Pesquisa

Referindo-se a este artigo:

link

May 2018 tentative update that could impact the ability to establish remote host RDP session connections within an organization. This issue can occur if the local client and the remote host have differing “Encryption Oracle Remediation” settings within the registry that define how to build an RDP session with CredSSP. The “Encryption Oracle Remediation” setting options are defined below and if the server or client have different expectations on the establishment of a secure RDP session the connection could be blocked.

A second update, tentatively scheduled to be released on May 8, 2018, will change the default behavior from “Vulnerable” to “Mitigated”.

If you notice if both the client and server are patched, but the default policy setting is left at “Vulnerable” the RDP connection is “Vulnerable” to attack. Once the default setting is modified to “Mitigated” then the connection becomes “Secure” by default.

Resolução

Com base nessas informações, estou tentando garantir que todos os clientes sejam totalmente corrigidos. Espero, então, que o problema seja atenuado.

Baseada inteiramente na resposta de Graham Cuthbert , criei um arquivo de texto no Bloco de Notas com as seguintes linhas e cliquei duas vezes nele depois (o que deve adicionar ao Windows Registry quaisquer parâmetros que estejam no arquivo).

Basta observar que a primeira linha varia dependendo de qual versão do Windows você está usando, por isso pode ser uma boa ideia abrir regedit e exportar qualquer regra apenas para ver o que está na primeira linha e usar a mesma versão em sua arquivo.

Além disso, não me preocupo com a degradação da segurança nessa situação específica, pois estou me conectando a uma VPN criptografada e o host Windows não tem acesso à Internet e, portanto, não possui a atualização mais recente.

Arquivo rd_patch.reg :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Credential Security Support Provider protocol (CredSSP) is an authentication provider that processes authentication requests for other applications.

A remote code execution vulnerability exists in unpatched versions of CredSSP. An attacker who successfully exploits this vulnerability could relay user credentials to execute code on the target system. Any application that depends on CredSSP for authentication may be vulnerable to this type of attack.

[...]

March 13, 2018

The initial March 13, 2018, release updates the CredSSP authentication protocol and the Remote Desktop clients for all affected platforms.

Mitigation consists of installing the update on all eligible client and server operating systems and then using included Group Policy settings or registry-based equivalents to manage the setting options on the client and server computers. We recommend that administrators apply the policy and set it to “Force updated clients” or “Mitigated” on client and server computers as soon as possible. These changes will require a reboot of the affected systems.

Pay close attention to Group Policy or registry settings pairs that result in “Blocked” interactions between clients and servers in the compatibility table later in this article.

April 17, 2018

The Remote Desktop Client (RDP) update update in KB 4093120 will enhance the error message that is presented when an updated client fails to connect to a server that has not been updated.

May 8, 2018

An update to change the default setting from Vulnerable to Mitigated.

Fonte: link [1]

Veja também este tópico do reddit: link [2]

Solução alternativa da Microsoft:

• Atualizar servidor e cliente. (requer reinicialização, recomendado)

Soluções não recomendadas se o seu servidor estiver publicamente disponível, ou se você NÃO tiver um controle de tráfego restrito na sua rede interna, mas, às vezes, reiniciar o servidor RDP no horário de trabalho não é necessário.

• Defina a política de correção do CredSSP por meio do GPO ou do Registro. (requer reinicialização ou gpupdate / force)
• Desinstalar o KB4103727 (não é necessário reiniciar)
• Acho que desabilitar o NLA (Network Layer Authentication) também pode funcionar. (não é necessário reiniciar)

Certifique-se de entender os riscos ao usá-los e corrigir seus sistemas o mais rápido possível.

[1] Todas as descrições e modificações do Registro do GPO CredSSP são descritas aqui.

[2] exemplos de configurações de GPO e registro, caso o site da Microsoft fique inativo.

1. Vá para "Editor de políticas de grupo local > Modelos administrativos > Sistema > Delegação de credenciais > Encriptação Oracle Remediation", edite-o e ative-o e defina "Nível de proteção" como "Atenuado".
2. Definir chave registery (de 00000001 a 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Políticas \ System \ CredSSP \ Parâmetros] "AllowEncryptionOracle" = dword:
3. Reinicie seu sistema, se necessário.

O valor do registro não estava presente na minha máquina com o Windows 10. Eu tive que ir para a seguinte política de grupo local e aplicar a mudança no meu cliente:

Computer Configuration -> Administrative Templates -> System -> Credentials Delegation--Encryption Oracle Remediation

Ativar e definir como valor para vulnerable.

É recomendado atualizar o cliente em vez desse tipo de script para apenas ignorar o erro, mas por sua conta e risco você pode fazer isso no cliente e não é necessário reiniciar o PC cliente. Também não é necessário alterar nada no servidor.

