Cela peut être dû à la correction du cryptage CredSSP oracle - RDP vers un hôte Windows 10 pro

47

Erreur

Après les mises à jour de sécurité Windows de mai 2018, lors de la tentative de RDP sur un poste de travail Windows 10 Pro, le message d'erreur suivant s'affiche après la saisie des informations d'identification de l'utilisateur:

Une erreur d'authentification s'est produite. La fonction demandée n'est pas supportée.

Cela pourrait être dû à la correction du cryptage CredSSP oracle

Capture d'écran

entrez la description de l'image ici

Débogage

  • Nous avons confirmé que les informations d'identification de l'utilisateur sont correctes.

  • Redémarrage du poste de travail.

  • Les services d'annuaire prem confirmés sont opérationnels.

  • Les postes de travail isolés qui n'ont pas encore appliqué le correctif de sécurité de mai ne sont pas affectés.

Peut gérer entre-temps des hôtes permanents, préoccupés par l’accès au serveur basé sur le cloud. Aucune occurrence sur Server 2016 pour le moment.

Je vous remercie

windows  authentication  remote-desktop  rdp  windows-10 
scott_lotus
source

Réponses:

20

Entièrement basé sur la réponse de Graham Cuthbert, j'ai créé un fichier texte dans le Bloc-notes avec les lignes suivantes, puis j'ai double-cliqué dessus (ce qui devrait ajouter au registre Windows tous les paramètres contenus dans le fichier).

Notez simplement que la première ligne varie en fonction de la version de Windows que vous utilisez. Il peut donc être judicieux d’ouvrir regeditet d’exporter toute règle simplement pour voir ce qui se trouve dans la première ligne et utiliser la même version dans votre fichier.

De plus, je ne m'inquiète pas de la dégradation de la sécurité dans cette situation particulière, car je me connecte à un VPN crypté et l'hôte Windows n'a pas accès à Internet et ne dispose donc pas de la dernière mise à jour.

Fichier rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Pour ceux qui souhaitent quelque chose de facile à copier / coller dans une invite de commande élevée:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
Rodriguez
source
1
avoir l'édition à la maison de Windows 10, le moyen temporaire le plus rapide à fonctionner.
ahmad molaie
1
Ce fichier REG doit être importé sur le client ou le serveur?
nivs1978
@ nivs1978, ce fichier est destiné à être utilisé côté client, en supposant que le client dispose des mises à jour les plus récentes et le serveur pas. Cela permettra donc au client le plus récent de se connecter à un serveur qui n’a pas été mis à jour récemment.
Rodriguez
Merci! J'utilise Win 10 Home. J'ai désinstallé la mise à jour Win qui a créé ce problème 10 fois, et MS continue de le remettre, bien que je fasse tout ce qui était en mon pouvoir pour y mettre un terme. Il n'y a pas non plus d'éditeur de stratégie (ou il n'est pas respecté) sur cette version de Windows. J'ai cherché ces clés de registre, les documents que j'ai lus et ceux qui n'existaient pas, alors je me suis dit qu'ils ne fonctionneraient pas. Mais j’ai essayé d’exécuter votre fichier reg quand même, cela a réglé le problème comme un charme!
BuvinJ
16

Le protocole CredSSP (Credential Security Support Provider) est un fournisseur d'authentification qui traite les demandes d'authentification d'autres applications.

Il existe une vulnérabilité d'exécution de code à distance dans les versions non corrigées de CredSSP. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait relayer les informations d'identification de l'utilisateur afin de faire exécuter du code sur le système cible. Toute application dont l'authentification dépend de CredSSP peut être vulnérable à ce type d'attaque.

[...]

13 mars 2018

La version initiale du 13 mars 2018 met à jour le protocole d'authentification CredSSP et les clients Remote Desktop pour toutes les plates-formes affectées.

L'atténuation consiste à installer la mise à jour sur tous les systèmes d'exploitation client et serveur éligibles, puis à utiliser les paramètres de stratégie de groupe inclus ou leurs équivalents basés sur registre pour gérer les options de paramétrage sur les ordinateurs client et serveur. Nous recommandons aux administrateurs d'appliquer la stratégie et de la définir sur «Forcer les clients mis à jour» ou «Mitigée» sur les ordinateurs client et serveur dès que possible. Ces modifications nécessiteront un redémarrage des systèmes affectés.

