Erreur de connexion au bureau à distance après la mise à jour de Windows 2018/05/08 - Mises à jour CredSSP pour CVE-2018-0886

90

Après Windows Update, j'obtiens cette erreur lorsque j'essaie de me connecter à un serveur à l'aide de Remote Desktop Connection.

Lors de la lecture du lien fourni par le message d'erreur, cela semble dû à une mise à jour au 2018/05/08:

8 mai 2018

Une mise à jour permettant de modifier le paramètre par défaut de vulnérable à atténué.

Les numéros connexes de la base de connaissances Microsoft sont répertoriés dans le document CVE-2018-0886.

Y a-t-il une solution pour cela?

Erreur RDC

Pham X. Bach
la source
1
(Meta: les mises à jour sont placées à la fin des articles, pour être toujours compréhensibles par les nouveaux lecteurs, et les réponses sont stockées dans l'espace de réponses, et non fusionnées en questions. Merci).
Halfer

Réponses:

21

(Posté une réponse au nom de l'auteur de la question) .

Comme dans certaines réponses, la meilleure solution à cette erreur consiste à mettre à jour le serveur et les clients vers la version> = la mise à jour 2018-05-08 de Microsoft.

Si vous ne pouvez pas mettre à jour les deux (c.-à-d. Que vous ne pouvez mettre à jour que le client ou le serveur), vous pouvez appliquer l'une des solutions de contournement des réponses ci-dessous et modifier la configuration dès que possible afin de minimiser la durée de la vulnérabilité introduite par la solution de contournement.

réduction
la source
C'est l'un des rares cas où la réponse acceptée est également la meilleure réponse. D'autres réponses vous laissent vulnérable à CVE-2018-0886: "Il existe une vulnérabilité d'exécution de code à distance dans les versions non corrigées de CredSSP. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait relayer les informations d'identification de l'utilisateur pour exécuter du code sur le système cible . Toute application dépendant de CredSSP pour l'authentification peut être vulnérable à ce type d'attaque ".
Braiam
Nous avons trouvé une solution de contournement pratique et non invasive: nous avons pu utiliser RDP en utilisant l'un de nos serveurs comme boîte de
jonction
Avez-vous une idée de la gravité de la vulnérabilité si le client et le serveur sont sur le même réseau local et exposés à Internet derrière un routeur sans aucun port ouvert?
Kevkong
@Kevkong: c'est une réponse wiki que j'ai postée pour l'auteur de la question. Vous pouvez les cingler sous la question si vous le souhaitez.
Halfer
Bonjour @Peter: merci pour vos modifications. Surtout d'accord avec eux, mais la méta-introduction est nécessaire L'OMI doit rester dans les règles de la licence d'attribution. Plusieurs centaines d’entre eux se trouvent sur Stack Overflow, et Meta est d’avis que non seulement cela doit rester, mais que certaines personnes pensent que c’est insuffisant et que le nom du PO doit être nommé. Ce point de vue n’a pas suscité beaucoup d’attention, mais montre toute l’opinion sur la meilleure façon d’attribuer l’attribution. Mais, fondamentalement, nous ne pouvons pas effacer la paternité. Cela peut-il être restauré s'il vous plaît?
Halfer
90

Autre méthode pour gpedit en utilisant cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

la source
4
Gareautrain. Pour ceux qui utilisent Windows 10 Home, cela devrait fonctionner parfaitement. N'oubliez pas de lancer cmd en tant qu'administrateur.
1
Cette commande fonctionne sous windows 8. Merci
Jairath
1
En réalité, le problème était que les mises à jour étaient toujours en cours d'installation sur le serveur, donc aucune connexion n'était possible. Juste attendu et cela a fonctionné. serverfault.com/questions/387593/…
tobiak777
1
@pghcpa Ignorez cela, la commande crée les nœuds de registre manquants et insère le paramètre à votre place. C'est vraiment un épargnant de vie si vous ne pouvez pas mettre à jour le serveur avec le correctif de sécurité à l'origine de ce problème.
Gergely Lukacsy
1
Je ne sais pas pourquoi, mais ça fonctionne Merci
dian
39

J'ai trouvé une solution. Comme décrit dans le lien d'aide , j'ai essayé de revenir à la mise à jour 2018/05/08 en modifiant la valeur de cette stratégie de groupe:

  • Exécuter gpedit.msc

  • Configuration de l'ordinateur -> Modèles d'administration -> Système -> Délégation d'informations d'identification -> Cryptage Oracle Remediation

Changez-le en Activer et dans le niveau de protection, revenez à Vulnérable .

Je ne suis pas sûr que cela puisse annuler tout risque qu'un attaquant exploite ma connexion. J'espère que Microsoft corrigera cela rapidement afin que je puisse restaurer le paramètre au paramètre recommandé Mitigated .

Entrez la description de l'image ici

Pham X. Bach
la source
Mon système ne dispose pas de cette option pour "Résolution de chiffrement Oracle", il s'agit d'un serveur Windows 2012. On dirait qu'il a appliqué la mise à jour de sécurité 5/8.
4
Ce que j'ai trouvé, c'est que pour nous, le client était le "problème". Les serveurs n'avaient pas les dernières mises à jour. Les clients ont eu la dernière mise à jour afin qu'ils ne fonctionnent pas. Une fois le serveur mis à jour, tout a fonctionné.
Pour ceux qui ne savent pas par où commencer, lancez "gpedit.msc" puis suivez les instructions ci-dessus.
Glen Little
Cela ne fonctionne pas sur mon système Windows 10. La mise à jour manuelle de la clé de registre CredSSP me permet de me connecter - ce que je compte seulement faire assez longtemps pour appliquer des correctifs à la machine conformément à la norme actuelle.
Tom W
12

Une autre solution consiste à installer le client Microsoft Remote Desktop à partir de MS Store: https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Pavel
la source
2
Merci, j'espère qu'il y aura un jour un fichier copier / coller au lieu d'un dossier partagé. N'ajouter que le presse-papiers pour partager / coller du texte
Pham X. Bach
Le client RDP du Windows App Store manque de nombreuses fonctionnalités de personnalisation et d'intégration du système intégré mstsc.exequ'il est difficile de prendre au sérieux. Du point de vue de la sécurité, il ne vous laissera même pas voir le certificat utilisé pour les connexions sécurisées (la dernière fois que j'ai vérifié), il ne prend pas en charge les cartes à puce, l'étalement de plusieurs moniteurs, la redirection de lecteur, etc. Le tableau de comparaison de Microsoft révèle à quel point il est anémique: docs.microsoft.com/en-us/windows-server/remote/…
Dai
6

Ce problème ne se produit que sur ma machine virtuelle Hyper-V et la communication avec des machines physiques est OK.

Allez sur Ce PC → Paramètres système → Paramètres système avancés sur le serveur, puis je l'ai résolu en décochant la machine virtuelle cible "n'autorise les connexions que des ordinateurs exécutant Remote Desktop avec authentification au niveau du réseau (recommandé)".

Décocher cette

au.tw
la source
Bon Dieu. J'ai activé cette option, oublié, et 2 heures plus tard, j'ai réalisé que c'était le problème. 😩
Shafiq al-Shaar
3

Suite à la réponse de ac19501, j'ai créé deux fichiers de registre pour faciliter ceci:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
yann.kmm
la source
2

Mise à jour d'un exemple d'objet de stratégie de groupe sur l'écran d'impression.

Basé sur la réponse "reg add" HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters "/ f / v AllowEncryptionOracle / t REG_DWORD / d 2"

Capture d'écran

Chemin d'accès clé: Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters
Nom de la valeur: AllowEncryptionOracle
Données de la valeur: 2

Ramon Lucas
la source
2

Je suis tombé sur les mêmes problèmes. La meilleure solution serait de mettre à jour la machine à laquelle vous vous connectez au lieu d'utiliser la réponse Pham X Bach à un niveau de sécurité inférieur.

Cependant, si vous ne pouvez pas mettre à jour la machine pour une raison quelconque, sa solution de contournement fonctionne.

Peter Mortensen
la source
Désolé pour avoir mal compris votre réponse. Oui, la meilleure solution devrait être le serveur de mise à jour et tous les clients vers la version> = la mise à jour 2018/05/08 de MS
Pham X. Bach
1

Vous devez mettre à jour votre serveur Windows à l'aide de Windows Update. Tous les correctifs requis seront installés. Ensuite, vous pouvez vous connecter à nouveau à votre serveur via Remote Desktop.

Vous devez installer kb4103725

En savoir plus sur: https://support.microsoft.com/en-us/help/4103725/windows-81-update-kb4103725


la source
Pour les gars qui ont perdu l'accès à leur serveur distant, je peux toujours accéder à mes serveurs avec Remote Desktop pour Android. Ensuite, vous pouvez installer des correctifs et résoudre le problème des connexions Bureau à distance à partir de clients Windows.
1

Pour les serveurs, nous pouvons également modifier le paramètre via Remote PowerShell (en supposant que WinRM est activé, etc.).

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Désormais, si ce paramètre est géré par un objet de stratégie de groupe, il est possible qu'il soit restauré. Vous devez donc vérifier les objets de stratégie de groupe. Mais pour une solution rapide, cela fonctionne.

Référence: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell

Francisco Xavier
la source
1

Une autre option si vous avez accès à la ligne de commande (nous avons un serveur SSH s'exécutant sur la boîte) consiste à exécuter "sconfig.cmd" à partir de la ligne de commande. Vous obtenez un menu comme ci-dessous:

Entrez la description de l'image ici

Choisissez l'option 7 et activez-la pour tous les clients, pas seulement sécurisée.

Une fois que cela est fait, vous pouvez installer un poste de travail distant. Il semble que le problème soit dû au fait que nos systèmes clients ont été mis à jour pour la nouvelle sécurité, mais nos serveurs ont pris du retard sur les mises à jour. Je suggère d’obtenir les mises à jour, puis de réactiver ce paramètre de sécurité.

Brent
la source
1

Désinstaller:

  • Pour Windows 7 et 8.1: KB4103718 et / ou KB4093114 
  • Pour Windows 10: serveur KB4103721 et / ou KB4103727 sans mises à jour 

Cette mise à jour contient un correctif pour la vulnérabilité CVE-2018-0886. Sur un serveur non corrigé, il les laisse entrer sans eux.

EXPY
la source
2
Bienvenue sur Super User! Pouvez-vous expliquer pourquoi la désinstallation de ces bases de connaissances vous aidera?
Bertieb
coz cette mise à jour contient le correctif pour la vulnérabilité CVE-2018-0886, mais le serveur non-patch les laisse entrer sans eux
EXPY