Cela pourrait être dû à la correction Oracle du cryptage CredSSP - RDP vers l'hôte Windows 10 Pro

Basé entièrement sur réponse de Graham Cuthbert J'ai créé un fichier texte dans le Bloc-notes avec les lignes suivantes, et j'ai simplement double-cliqué dessus par la suite (ce qui devrait ajouter au Registre Windows quels que soient les paramètres du fichier).

Notez simplement que la première ligne varie en fonction de la version de Windows que vous utilisez, il peut donc être judicieux d'ouvrir regedit et d'exporter n'importe quelle règle juste pour voir ce qui est dans la première ligne et utiliser la même version dans votre fichier.

De plus, je ne suis pas préoccupé par la dégradation de la sécurité dans cette situation particulière, car je me connecte à un VPN chiffré et l'hôte Windows n'a pas accès à Internet et n'a donc pas la dernière mise à jour.

Fichier rd_patch.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Pour ceux qui souhaitent quelque chose de facile à copier/coller dans une invite de commande élevée:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

Le protocole Credential Security Support Provider (CredSSP) est un fournisseur d'authentification qui traite les demandes d'authentification pour d'autres applications.

Il existe une vulnérabilité d'exécution de code à distance dans les versions non corrigées de CredSSP. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait relayer les informations d'identification de l'utilisateur pour exécuter du code sur le système cible. Toute application qui dépend de CredSSP pour l'authentification peut être vulnérable à ce type d'attaque.

[...]

13 mars 2018

La version initiale du 13 mars 2018 met à jour le protocole d'authentification CredSSP et les clients Bureau à distance pour toutes les plates-formes concernées.

L'atténuation consiste à installer la mise à jour sur tous les systèmes d'exploitation client et serveur éligibles, puis à utiliser les paramètres de stratégie de groupe inclus ou les équivalents basés sur le registre pour gérer les options de configuration sur les ordinateurs client et serveur. Nous recommandons aux administrateurs d'appliquer la stratégie et de la définir sur "Forcer les clients mis à jour" ou "Atténué" sur les ordinateurs clients et serveurs dès que possible. Ces modifications nécessiteront un redémarrage des systèmes affectés.

Portez une attention particulière à la stratégie de groupe ou aux paires de paramètres de registre qui entraînent des interactions "bloquées" entre les clients et les serveurs dans le tableau de compatibilité plus loin dans cet article.

17 avril 2018

La mise à jour de mise à jour du client Bureau à distance (RDP) dans KB 4093120 améliorera le message d'erreur qui s'affiche lorsqu'un client mis à jour ne parvient pas à se connecter à un serveur qui n'a pas été mis à jour.

8 mai 2018

Une mise à jour pour changer le paramètre par défaut de Vulnérable à Atténué.

Source: https://support.Microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Voir aussi ce fil reddit: https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

Solution de contournement de Microsoft:

• Mettre à jour le serveur et le client. (nécessite un redémarrage, recommandé)

Solutions de contournement non recommandées si votre serveur est accessible au public ou si vous n'avez PAS un contrôle strict du trafic sur votre réseau interne, mais parfois redémarrer le serveur RDP pendant les heures de travail est un pas.

• Définissez la stratégie de correction CredSSP via GPO ou le registre. (Nécessite un redémarrage ou gpupdate/force)
• Désinstaller KB4103727 (aucun redémarrage requis)
• Je pense que la désactivation de NLA (Network Layer Authentication) peut également fonctionner. (aucun redémarrage requis)

Assurez-vous de comprendre les risques lors de leur utilisation et de corriger vos systèmes dès que possible.

[1] Tous GPO La description de CredSSP et les modifications de registre sont décrites ici.

[2] exemples de GPO et paramètres de registre en cas de panne du site de Microsoft.

1. Accédez à "Éditeur de stratégie de groupe local> Modèles d'administration> Système> Délégation des informations d'identification> Remédiation Oracle de chiffrement", modifiez-le et activez-le, puis définissez "Niveau de protection" sur "Atténué".
2. Définissez la clé de registre (de 00000001 à 00000002) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle" = dword:
3. Redémarrez votre système si nécessaire.

La valeur de registre n'était pas là sur mon ordinateur Windows 10. J'ai dû accéder à la stratégie de groupe locale suivante et appliquer la modification sur mon client:

Configuration de l'ordinateur -> Modèles d'administration -> Système -> Délégation des informations d'identification - Remédiation du chiffrement Oracle

Activez et définissez la valeur sur vulnerable.

Il est recommandé de mettre à jour le client au lieu de ce type de scripts pour simplement contourner l'erreur, mais à vos risques et périls, vous pouvez le faire sur le client et pas besoin de redémarrer le PC client. Pas besoin non plus de changer quoi que ce soit sur le serveur.

1. Ouvrez Run, tapez gpedit.msc et cliquez sur OK.
2. Développer Administrative Templates.
3. Développez System.
4. Ouvert Credentials Delegation.
5. Dans le panneau droit, double-cliquez sur Encryption Oracle Remediation.
6. Sélectionnez Enable.
7. Sélectionnez Vulnerable dans Protection Level liste.

Ce paramètre de stratégie s'applique aux applications utilisant le composant CredSSP (par exemple: Connexion Bureau à distance).