Portez une attention particulière aux paires de paramètres de registre ou de stratégie de groupe qui entraînent des interactions «bloquées» entre clients et serveurs dans le tableau de compatibilité plus loin dans cet article.

17 avril 2018

La mise à jour du client de bureau à distance (RDP) de la base de connaissances 4093120 améliorera le message d'erreur qui s'affiche lorsqu'un client mis à jour ne parvient pas à se connecter à un serveur qui n'a pas été mis à jour.

8 mai 2018

Une mise à jour permettant de modifier le paramètre par défaut de vulnérable à atténué.

Source: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Voir aussi ce fil reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Solution de contournement de Microsoft:

  • Mettre à jour le serveur et le client. (nécessite un redémarrage, recommandé)

Solutions de contournement déconseillées si votre serveur est publiquement disponible ou si vous n'avez PAS un contrôle strict du trafic sur votre réseau interne, mais il est parfois impossible de redémarrer le serveur RDP en heures de travail.

  • Définissez la stratégie de correctif CredSSP via un objet de stratégie de groupe ou le registre. (nécessite un redémarrage ou gpupdate / force)
  • Désinstallez KB4103727 (aucun redémarrage requis)
  • Je pense que désactiver NLA (Network Layer Authentication) peut également fonctionner. (aucun redémarrage requis)

Assurez-vous de bien comprendre les risques liés à leur utilisation et corrigez vos systèmes dès que possible.

[1] Toutes les descriptions de GPO CredSSP et les modifications du registre sont décrites ici.

[2] exemples de paramètres de GPO et de registre dans le cas où le site de Microsoft tombe en panne.

Michal Sokolowski
source
Je pense que oui. :) Autant que je sache, Windows 7, Windows 8.1, Windows 10 et Server 2016 sont affectés dans mon environnement. En conclusion, nous devons corriger toutes les versions de Windows prises en charge.
Michal Sokolowski
3
Confirmer la désactivation de NLA sur le serveur cible fonctionne comme une solution de contournement temporaire.
Ketura
Quelqu'un a un script PS (Powershell) à portée de la main, comment vérifier cela? Sur le serveur et le client?
Tilo
Cette erreur est-elle due au fait que RDP sur le serveur est mis à jour et que le client ne l'est pas ou est-ce que ce sont les clients qui sont mis à jour et que le serveur ne l'est pas?
nivs1978
@ nivs1978, AFAIR, les deux scénarios donneront les mêmes symptômes.
Michal Sokolowski
7
  1. Allez dans "Editeur de stratégie de groupe locale> Modèles d'administration> Système> Délégation d'informations d'identification> Remédiation Oracle de chiffrement", modifiez-le et activez-le, puis définissez "Niveau de protection" sur "Atténué".
  2. Définir la clé de registre (de 00000001 à 00000002) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Paramètres] "AllowEncryptionOracle" = dword:
  3. Redémarrez votre système si nécessaire.
Mohammad Lotfi
source
J'ai utilisé la première étape, à l'exception de l'activer et de le définir sur Vulnerable. Ensuite, j'ai pu passer mon W10 à RDP sur une machine W7 du réseau
seizethecarp le
J'ai fait ce que tu as mentionné et travaillé! Client W10 et serveur WS2012 R2. Merci!
Phi
4

Recherche

En référence à cet article:

https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/

Mise à jour provisoire de mai 2018 qui pourrait avoir une incidence sur la possibilité d'établir des connexions de session RDP avec un hôte distant au sein d'une organisation. Ce problème peut se produire si le client local et l'hôte distant ont des paramètres différents de «remédiation Oracle de chiffrement» dans le registre qui définissent comment créer une session RDP avec CredSSP. Les options de configuration «Cryptage Oracle Remediation» sont définies ci-après. Si le serveur ou le client a des attentes différentes en ce qui concerne l’établissement d’une session RDP sécurisée, la connexion peut être bloquée.

Une deuxième mise à jour, dont la publication est prévue pour le 8 mai 2018, modifiera le comportement par défaut de «vulnérable» à «atténué».

