regra apenas para ver o que está na primeira linha e usar a mesma versão em seu arquivo.

    Além disso, não estou preocupado com a degradação da segurança nesta situação específica porque estou me conectando a uma VPN criptografada e o host Windows não tem acesso à Internet e, portanto, não possui a atualização mais recente.

    Arquivo rd_patch.reg:

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

    Para aqueles que gostariam de algo fácil de copiar/colar em um prompt de comando elevado:

    reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
    • 22

  2. O protocolo Credential Security Support Provider (CredSSP) é um provedor de autenticação que processa solicitações de autenticação para outros aplicativos.

    Existe uma vulnerabilidade de execução remota de código em versões sem correção do CredSSP. Um invasor que explorar com êxito essa vulnerabilidade poderá retransmitir as credenciais do usuário para executar o código no sistema de destino. Qualquer aplicativo que dependa do CredSSP para autenticação pode estar vulnerável a esse tipo de ataque.

    [...]

    13 de março de 2018

    A versão inicial de 13 de março de 2018 atualiza o protocolo de autenticação CredSSP e os clientes de Área de Trabalho Remota para todas as plataformas afetadas.

    A mitigação consiste em instalar a atualização em todos os sistemas operacionais de cliente e servidor qualificados e, em seguida, usar as configurações de Diretiva de Grupo incluídas ou equivalentes baseados no registro para gerenciar as opções de configuração nos computadores cliente e servidor. Recomendamos que os administradores apliquem a política e a definam como “Forçar clientes atualizados” ou “mitigada” em computadores cliente e servidor o mais rápido possível. Essas alterações exigirão uma reinicialização dos sistemas afetados.

    Preste muita atenção à Diretiva de Grupo ou aos pares de configurações do Registro que resultam em interações “Bloqueadas” entre clientes e servidores na tabela de compatibilidade posteriormente neste artigo.

    17 de abril de 2018

    A atualização de atualização do Remote Desktop Client (RDP) no KB 4093120 aprimorará a mensagem de erro apresentada quando um cliente atualizado falha ao se conectar a um servidor que não foi atualizado.

    8 de maio de 2018

    Uma atualização para alterar a configuração padrão de Vulnerável para Mitigado.

    Fonte: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

    Veja também este tópico do reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

    Solução da Microsoft:

    • Atualizar servidor e cliente. (requer reinicialização, recomendado)

    Soluções alternativas não recomendadas se o seu servidor estiver disponível publicamente ou se você NÃO tiver um controle de tráfego rigoroso em sua rede interna, mas às vezes reiniciar o servidor RDP no horário de trabalho não é possível.

    • Defina a política de correção do CredSSP por meio do GPO ou do Registro. (requer reinicialização ou gpupdate /force)
    • Desinstale o KB4103727 (não é necessário reiniciar)
    • Acho que desabilitar o NLA (Network Layer Authentication) também pode funcionar. (não é necessário reiniciar)

    Certifique-se de entender os riscos ao usá-los e corrigir seus sistemas o mais rápido possível.

    [1] Todas as descrições e modificações de registro do GPO CredSSP são descritas aqui.

    [2] exemplos de configurações de GPO e registro caso o site da Microsoft fique inativo.

    • 16
    1. Vá para "Editor de Diretiva de Grupo Local > Modelos Administrativos > Sistema > Delegação de Credenciais > Remediação Oracle de Criptografia", edite e habilite-o e defina "Nível de Proteção" como "Mitigado".
    2. Definir chave de registro (de 00000001 a 00000002) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle"=dword:
    3. Reinicie seu sistema, se necessário.
    • 7
  4. Best Answer

    Pesquisar

    Referindo-se a este artigo:

    https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

    Atualização provisória de maio de 2018 que pode afetar a capacidade de estabelecer conexões de sessão RDP de host remoto em uma organização. Esse problema pode ocorrer se o cliente local e o host remoto tiverem configurações diferentes de “Criptografia Oracle Remediation” no registro que definem como criar uma sessão RDP com CredSSP. As opções de configuração “Encryption Oracle Remediation” são definidas abaixo e, se o servidor ou cliente tiver expectativas diferentes sobre o estabelecimento de uma sessão RDP segura, a conexão poderá ser bloqueada.

    Uma segunda atualização, programada para ser lançada em 8 de maio de 2018, mudará o comportamento padrão de “Vulnerável” para “Mitigado”.

    Se você perceber se o cliente e o servidor estão corrigidos, mas a configuração de política padrão é deixada em “Vulnerável”, a conexão RDP é “Vulnerável” ao ataque. Uma vez que a configuração padrão é modificada para “mitigada”, a conexão se torna “segura” por padrão.

