Error de conexión de escritorio remoto después de actualizar Windows 2018/05/08 - Actualizaciones de CredSSP para CVE-2018-0886

Encontré una solución. Como se describe en el enlace de ayuda, intenté retroceder desde la actualización 2018/05/08 cambiando el valor de esta política de grupo:

• Run gpedit. Espero que Microsoft arregle esto pronto para que pueda restaurar la configuración a la configuración recomendada **Mitigado.

Como en algunas respuestas, la mejor solución para este error es actualizar tanto el servidor como los clientes a la versión >= la actualización 2018-05-08 de Microsoft.

Si no puedes actualizar ambos (es decir, sólo puedes actualizar el cliente o el servidor) entonces podrías aplicar una de las soluciones provisionales de las respuestas de abajo, y cambiar la configuración lo antes posible para minimizar la duración de la vulnerabilidad introducida por la solución provisional.

Otra forma es instalar el cliente de Escritorio Remoto de Microsoft de MS Store - https://www.microsoft.com/en-us/store/p/microsoft-remote-desktop/9wzdncrfj3ps

Este problema sólo ocurre en mi Hyper-V VM, y remover a las máquinas físicas está bien.

Ir a Este PC → Ajustes de sistema → Ajustes de sistema avanzados en el servidor y luego lo resolví desmarcando el objetivo VM “permitir conexiones sólo desde computadoras que ejecutan Escritorio Remoto con Autenticación a Nivel de Red (recomendado)”.

Siguiendo la respuesta de ac19501 he creado dos archivos de registro para hacerlo más fácil:

rdp_insecure_on.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
@=""
"AllowEncryptionOracle"=dword:00000002

rdp_insecure_off.reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

Actualización del ejemplo de GPO en la pantalla de impresión.

Basado en la respuesta “reg add "HKLM\Software\Microsoft\Windows\Versión Actual\N-Políticas\N-SistemaCredSSP\N-Parámetros” /f /v AllowEncryptionOracle /t REG\N-DWORD /d 2" Pantalla de impresión

Ruta de la llave: Software: Microsoft Windows versión actual, políticas del sistema, parámetros de la tarjeta de crédito y el nombre del valor: AllowEncryptionOracle Datos de valor: 2

Otra opción si tienes acceso a la línea de comandos (tenemos un servidor SSH ejecutándose en la caja) es ejecutar “sconfig.cmd” desde la línea de comandos. Obtendrás un menú como el de abajo:

Escoge la opción 7, y enciéndela para todos los clientes, no sólo los seguros.

Una vez hecho esto, puedes entrar en el escritorio remoto. Parece que para nosotros el problema fue que los sistemas de nuestros clientes se actualizaron para la nueva seguridad, pero las cajas de nuestros servidores estaban atrasadas en las actualizaciones. Sugiero que consigamos las actualizaciones y luego volvamos a activar esta configuración de seguridad.

Desinstalación:

• Para Windows 7 y 8.1: KB4103718 y/o KB4093114 
• Para Windows 10: KB4103721 y/o  KB4103727  servidor sin actualizaciones 

Esta actualización contiene un parche para la vulnerabilidad CVE-2018-0886. En un servidor sin parches les permite entrar sin ellos.

Para los servidores, también podemos cambiar la configuración a través de Remote PowerShell (asumiendo que WinRM esté habilitado, etc…)

$Server = remoteHostName
Invoke-Command -ComputerName $Server -ScriptBlock {(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)} -Credential (Get-Credential)

Ahora, si esta configuración es administrada por un GPO de dominio, es posible que se revierta, por lo que es necesario comprobar los GPOs. Pero para una solución rápida, esto funciona.

Referencia: https://www.petri.com/disable-remote-desktop-network-level-authentication-using-powershell