Question Erreur de connexion au bureau à distance après la mise à jour de Windows 2018/05/08 - Mises à jour CredSSP pour CVE-2018-0886


Après Windows Update, j'obtiens cette erreur lorsque j'essaie de me connecter à un serveur à l'aide de la connexion Bureau à distance.

Quand lu le lien fourni par un message d'erreur, il semble en raison d'une mise à jour au 2018/05/08:

8 mai 2018

Une mise à jour pour changer le paramètre par défaut de Vulnérable à Mitigated.

Les numéros de la base de connaissances Microsoft associée sont répertoriés dans CVE-2018-0886.

Y a-t-il une solution pour cela?

Error RDC


82
2018-05-09 03:54


origine


(Meta: les mises à jour arrivent à la fin des publications, afin de s'assurer qu'elles sont toujours compréhensibles pour les nouveaux lecteurs, et les réponses vont dans l'espace de réponse, pas fusionnées en questions. Merci). - halfer


Réponses:


(Publié une réponse au nom de l'auteur de la question).

Comme dans certaines réponses, la meilleure solution pour cette erreur consiste à mettre à jour le serveur et les clients vers la version> = la mise à jour 2018-05-08 de Microsoft.

Si vous ne pouvez pas les mettre à jour tous les deux (c’est-à-dire que vous ne pouvez mettre à jour que le client ou serveur), vous pouvez appliquer l'une des solutions de contournement des réponses ci-dessous et modifier la configuration ASAP afin de minimiser la durée de la vulnérabilité introduite par la solution de contournement.


18
2018-05-09 14:51



C'est l'un des rares cas où la réponse acceptée est également la meilleure réponse. D'autres réponses vous rendent vulnérable à CVE-2018-0886: "Il existe une vulnérabilité d'exécution de code à distance dans les versions non corrigées de CredSSP. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait relayer les informations d'identification de l'utilisateur pour exécuter du code sur le système cible. Toute application qui dépend de CredSSP pour l'authentification peut être vulnérable à ce type d'attaque. " - Braiam
Nous avons trouvé une solution pratique et non invasive: nous avons pu utiliser RDP en utilisant l'un de nos serveurs comme boîte de saut. - OutstandingBill
Toute idée de la gravité de la vulnérabilité si le client et le serveur sont tous deux sur le même réseau local et uniquement exposés à Internet derrière un routeur sans ports ouverts? - Kevkong
@Kevkong: c'est une réponse wiki que j'ai postée pour l'auteur de la question. Vous pouvez les cingler sous la question si vous le souhaitez. - halfer
Salut @ Peter: merci pour vos modifications. Ils sont généralement d'accord avec eux, mais la méta-introduction est nécessaire pour rester dans les règles d'attribution de licence. J'en ai plusieurs centaines sur Stack Overflow, et le point de vue de Meta est que non seulement cela doit rester, mais certaines personnes pensent que c'est insuffisant, et le PO devrait être nommé. Cette vue d'ensemble n'a pas beaucoup attiré l'attention, mais montre l'étendue de l'opinion sur la meilleure façon d'atteindre l'attribution. Mais, fondamentalement, nous ne pouvons pas effacer la paternité. Est-ce que cela peut être restauré s'il vous plaît? - halfer


Autre méthode pour gpedit en utilisant cmd:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

74
2018-05-09 04:21



Sauveteur. Pour ceux qui utilisent Windows 10 Home, cela devrait fonctionner parfaitement. N'oubliez pas de lancer cmd en tant qu'administrateur.
Cette commande fonctionne sur Windows 8. Merci - Naveen Soni
En fait, le problème était que les mises à jour étaient toujours installées sur le serveur, donc aucune connexion n'était possible. Juste attendu et ça a fonctionné. serverfault.com/questions/387593/ - reddy
@pghcpa Ignorez cela, la commande crée les noeuds de registre manquants et insère le paramètre pour vous. Ceci est vraiment utile si vous ne pouvez pas mettre à jour le serveur avec le correctif de sécurité à l'origine de ce problème. - Gergely Lukacsy
Je ne sais pas pourquoi, mais son fonctionnement Merci - dian


J'ai trouvé une solution. Comme décrit dans le lien d'aide, J'ai essayé de revenir de la mise à jour 2018/05/08 en modifiant la valeur de cette stratégie de groupe:

  • Courir gpedit.msc

  • Configuration ordinateur -> Modèles d'administration -> Système -> Délégation des informations d'identification -> Encadrement Oracle Remediation

Le changer pour Activer et en niveau de protection, revenir à Vulnérable.

Je ne suis pas sûr que cela puisse annuler un risque qu'un attaquant exploite ma connexion. J'espère que Microsoft va résoudre ce problème rapidement afin que je puisse restaurer le paramètre sur le paramètre recommandé Atténué.

Enter image description here


36
2018-05-09 07:53



Mon système ne dispose pas de cette option pour "Encryption Oracle Remediation", il s'agit d'un serveur Windows 2012. On dirait qu'il a appliqué la mise à jour de sécurité 5/8.
Ce que j'ai trouvé, c'est que pour nous, le client était le "problème". Les serveurs n'avaient pas les dernières mises à jour. Les clients avaient la dernière mise à jour pour ne pas fonctionner. Une fois le serveur mis à jour, tout fonctionnait.
Pour ceux qui ne savent pas par où commencer, lancez "gpedit.msc" puis suivez les instructions ci-dessus. - Glen Little


Une autre méthode consiste à installer le client Microsoft Remote Desktop à partir de MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps


11
2018-05-10 06:04



Merci, j'espère qu'il aura un fichier copier / coller au lieu d'un dossier de partage un jour. N'a que le partage de presse-papiers pour copier / coller du texte - Pham X. Bach
Le client RDP de Windows App Store manque de nombreuses fonctionnalités de personnalisation et d’intégration du mstsc.exe c'est difficile à prendre au sérieux. Du point de vue de la sécurité, il ne vous permettra même pas d’afficher le certificat utilisé pour les connexions sécurisées (dernière fois que j’ai vérifié), il n’a pas non plus de carte à puce, de moniteurs multiples, de redirection de lecteur, etc. Le tableau de comparaison de Microsoft révèle à quel point il est anémique: docs.microsoft.com/en-us/windows-server/remote/... - Dai


Ce problème se produit uniquement sur ma machine virtuelle Hyper-V, et l'accès à distance à des machines physiques est correct.

Aller à Ce pc → Paramètres système → Paramètres système avancés sur le serveur, puis résolu le problème en désélectionnant la machine virtuelle cible "Autoriser les connexions uniquement à partir d’ordinateurs exécutant le Bureau à distance avec l’authentification au niveau réseau (recommandé)".

Uncheck this


4
2018-05-10 15:06



Bon Dieu. J'ai activé cette option, j'ai oublié, et 2 heures plus tard, j'ai réalisé que c'était le problème. - Shafiq al-Shaar


Suite à la réponse de ac19501, j'ai créé deux fichiers de registre pour vous faciliter la tâche:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

3
2018-05-09 10:27





Je suis tombé sur les mêmes problèmes. La meilleure solution serait de mettre à jour la machine à laquelle vous vous connectez au lieu d'utiliser la réponse de Pham X Bach à un niveau de sécurité inférieur.

Cependant, si vous ne pouvez pas mettre à jour la machine pour une raison quelconque, sa solution de contournement fonctionne.


2
2018-05-09 15:55



Désolé d'avoir mal compris votre réponse. Oui, la meilleure solution devrait être de mettre à jour le serveur et tous les clients vers la version> = la mise à jour 2018/05/08 de MS - Pham X. Bach