1. Abra Run , digite gpedit.msc e clique em OK .
2. Expandir Administrative Templates .
3. Expandir System .
4. Abra Credentials Delegation .
5. No painel direito, clique duas vezes em Encryption Oracle Remediation .
6. Selecione Enable .
7. Selecione Vulnerable da lista Protection Level .

This policy setting applies to applications using the CredSSP component (for example: Remote Desktop Connection).

Some versions of the CredSSP protocol are vulnerable to an encryption oracle attack against the client. This policy controls compatibility with vulnerable clients and servers. This policy allows you to set the level of protection desired for the encryption oracle vulnerability.

If you enable this policy setting, CredSSP version support will be selected based on the following options:

Force Updated Clients: Client applications which use CredSSP will not be able to fall back to the insecure versions and services using CredSSP will not accept unpatched clients. Note: this setting should not be deployed until all remote hosts support the newest version.

Mitigated: Client applications which use CredSSP will not be able to fall back to the insecure version but services using CredSSP will accept unpatched clients. See the link below for important information about the risk posed by remaining unpatched clients.

Vulnerable: Client applications which use CredSSP will expose the remote servers to attacks by supporting fall back to the insecure versions and services using CredSSP will accept unpatched clients.

8. Clique em Aplicar.
9. Clique em OK.
10. Feito.

Referência

Esse cara tem uma solução para o seu problema exato:

Essencialmente, você terá que alterar as configurações do GPO e Forçar uma atualização. Mas essas mudanças exigirão uma reinicialização para estar em vigor.

1. Copy these two files from a freshly updated machine;

   • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Did Feb 2018)
   • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd Feb 2018 – Your local folder may be different i.e. en-GB)

2. On a DC, navigate to:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
   • Rename the current CredSsp.admx to CredSsp.admx.old
   • Copy the new CredSsp.admx to this folder.

3. On the same DC navigate to:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (or your local language)
   • Rename the current CredSsp.adml to CredSsp.adml.old
   • Copy the new CredSsp.adml file to this folder.

4. Try your group policy again.

link

Encontrei a resposta aqui , por isso não posso reivindicar como meu, mas adicionando a seguinte chave ao meu registro e reiniciando-o para mim.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle"=dword:00000002

Como outros disseram, isso é por causa de um patch de março que a Microsoft lançou. Eles lançaram um patch de maio em 8 de maio que realmente aplica o patch de março. Portanto, se você tiver uma estação de trabalho que recebeu o patch de maio e estiver tentando se conectar a um servidor que não recebeu o patch de março, receberá a mensagem de erro na captura de tela.

A resolução Você realmente deseja corrigir os servidores para que eles tenham o patch de março. Caso contrário, enquanto isso, você poderá aplicar uma Política de Grupo ou edição de registro.

Você pode ler instruções detalhadas neste artigo: Como corrigir a função de erro de autenticação não suportada CredSSP Error RDP

Você também pode encontrar cópias dos arquivos ADMX e ADML, caso precise encontrá-las.

Eu tenho o mesmo problema. Os clientes estão no Win7 e os servidores RDS são 2012R2, os clientes receberam "atualização de atualização mensal de qualidade de segurança 2018-05 (kb4019264)". Depois de remover isso, tudo bem.

Descobri que algumas de nossas máquinas pararam de executar o Windows Update (nós executamos o WSUS local em todo o nosso domínio) em algum momento de janeiro. Eu estou supondo que um patch anterior causou o problema (a máquina iria reclamar de estar desatualizada, mas não instalaria os patches de Jan que ela disse que precisava). Devido à atualização de 1803, não poderíamos usar o Windows Update diretamente do MS para corrigi-lo (o tempo limite expiraria por algum motivo e as atualizações não seriam executadas).

Posso confirmar que, se você corrigir a máquina na versão 1803, ela conterá a correção. Se você precisar de um caminho rápido para corrigir isso, usei o Windows Update Assistant (link superior que diz Update) para executar a atualização diretamente (parece mais estável que o Windows Update por algum motivo).

Nós removemos a atualização de segurança mais recente KB410731 e pudemos nos conectar com máquinas Windows 10 na compilação 1709 e anteriores. Para os PCs, poderíamos atualizar para construir 1803, isso resolveu o problema sem desinstalar o KB4103731.

Simplesmente, tente Desativar Network Level Authentication da área de trabalho remota. Por favor, verifique a seguinte imagem:

Basta abrir o Powershell como administrador.

Execute este comando

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Tente agora conectar-se ao servidor. Vai funcionar.

Obrigado!

EXECUTAR POWERSHELL COMO ADMIN E COMANDO DE FOLHA DE FUNCIONAMENTO

REG  ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2