Si vous remarquez que le client et le serveur ont tous deux des correctifs, mais que le paramètre de stratégie par défaut est laissé à «vulnérable», la connexion RDP est «vulnérable». Une fois que le paramètre par défaut est défini sur «Atténué», la connexion devient «Sécurisée» par défaut.

Résolution

Sur la base de ces informations, je m'engage à veiller à ce que tous les clients soient entièrement corrigés, puis je m'attends à ce que le problème soit atténué.

scott_lotus
source
4

La valeur de registre n'était pas présente sur mon ordinateur Windows 10. Je devais accéder à la stratégie de groupe local suivante et appliquer la modification à mon client:

Configuration de l'ordinateur -> Modèles d'administration -> Système -> Délégation d'informations d'identification - Cryptage Oracle Remediation

Activer et mettre à valeur pour vulnerable.

Ion Cojocaru
source
Cela a fonctionné pour moi sur W10 se connectant à une machine W7 sur mon réseau
seizethecarp
3

Il est recommandé de mettre à jour le client au lieu de ce type de scripts pour contourner simplement l'erreur, mais vous pouvez le faire à vos risques et périls sur le client, sans avoir à redémarrer l'ordinateur client. Aussi pas besoin de changer quelque chose sur le serveur.

  1. Ouvrez Run, tapez gpedit.mscet cliquez OK.
  2. Développez Administrative Templates.
  3. Développez System.
  4. Ouvert Credentials Delegation.
  5. Sur le panneau de droite, double-cliquez sur Encryption Oracle Remediation.
  6. Sélectionnez Enable.
  7. Sélectionnez Vulnerabledans la Protection Levelliste.

Ce paramètre de stratégie s'applique aux applications utilisant le composant CredSSP (par exemple: Connexion Bureau à distance).

Certaines versions du protocole CredSSP sont vulnérables à une attaque oracle de chiffrement contre le client. Cette stratégie contrôle la compatibilité avec les clients et les serveurs vulnérables. Cette stratégie vous permet de définir le niveau de protection souhaité pour la vulnérabilité de chiffrement oracle.

Si vous activez ce paramètre de stratégie, la prise en charge de la version de CredSSP sera sélectionnée en fonction des options suivantes:

Forcer les clients mis à jour: les applications clientes utilisant CredSSP ne pourront pas utiliser les versions non sécurisées et les services utilisant CredSSP n'accepteront pas les clients non corrigés. Remarque: ce paramètre ne doit pas être déployé tant que tous les hôtes distants ne prennent pas en charge la version la plus récente.

Mitigées: les applications clientes utilisant CredSSP ne pourront pas revenir à la version non sécurisée, mais les services utilisant CredSSP accepteront les clients non corrigés. Voir le lien ci-dessous pour des informations importantes sur le risque posé par les clients non corrigés.

Vulnérable: les applications clientes utilisant CredSSP exposeront les serveurs distants à des attaques en prenant en charge le retour aux versions non sécurisées et les services utilisant CredSSP accepteront les clients non corrigés.

  1. Cliquez sur Appliquer.
  2. Cliquez sur OK.
  3. Terminé.

entrez la description de l'image ici Référence

AVB
source
Vous recommandez que les gens cliquent sur une option disant "Vulnérable". IL serait bien d’expliquer quelles en seront les conséquences, au lieu de donner un (bon) script pour le faire.
Law29
@ Law29 Vous avez raison, mis à jour!
AVB
0

Ce gars a une solution pour votre problème exact:

Essentiellement, vous devrez modifier les paramètres du GPO et forcer une mise à jour. Mais ces changements nécessiteront un redémarrage pour être en vigueur.

  1. Copiez ces deux fichiers depuis une machine fraîchement mise à jour;

    • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Did Feb 2018)
    • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd février 2018 - Votre dossier local peut être différent, par exemple en-GB)

  2. Sur un contrôleur de domaine, accédez à:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
    • Renommer le courant CredSsp.admxàCredSsp.admx.old
    • Copiez le nouveau CredSsp.admxdans ce dossier.