    Resolução

    Com base nessas informações, estou procedendo para garantir que todos os clientes sejam totalmente corrigidos, espero que o problema seja mitigado.

    • 4

  5. O valor do registro não estava lá na minha máquina Windows 10. Eu tive que ir para a seguinte política de grupo local e aplicar a alteração no meu cliente:

    Configuração do Computador -> Modelos Administrativos -> Sistema -> Delegação de Credenciais -- Criptografia Oracle Remediation

    Ative e defina o valor paravulnerable.

    • 4

  6. Recomenda-se atualizar o cliente em vez desses tipos de scripts para ignorar o erro, mas por sua conta e risco, você pode fazer isso no cliente e não precisa reiniciar o PC cliente. Também não há necessidade de alterar nada no servidor.

    1. Abra Run, digite gpedit.msce clique em OK.
    2. Expandir Administrative Templates.
    3. Expandir System.
    4. Abra Credentials Delegation.
    5. No painel direito clique duas vezes em Encryption Oracle Remediation.
    6. Selecione Enable.
    7. Selecione Vulnerableda Protection Levellista.

    Essa configuração de política se aplica a aplicativos que usam o componente CredSSP (por exemplo: Conexão de Área de Trabalho Remota).

    Algumas versões do protocolo CredSSP são vulneráveis ​​a um ataque de oráculo de criptografia contra o cliente. Esta política controla a compatibilidade com clientes e servidores vulneráveis. Essa política permite definir o nível de proteção desejado para a vulnerabilidade do oráculo de criptografia.

    Se você habilitar essa configuração de política, o suporte à versão do CredSSP será selecionado com base nas seguintes opções:

    Forçar clientes atualizados: os aplicativos cliente que usam CredSSP não poderão retornar às versões inseguras e os serviços que usam CredSSP não aceitarão clientes sem patches. Observação: essa configuração não deve ser implantada até que todos os hosts remotos suportem a versão mais recente.

    Atenuado: os aplicativos cliente que usam CredSSP não poderão retornar à versão insegura, mas os serviços que usam CredSSP aceitarão clientes não corrigidos. Consulte o link abaixo para obter informações importantes sobre o risco representado pelos clientes restantes sem correção.

    Vulnerável: os aplicativos cliente que usam CredSSP irão expor os servidores remotos a ataques, suportando o fallback para as versões inseguras e os serviços que usam CredSSP aceitarão clientes não corrigidos.

    1. Clique em Aplicar.
    2. Clique OK.
    3. Feito.

    insira a descrição da imagem aqui Referência

    • 3

  7. Simplesmente, tente Desativar Network Level Authenticationda Área de Trabalho Remota. Você poderia, por favor, verificar a imagem a seguir:

    insira a descrição da imagem aqui

    • 2

  8. Encontrei a resposta aqui , portanto, não posso reivindicá-la como minha, mas adicionar a seguinte chave ao meu registro e reiniciar a corrigiu para mim.

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
    • 0

  9. Esse cara tem uma solução para o seu problema exato:

    Essencialmente - você terá que alterar as configurações de GPO e Forçar uma atualização. Mas essas alterações exigirão que uma reinicialização entre em vigor.

    1. Copie esses dois arquivos de uma máquina recém-atualizada;

      • C:\Windows\PolicyDefinitions\CredSsp.admx(Dtd em fevereiro de 2018)
      • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml(Dtd Feb 2018 - Sua pasta local pode ser diferente, ou seja, en-GB)

    2. Em um DC, navegue até:

      • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
      • Renomeie a corrente CredSsp.admxparaCredSsp.admx.old
      • Copie o novo CredSsp.admxpara esta pasta.

    3. No mesmo DC navegue para:

      • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US(ou seu idioma local)
      • Renomeie a corrente CredSsp.admlparaCredSsp.adml.old
      • Copie o novo CredSsp.admlarquivo para esta pasta.

    4. Tente sua política de grupo novamente.

    https://www.petenetlive.com/KB/Article/0001433

    • 0

  10. Como outros já disseram, isso é por causa de um patch de março que a Microsoft lançou. Eles lançaram um patch de maio em 8 de maio que realmente aplica o patch de março. Portanto, se você tiver uma estação de trabalho que recebeu o patch de maio e estiver tentando se conectar a um servidor que não recebeu o patch de março, receberá a mensagem de erro na captura de tela.

    A Resolução Você realmente deseja corrigir os servidores para que eles tenham o patch de março. Caso contrário, enquanto isso, você pode aplicar uma Diretiva de Grupo ou edição do Registro.

    Você pode ler instruções detalhadas neste artigo: Como corrigir a função de erro de autenticação não suportada RDP de erro de CredSSP

    Você também pode encontrar cópias dos arquivos ADMX e ADML caso precise encontrá-los.

    • 0

relate perguntas