Errore di connessione desktop remoto dopo l'aggiornamento di Windows 2018/05/08 - Aggiornamenti CredSSP per CVE-2018-0886

Dopo Windows Update, ottengo questo errore quando provo a connettermi a un server tramite Connessione desktop remoto.

Quando leggi il link fornito dal messaggio di errore, sembra a causa di un aggiornamento al 2018/05/08:

8 maggio 2018

Un aggiornamento per modificare l'impostazione predefinita da Vulnerable a Mitigated.

I numeri di Microsoft Knowledge Base correlati sono elencati in CVE-2018-0886.

C'è una soluzione per questo?

(Ha pubblicato una risposta per conto dell'autore della domanda) .

Come in alcune risposte, la soluzione migliore per questo errore è aggiornare sia il server che i client alla versione> = l'aggiornamento 2018-05-08 da Microsoft.

Se non è possibile aggiornarli entrambi (ovvero è possibile aggiornare solo client o server), è possibile applicare una delle soluzioni alternative dalle risposte seguenti e modificare la configurazione al più presto in modo da ridurre al minimo la durata della vulnerabilità introdotta dalla soluzione alternativa.

Metodo alternativo a gpedit usando cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

Ho trovato una soluzione. Come descritto nel collegamento della guida , ho provato a ripristinare dall'aggiornamento 2018/05/08 modificando il valore di questo criterio di gruppo:

• Esegui gpedit.msc

• Configurazione computer -> Modelli amministrativi -> Sistema -> Delega credenziali -> Crittografia Oracle Remediation

Modificalo su Abilita e in Livello di protezione, torna su Vulnerabile .

Non sono sicuro che possa annullare qualsiasi rischio che un utente malintenzionato sfrutti la mia connessione. Spero che Microsoft risolverà presto questo problema in modo da poter ripristinare le impostazioni su Mitigated .

Un altro modo è installare il client Microsoft Remote Desktop da MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Questo problema si verifica solo nella mia macchina virtuale Hyper-V e il remoting su macchine fisiche è OK.

Vai su Questo PC → Impostazioni di sistema → Impostazioni di sistema avanzate sul server e poi l'ho risolto deselezionando la VM di destinazione "consenti connessioni solo da computer che eseguono Desktop remoto con autenticazione a livello di rete (consigliato)".

A seguito della risposta di ac19501 ho creato due file di registro per semplificare questo:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

Aggiornamento sull'esempio dell'oggetto Criteri di gruppo sulla schermata di stampa.

In base alla risposta "reg add" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Stampa schermo

Percorso chiave: Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters
Nome valore: AllowEncryptionOracle
Dati valore: 2

Mi sono imbattuto negli stessi problemi. La soluzione migliore sarebbe aggiornare la macchina a cui ci si sta connettendo invece di utilizzare la risposta di Pham X Bach per abbassare il livello di sicurezza.

Tuttavia, se non è possibile aggiornare la macchina per qualche motivo, la sua soluzione alternativa funziona.

Devi installare un Windows Update per il server e tutti i client. Per cercare l'aggiornamento, vai su https://portal.msrc.microsoft.com/en-us/security-guidance , quindi cerca il CVE 2018-0886 e scegli l'aggiornamento di sicurezza per la versione di Windows installata.

Devi aggiornare il tuo Windows Server utilizzando Windows Update. Verranno installate tutte le patch richieste. Quindi è possibile connettersi nuovamente al server tramite Desktop remoto.

Devi installare kb4103725

Maggiori informazioni su: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725

Per i server, possiamo anche modificare l'impostazione tramite Remote PowerShell (supponendo che WinRM sia abilitato, ecc ...)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Ora, se questa impostazione è gestita da un oggetto Criteri di gruppo di dominio, è possibile che venga ripristinata, quindi è necessario controllare gli oggetti Criteri di gruppo. Ma per una soluzione rapida, funziona.

Riferimento: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Un'altra opzione se hai accesso alla riga di comando (abbiamo un server SSH in esecuzione sulla scatola) è eseguire "sconfig.cmd" dalla riga di comando. Ottieni un menu come di seguito:

Scegli l'opzione 7 e attivala per tutti i client, non solo per la sicurezza.

Una volta fatto, puoi accedere al desktop remoto. A quanto pare, il problema è che i nostri sistemi client sono stati aggiornati per la nuova sicurezza, ma i nostri server box erano in ritardo sugli aggiornamenti. Suggerirei di ottenere gli aggiornamenti e di riattivare questa impostazione di sicurezza.

Disinstallare:

• Per Windows 7 e 8.1: KB4103718 e / o KB4093114 
• Per Windows 10: server KB4103721 e / o KB4103727 senza aggiornamenti 

Questo aggiornamento contiene una patch per la vulnerabilità CVE-2018-0886. Su un server senza patch li lascia entrare senza di loro.