Erro de conexão da área de trabalho remota após a atualização do Windows 2018/05/08 - Atualizações do CredSSP para CVE-2018-0886

90

Após o Windows Update, recebo esse erro ao tentar me conectar a um servidor usando a Conexão de Área de Trabalho Remota.

Ao ler o link fornecido pela mensagem de erro, parece haver uma atualização em 08/05/2018:

8 de maio de 2018

Uma atualização para alterar a configuração padrão de Vulnerável para Mitigado.

Os números relacionados à Base de Dados de Conhecimento da Microsoft estão listados em CVE-2018-0886.

Existe uma solução para isso?

Erro RDC

Pham X. Bach
fonte
1
(Meta: as atualizações vão no final das postagens, para garantir que ainda sejam compreensíveis para os novos leitores, e as respostas vão no espaço de respostas, não mescladas em perguntas. Obrigado).
Halfer

Respostas:

21

(Publicou uma resposta em nome do autor da pergunta) .

Como em algumas respostas, a melhor solução para esse erro é atualizar o servidor e os clientes para a versão> = a atualização 2018-05-08 da Microsoft.

Se você não puder atualizar os dois (por exemplo, você pode atualizar apenas o cliente ou servidor), poderá aplicar uma das soluções alternativas das respostas abaixo e alterar a configuração novamente o mais rápido possível, para minimizar a duração da vulnerabilidade introduzida pela solução alternativa.

halfer
fonte
Esse é um daqueles casos raros em que a resposta aceita também é a melhor resposta. Outras respostas deixam você vulnerável ao CVE-2018-0886: "Existe uma vulnerabilidade de execução remota de código em versões sem patch do CredSSP. Um invasor que explora com êxito essa vulnerabilidade pode retransmitir credenciais do usuário para executar o código no sistema de destino . Qualquer aplicativo que dependa do CredSSP para autenticação pode estar vulnerável a esse tipo de ataque ".
Braiam
Encontramos uma solução acessível, não-invasivo - fomos capazes de RDP usando um dos nossos servidores como uma caixa de salto
OutstandingBill
Alguma idéia de quão séria é a vulnerabilidade se cliente e servidor estiverem na mesma rede local e expostos apenas à Internet atrás de um roteador sem portas abertas?
Kevkong
@ Kevkong: esta é uma resposta que eu publiquei para o autor da pergunta. Você pode pingá-los sob a pergunta, se desejar.
Halfer
Oi @ Peter: obrigado por suas edições. Concordo principalmente com eles, mas a meta-introdução é necessária à IMO para permanecer dentro das regras de licença de atribuição. Eu tenho várias centenas delas no Stack Overflow, e a visão do Meta é que isso não apenas precisa permanecer, mas algumas pessoas pensam que é insuficiente, e o OP deve ser nomeado. Essa visão altter não ganhou muita força, mas mostra a amplitude de opinião sobre como a atribuição é melhor alcançada. Mas, basicamente, não podemos apagar a autoria. Isso pode ser restaurado, por favor?
Halfer
90

Método alternativo ao gpedit usando o cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

fonte
4
Lifesaver. Para aqueles que usam o Windows 10 Home, isso deve funcionar perfeitamente. Lembre-se de executar o cmd como administrador.
1
Este comando está funcionando no Windows 8. Obrigado
Jairath
1
Na verdade, o problema era que as atualizações ainda estavam sendo instaladas no servidor, portanto, nenhuma conexão era possível. Apenas esperei e funcionou. serverfault.com/questions/387593/…
tobiak777
1
@pghcpa Ignore isso, o comando cria os nós de registro ausentes e insere o parâmetro para você. Isso realmente salva a vida se você não pode atualizar o servidor com o patch de segurança que causou esse problema.
Gergely Lukacsy
1
Eu não sei porque, mas o seu trabalho Obrigado
dian
39

Eu encontrei uma solução. Conforme descrito no link da ajuda , tentei reverter a atualização de 2018/05/08 alterando o valor desta política de grupo:

  • Execute gpedit.msc

  • Configuração do computador -> Modelos administrativos -> Sistema -> Delegação de credenciais -> Correção do Oracle de criptografia

Altere-o para Habilitar e, no nível de Proteção, volte para Vulnerável .

Não tenho certeza se isso pode reverter qualquer risco de um invasor explorar minha conexão. Espero que a Microsoft corrija isso em breve para que eu possa restaurar a configuração para a configuração recomendada Mitigado .

