Dopo Maggio 2018, tentando una connessione desktop remoto (RDP) ad un server, potrebbe venire visualizzato questo messaggio di errore:
Errore di autenticazione.
La funzione richiesta non è supportata.
Computer remoto: Server
La causa potrebbe essere la Correzione crittografia Oracle per CredSSP.
Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=866660
Oppure:
Errore di autenticazione.
La funzione richiesta non è supportata.
Il problema è dovuto all’aggiornamento di sicurezza del protocollo di autenticazione CredSSP introdotto da Microsoft il 13 marzo 2018.
Tuttavia, in fase di installazione dell’aggiornamento, questa policy
Configurazione computer –> Modelli amministrativi –> Sistema –> Delega credenziali > Correzione crittografia Oracle
si comporta di default come se fosse impostata su “Vulnerabile”.
Questo vuol dire che client e server accettano comunque connessioni RDP con protocollo CredSSP non aggiornato ed è compito dell’amministratore modificare manualmente la policy man a mano che l’ambiente viene aggiornato.
Il 17 Aprile 2018, è stato introdotto un aggiornamento che migliora il testo del messaggio di errore, che ora contiene il riferimento alla crittografia CredSSP come origine del problema.
L’8 Maggio 2018 un ulteriore aggiornamento modifica automaticamente l’impostazione di default della policy da “Vulnerabile” a “Mitigato” e questa è principalmente la causa che porta alla visualizzazione del messaggio di errore oggetto di questo articolo. Infatti questa impostazione impedisce di eseguire connessioni RDP verso server non aggiornati alla patch CredSSP.
In queste pagine è possibile trovare l’esatto comportamento di client e server a seconda della configurazione della policy:
Microsoft Support – CredSSP updates for CVE-2018-0886
Microsoft Support – “CredSSP encryption oracle remediation” error when RDP to a Windows VM in Azure
Tuttavia, modificare la policy solo temporaneamente per consentire connessioni RDP urgenti, per risolvere realmente il problema è necessario installare la patch su ogni client e server.
In questo articolo è possibile trovare il numero di aggiornamento che contiene la patch CredSSP per ogni sistema operativo:
Security TechCenter – CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability
Notare che i sistemi operativi non più supportati da Microsoft non hanno un aggiornamento, è quindi necessario configurare la policy su “Vulnerabile” ed eseguire il prima possibile l’upgrade dei sistemi interessati.
Per Windows 10 1511 è disponibile la patch ma non l’aggiornamento che imposta il comportamento di default della policy da “Vulnerabile” a “Mitigato”, quindi su questi sistemi questa impostazione andrà configurata manualmente per incrementare il livello di sicurezza.