Certaines versions du protocole CredSSP sont vulnérables à une attaque Oracle de chiffrement contre le client. Cette politique contrôle la compatibilité avec les clients et serveurs vulnérables. Cette stratégie vous permet de définir le niveau de protection souhaité pour la vulnérabilité de chiffrement Oracle.

Si vous activez ce paramètre de stratégie, la prise en charge de la version de CredSSP sera sélectionnée en fonction des options suivantes:

Forcer les clients mis à jour: les applications clientes qui utilisent CredSSP ne pourront pas revenir aux versions non sécurisées et les services utilisant CredSSP n'accepteront pas les clients non corrigés. Remarque: ce paramètre ne doit pas être déployé tant que tous les hôtes distants ne prennent pas en charge la dernière version.

Atténué: les applications clientes qui utilisent CredSSP ne pourront pas revenir à la version non sécurisée mais les services utilisant CredSSP accepteront les clients non corrigés. Consultez le lien ci-dessous pour obtenir des informations importantes sur le risque posé par les clients non corrigés restants.

Vulnérable: les applications clientes qui utilisent CredSSP exposeront les serveurs distants aux attaques en prenant en charge le retour aux versions non sécurisées et les services utilisant CredSSP accepteront les clients non corrigés.

8. Cliquez sur Appliquer.
9. Cliquez sur OK.
10. Terminé.

Référence

Ce gars a une solution pour votre problème exact:

Essentiellement, vous devrez modifier les paramètres GPO et forcer une mise à jour. Mais ces modifications nécessiteront un redémarrage pour être en vigueur.

1. Copiez ces deux fichiers à partir d'une machine fraîchement mise à jour;

   • C:\Windows\PolicyDefinitions\CredSsp.admx (Dtd Did Feb 2018)
   • C:\Windows\PolicyDefinitions\en-US\CredSsp.adml (Dtd février 2018 - Votre dossier local peut être différent, c'est-à-dire en-GB)

2. Sur un DC, accédez à:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions
   • Renommez le CredSsp.admx à CredSsp.admx.old
   • Copiez le nouveau CredSsp.admx dans ce dossier.

3. Sur le même DC naviguez jusqu'à:

   • C:\Windows\SYSVOL\sysvol\<your domain>\Policies\PolicyDefinitions\en-US (ou votre langue locale)
   • Renommez le CredSsp.adml à CredSsp.adml.old
   • Copiez le nouveau CredSsp.adml fichier dans ce dossier.

4. Essayez à nouveau votre stratégie de groupe.

https://www.petenetlive.com/KB/Article/00014

EXÉCUTER POWERSHELL COMME ADMIN ET EXÉCUTER LE COMMANDEMENT

REG  ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Comme d'autres l'ont dit, cela est dû à un correctif de mars que Microsoft a publié. Ils ont publié un patch de mai le 8 mai qui applique en fait le patch de mars. Donc, si vous avez un poste de travail qui a reçu le correctif de mai et que vous essayez de vous connecter à un serveur qui n'a pas reçu le correctif de mars, vous obtiendrez le message d'erreur dans votre capture d'écran.

La résolution Vous voulez vraiment patcher les serveurs pour qu'ils aient le patch March. Sinon, en attendant, vous pouvez appliquer une stratégie de groupe ou une modification du registre.

Vous pouvez lire des instructions détaillées dans cet article: Comment réparer la fonction d'erreur d'authentification non prise en charge Erreur CredSSP RDP

Vous pouvez également trouver des copies des fichiers ADMX et ADML au cas où vous en auriez besoin.

Essayez simplement de désactiver Network Level Authentication Depuis le Bureau à distance. Pourriez-vous s'il vous plaît vérifier l'image suivante:

J'ai le même problème. Les clients sont sur Win7 et les serveurs RDS sont 2012R2, les clients ont reçu la "mise à jour mensuelle de qualité de la sécurité 2018-05 (kb4019264)". Après avoir retiré ça, tout va bien.

Ouvrez PowerShell en tant qu'administrateur et exécutez cette commande:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Essayez maintenant de vous connecter au serveur. Ça va marcher.

J'ai découvert que certaines de nos machines avaient cessé d'exécuter Windows Update (nous exécutons WSUS local sur notre domaine) en janvier. Je suppose qu'un correctif antérieur a causé le problème (la machine se plaindrait d'être obsolète, mais n'installerait pas les correctifs Jan dont elle avait besoin). En raison de la mise à jour 1803, nous ne pouvions pas utiliser directement Windows Update de MS pour le corriger (le délai expirerait pour une raison quelconque et les mises à jour ne s'exécuteraient pas).

Je peux confirmer que si vous corrigez la machine à la version 1803, elle contient le correctif. Si vous avez besoin d'un chemin rapide pour résoudre ce problème, j'ai utilisé Windows Update Assistant (lien supérieur qui dit Update) pour effectuer la mise à jour directement (semble plus stable que Windows Update pour une raison quelconque).

Nous avons supprimé la dernière mise à jour de sécurité KB410731 et nous avons pu nous connecter aux machines Windows 10 lors de la génération 1709 et antérieures. Pour les PC, nous pourrions mettre à niveau vers la version 1803, cela a résolu le problème sans désinstaller KB4103731.

J'ai trouvé la réponse ici , donc je ne peux pas la revendiquer comme la mienne, mais l'ajout de la clé suivante à mon registre et le redémarrage l'ont corrigé pour moi.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002