Digite a descrição da imagem aqui

Pham X. Bach
fonte
Meu sistema não possui essa opção para "Criptografia Oracle Remediation", é um servidor Windows 2012. Parece que aplicou a atualização de segurança 5/8.
4
O que descobri foi que para nós o cliente era o "problema". Os servidores não tiveram as atualizações mais recentes. Os clientes tiveram a atualização mais recente para não funcionarem. Depois que o servidor foi atualizado, tudo funcionou.
Para quem não sabe por onde começar, execute "gpedit.msc" e siga as instruções acima.
Glen Little
Isso não funciona no meu sistema Windows 10. A atualização manual da chave de registro CredSSP me permite conectar - o que pretendo fazer por tempo suficiente para corrigir a máquina até o padrão atual.
Tom W
12

Outra maneira é instalar o cliente Microsoft Remote Desktop da MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Pavel
fonte
2
Obrigado, espero que ele tenha copiar / colar o arquivo em vez de compartilhar a pasta um dia. Só compartilhando área de transferência para copiar / colar texto
Pham X. Bach
O cliente RDP da Windows App Store carece de tantos recursos de personalização e integração do built-in mstsc.exeque é difícil levar a sério. Do ponto de vista da segurança, ele não permite que você exiba o certificado usado para conexões seguras (da última vez que verifiquei), também não possui suporte a cartões inteligentes, expansão de vários monitores, redirecionamento de unidades e outros. A própria tabela de comparação da Microsoft revela quão anêmica é: docs.microsoft.com/en-us/windows-server/remote/…
Dai
6

Esse problema ocorre apenas na minha VM Hyper-V e a comunicação remota para máquinas físicas está correta.

Vá para Este PC → Configurações do sistema → Configurações avançadas do sistema no servidor e, em seguida, resolvi desmarcando a VM de destino "permita conexões apenas de computadores executando a Área de trabalho remota com autenticação no nível da rede (recomendado)".

Desmarque esta opção

au.tw
fonte
Deus, droga. Habilitei essa opção, esqueci, e duas horas depois percebi que era o problema. Sha
Shafiq al-Shaar
3

Após a resposta do ac19501, criei dois arquivos de registro para facilitar isso:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
yann.kmm
fonte
2

Atualização no exemplo de GPO na tela de impressão.

Com base na resposta "reg add" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Captura de tela

Caminho da chave: Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters
Nome do valor: AllowEncryptionOracle
Dados do valor: 2

Ramon Lucas
fonte
2

Me deparei com os mesmos problemas. A melhor solução seria atualizar a máquina à qual você está se conectando, em vez de usar a resposta do Pham X Bach para diminuir o nível de segurança.

No entanto, se você não puder atualizar a máquina por algum motivo, sua solução alternativa funcionará.

Peter Mortensen
fonte
Desculpe por não ter entendido sua resposta. Sim, a melhor solução deve ser o servidor de atualização e todos os clientes para a versão> = a atualização de 08/05/2018 da MS
Pham X. Bach
1

Você precisa atualizar o Windows Server usando o Windows Update. Todos os patches necessários serão instalados. Em seguida, você pode se conectar ao seu servidor via Área de Trabalho Remota novamente.

Você precisa instalar o kb4103725

Leia mais em: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


fonte
Para aqueles que perderam o acesso ao servidor remoto, ainda posso acessar meus servidores com a Área de trabalho remota para Android. Em seguida, você pode instalar patches e resolver o problema com as conexões da Área de Trabalho Remota dos clientes Windows.
1

Para servidores, também podemos alterar a configuração via Remote PowerShell (assumindo que o WinRM esteja ativado, etc ...)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Agora, se essa configuração for gerenciada por um GPO de domínio, é possível que ela seja revertida; portanto, você deve verificar os GPOs. Mas, para uma solução rápida, isso funciona.

Referência: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Francisco Xavier
fonte
1

Outra opção se você tiver acesso à linha de comando (temos um servidor SSH em execução na caixa) é executar "sconfig.cmd" na linha de comando. Você obtém um menu como abaixo:

Digite a descrição da imagem aqui

Escolha a opção 7 e ative-a para todos os clientes, não apenas seguros.

Uma vez feito isso, é possível entrar na área de trabalho remota. Parece que para nós o problema foi que nossos sistemas clientes foram atualizados para a nova segurança, mas nossas caixas de servidor estavam atrasadas nas atualizações. Sugiro que você obtenha as atualizações e ative novamente essa configuração de segurança.

Brent
fonte
1

Desinstalar:

  • Para Windows 7 e 8.1: KB4103718 e / ou KB4093114 
  • Para Windows 10: servidor KB4103721 e / ou KB4103727 sem atualizações 

Esta atualização contém um patch para a vulnerabilidade CVE-2018-0886. Em um servidor não corrigido, ele os deixa entrar sem eles.

EXPY
fonte
2
Bem-vindo ao Super Usuário! Você pode explicar por que a desinstalação desses KBs ajudará?
bertieb
coz Esta atualização contém patch para a vulnerabilidade CVE-2018-0886, no servidor não remendo permite-los em sem eles
EXPY