Após o Windows Update, recebo esse erro ao tentar conectar-me a um servidor usando a Conexão de Área de Trabalho Remota.
Quando ler o link fornecido pela mensagem de erro, parece que há uma atualização em 2018 / 05/08:
May 8, 2018
An update to change the default setting from Vulnerable to Mitigated.
Related Microsoft Knowledge Base numbers are listed in CVE-2018-0886.
Existe uma solução para isso?
(Postou uma resposta em nome do autor da pergunta) .
Como em algumas respostas, a melhor solução para esse erro é atualizar o servidor e os clientes para a versão > = a atualização 2018-05-08 da Microsoft.
Se você não puder atualizar os dois (ou seja, só poderá atualizar o servidor ou ), poderá aplicar uma das soluções alternativas das respostas abaixo e alterar a configuração de volta o mais rápido possível para minimizar a duração da vulnerabilidade introduzida pela solução alternativa.
Método alternativo para gpedit usando cmd:
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2
Eu encontrei uma solução. Conforme descrito no link de ajuda , tentei recuperar da atualização 2018/05/08 alterando o valor desta política de grupo:
Execute gpedit.msc
Configuração do computador - > Modelos Administrativos - > Sistema - > Delegação de credenciais - > Criptografia Oracle Remediation
Altere para Ativar e, no nível de proteção, mude para Vulnerável .
Não tenho certeza se isso pode reverter o risco de um invasor explorar minha conexão. Espero que a Microsoft corrija isso em breve para que eu possa restaurar a configuração para a configuração recomendada Mitigada .
Outra maneira é instalar o cliente Microsoft Remote Desktop da MS Store - link
Esse problema só acontece na minha VM do Hyper-V, e a comunicação remota com máquinas físicas é OK.
Vá para Este PC → Configurações do Sistema → Configurações Avançadas do Sistema no servidor e resolvi desmarcando a VM de destino "permitir conexões somente de computadores que estejam executando a Área de Trabalho Remota com Autenticação no Nível da Rede (recomendado)" .
Após a resposta do ac19501, criei dois arquivos de registro para facilitar:
rdp_insecure_on.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002
rdp_insecure_off.reg
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
Eu me deparei com os mesmos problemas. A melhor solução seria atualizar a máquina à qual você está se conectando, em vez de usar a resposta do Pham X Bach para reduzir o nível de segurança.
No entanto, se você não puder atualizar a máquina por algum motivo, sua solução alternativa funcionará.
Você precisa instalar um Windows Update para o servidor e todos os clientes. Para procurar a atualização, acesse o link e, em seguida, pesquise o 2018-0886 CVE e escolha a atualização de segurança para a versão do Windows instalada.
Você precisa atualizar o seu Windows Server usando o Windows Update. Todos os patches necessários serão instalados. Então você pode se conectar ao seu servidor via Área de Trabalho Remota novamente.
Você precisa instalar o kb4103725
Leia mais em: link
Para servidores, também podemos alterar a configuração via Remote PowerShell (assumindo que o WinRM esteja ativado, etc ...)
$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)
Agora, se essa configuração for gerenciada por um GPO de domínio, é possível que ela seja revertida. Portanto, você precisa verificar os GPOs. Mas para uma solução rápida, isso funciona.
Referência: link
Atualize o exemplo de GPO na tela de impressão.
Com base na resposta "reg add" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Diretivas \ Sistema \ CredSSP \ Parâmetros "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"
Caminho da Chave: Software \ Microsoft \ Windows \ CurrentVersion \ Políticas \ System \ CredSSP \ Parameters
Nome do valor: AllowEncryptionOracle Review
Dados do valor: 2
Outra opção se você tiver acesso à linha de comando (temos um servidor SSH em execução na caixa) é executar "sconfig.cmd" na linha de comando. Você recebe um menu como abaixo:
Escolha a opção 7 e ative-a para todos os clientes, e não apenas segura.
Uma vez feito isso, você pode acessar a área de trabalho remota. Parece que para nós o problema foi que nossos sistemas clientes foram atualizados para a nova segurança, mas nossas caixas de servidores estavam atrasadas nas atualizações. Eu sugiro obter as atualizações e, em seguida, ativar essa configuração de segurança novamente.
Desinstalar:
Esta atualização contém um patch para a vulnerabilidade CVE-2018-0886. Em um servidor sem patches, ele os permite entrar sem eles.
Tags remote-desktop