  3. Sur le même DC, accédez à:

    • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (ou votre langue locale)
    • Renommer le courant CredSsp.admlàCredSsp.adml.old
    • Copiez le nouveau CredSsp.admlfichier dans ce dossier.

  4. Essayez à nouveau votre stratégie de groupe.

https://www.petenetlive.com/KB/Article/0001433

Justin
source
0

Comme d'autres l'ont dit, c'est à cause du correctif de mars que Microsoft a publié. Le 8 mai, ils ont publié un correctif qui applique le correctif de mars. Ainsi, si vous avez une station de travail qui a reçu le correctif de mai et que vous essayez de vous connecter à un serveur qui n'a pas reçu le correctif de mars, le message d'erreur apparait sur votre capture d'écran.

La résolution Vous voulez vraiment appliquer un correctif aux serveurs afin qu’ils disposent du correctif de mars. Sinon, vous pouvez appliquer entre-temps une modification de la stratégie de groupe ou du registre.

Vous pouvez lire les instructions détaillées dans cet article: Comment résoudre le problème d'erreur d'authentification Fonction non prise en charge Erreur RDP CredSSP

Vous pouvez également trouver des copies des fichiers ADMX et ADML au cas où vous auriez besoin de les trouver.

Robert Russell
source
0

J'ai le même problème. Les clients sont sur Win7 et les serveurs RDS sont en 2012R2. Les clients ont reçu "Mise à jour cumulative de la qualité de la sécurité 2018-05 (kb4019264)". Après avoir enlevé ça, tout va bien.

Boucle de racine
source
0

J'ai constaté que certaines de nos machines avaient cessé d'exécuter Windows Update (nous exécutons WSUS local sur notre domaine) au cours du mois de janvier. Je suppose qu'un correctif antérieur était à l'origine du problème (la machine se plaindrait d'être obsolète, mais n'installe pas les correctifs Jan dont elle avait besoin). En raison de la mise à jour 1803, nous ne pouvions pas simplement utiliser Windows Update à partir de MS directement pour résoudre le problème (le délai expirait pour une raison quelconque et les mises à jour ne fonctionnaient pas).

Je peux confirmer que si vous corrigez la machine vers la version 1803, elle contient le correctif correspondant. Si vous avez besoin d'un raccourci pour résoudre ce problème, j'ai utilisé l' Assistant de mise à jour de Windows (lien en haut qui indique Mise à jour) pour effectuer la mise à jour directement (semble plus stable que Windows Update pour une raison quelconque).

Machavity
source
Ce lien me propose de télécharger une image ISO Windows 10. Est-ce que c'est ce que vous vouliez lier?
Michael Hampton
@ MichaelHampton Le lien en bas est pour l'outil ISO. Le lien Update Now (Mettre à jour maintenant) est destiné à l’Assistant de mise à jour
Machavity
0

Nous avons supprimé la dernière mise à jour de sécurité KB410731 et nous avons pu nous connecter aux ordinateurs Windows 10 à partir de la version 1709. Pour les PC, nous pouvions passer à la version 1803, cela résout le problème sans désinstaller KB4103731.

Gabriel C
source
0

Simplement, essayez de désactiver le Network Level Authenticationbureau à distance. Pourriez-vous s'il vous plaît vérifier l'image suivante:

entrez la description de l'image ici

Mike Darwish
source
0

Ouvrez PowerShell en tant qu’administrateur et exécutez cette commande:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Essayez maintenant de vous connecter au serveur. Ça va marcher.

Mukesh Salaria
source
0

J'ai trouvé la réponse ici , je ne peux donc pas l'affirmer, mais l'ajout de la clé suivante à mon registre et le redémarrage ont résolu le problème.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
Graham Cuthbert
source
6
Cela signifie que votre communication avec tous les serveurs qui n'appliquent pas la correction du déchiffrement d'Oracle peut être rétrogradée et peut être déchiffrée. Donc, vous vous mettez en danger. À l'heure actuelle, même les serveurs dotés de credSSP mis à niveau ne refusent pas les clients rétrogradés par défaut. Cela signifie donc que pratiquement toutes vos sessions de poste de travail distant sont exposées, même si votre client est parfaitement au courant de ce problème!
user188737
1
Cette modification du registre n'est PAS recommandée.
spuder
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.