La connessione RDP restituisce un errore di autenticazione dopo Maggio 2018

Dopo Maggio 2018, tentando una connessione desktop remoto (RDP) ad un server, potrebbe venire visualizzato questo messaggio di errore:

Errore di autenticazione.
La funzione richiesta non è supportata.
Computer remoto: Server
La causa potrebbe essere la Correzione crittografia Oracle per CredSSP.
Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=866660

Oppure:

Errore di autenticazione.
La funzione richiesta non è supportata.

Il problema è dovuto all’aggiornamento di sicurezza del protocollo di autenticazione CredSSP introdotto da Microsoft il 13 marzo 2018.
Tuttavia, in fase di installazione dell’aggiornamento, questa policy

Configurazione computer –> Modelli amministrativi –> Sistema –> Delega credenziali > Correzione crittografia Oracle

si comporta di default come se fosse impostata su “Vulnerabile”.

Questo vuol dire che client e server accettano comunque connessioni RDP con protocollo CredSSP non aggiornato ed è compito dell’amministratore modificare manualmente la policy man a mano che l’ambiente viene aggiornato.
Il 17 Aprile 2018, è stato introdotto un aggiornamento che migliora il testo del messaggio di errore, che ora contiene il riferimento alla crittografia CredSSP come origine del problema.
L’8 Maggio 2018 un ulteriore aggiornamento modifica automaticamente l’impostazione di default della policy da “Vulnerabile” a “Mitigato” e questa è principalmente la causa che porta alla visualizzazione del messaggio di errore oggetto di questo articolo. Infatti questa impostazione impedisce di eseguire connessioni RDP verso server non aggiornati alla patch CredSSP.
In queste pagine è possibile trovare l’esatto comportamento di client e server a seconda della configurazione della policy:
Microsoft Support – CredSSP updates for CVE-2018-0886
Microsoft Support – “CredSSP encryption oracle remediation” error when RDP to a Windows VM in Azure

Tuttavia, modificare la policy solo temporaneamente per consentire connessioni RDP urgenti, per risolvere realmente il problema è necessario installare la patch su ogni client e server.
In questo articolo è possibile trovare il numero di aggiornamento che contiene la patch CredSSP per ogni sistema operativo:
Security TechCenter – CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability

Notare che i sistemi operativi non più supportati da Microsoft non hanno un aggiornamento, è quindi necessario configurare la policy su “Vulnerabile” ed eseguire il prima possibile l’upgrade dei sistemi interessati.
Per Windows 10 1511 è disponibile la patch ma non l’aggiornamento che imposta il comportamento di default della policy da “Vulnerabile” a “Mitigato”, quindi su questi sistemi questa impostazione andrà configurata manualmente per incrementare il livello di sicurezza.

Taggato su: , ,
Di f.giammarini | 02/06/2018 | Servizi Desktop Remoto (RDS), Windows Client, Windows Server | Nessun commento |

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Informativa: Il sito utilizza i cookie per visualizzare annunci pubblicitari non personalizzati, analizzare il traffico e migliorare l'esperienza utente. Chiudendo questo banner con il pulsante Accetta, si acconsente all’uso di tutti i cookie (anche di terze parti) e si accettano integralmente le condizioni di utilizzo del sito. Per saperne di più o per negare il consenso a tutti o ad alcuni cookie, consultare la pagina Informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi