Después de instalar las actualizaciones de seguridad de Windows que se publicaron después de mayo de 2018, es posible que se enfrente a la Corrección de oráculo de cifrado CredSSP error durante la conexión RDP al servidor o computadora remota de Windows en los siguientes casos:
- Está intentando conectarse al escritorio remoto de una computadora con una versión antigua de Windows instalada recientemente (por ejemplo, Windows 10 RTM o compilación 1709 o anterior, Windows Server 2012 R2, Windows Server 2016), en la que se actualizan las últimas actualizaciones de seguridad de Windows no están instalados;
- Está intentando conectarse a través de RDP a una computadora en la que las actualizaciones de Microsoft no se han instalado durante mucho tiempo;
- La computadora remota bloqueó la conexión RDP porque faltan las actualizaciones de seguridad necesarias en su computadora.
Intentemos entender cuál es el error RDP Corrección de oráculo de cifrado CredSSP medios y cómo solucionarlo.
Por lo tanto, al intentar conectarse a RemoteApp en servidores RDS que ejecutan Windows Server 2016/2012 R2 / 2008 R2, oa escritorios remotos de otros usuarios que utilizan el protocolo RDP (en Windows 10, 8.1 o 7), aparece un error:
Conexión de escritorio remoto
Ha ocurrido un error de autenticación.
La función no es compatible.
Computadora remota: nombre de host
Esto podría deberse a la corrección de Oracle de cifrado CredSSP.
Este error se produce debido al hecho de que las actualizaciones de seguridad de Windows (al menos desde marzo de 2018) no se instalaron en la instancia remota de Windows, a la que está intentando conectarse a través de RDP.
En marzo de 2018, Microsoft lanzó actualizaciones que bloquean la ejecución remota de código mediante una vulnerabilidad en el protocolo CredSSP (Credential Security Support Provider) (boletín CVE-2018-0886). En mayo de 2018, se publicó una actualización adicional, que de forma predeterminada evita que los clientes de Windows se conecten a servidores RDP remotos con una versión vulnerable (sin parchear) del protocolo CredSSP.
Por lo tanto, si no ha instalado actualizaciones de seguridad acumulativas en sus servidores (computadoras) Windows RDS / RDP desde marzo de 2018, y las actualizaciones de mayo de 2018 (o más recientes) se instalaron en clientes RDP, entonces cuando intente conectarse a servidores RDS con un parche sin parche versión de CredSSP aparece un error: Esto podría deberse a la corrección de Oracle de cifrado CredSSP.
El error de RDP en los clientes aparece después de que se instalan las siguientes actualizaciones de seguridad:
- Windows 7 / Windows Server 2008 R2: KB4103718
- Windows 8.1 / Windows Server 2012 R2 - KB4103725
- Windows Server 2016: KB4103723
- Windows 10 1803: KB4103721
- Windows 10 1709: KB4103727
- Windows 10 1703: KB4103731
- Windows 10 1609: KB4103723
windows 10 1803 x64 8/*/2019. Descargue e instale la actualización acumulativa de Windows (en mi ejemplo, es "Actualización acumulativa 2019-08 para Windows 10 versión 1803 para sistemas basados en x64 (KB4512509)". Para restaurar la conexión al escritorio remoto, puede desinstalar la actualización de seguridad especificada en la computadora remota (pero no se recomienda y no debes hacer esto, hay una solución más segura y correcta).
Para solucionar el problema de conexión, necesita temporalmente deshabilite la verificación de la versión de CredSSP en la computadora desde la que se está conectando a través de RDP. Esto se puede hacer usando el editor de políticas de grupo local.
- Ejecute el editor de GPO local: gpedit.msc;
- Vaya a la sección GPO Configuración de la computadora -> Plantillas administrativas -> Sistema -> Delegación de credenciales;
- Busque la póliza con el nombre Corrección de cifrado de Oracle, habilite la política y establezca el nivel de protección en Vulnerable;
- Actualice la configuración de políticas en la computadora (ejecute
gpupdate /forcecomando) e intente conectarse al servidor remoto a través de RDP. Con la política de cifrado de corrección de Oracle establecida en Vulnerable, las aplicaciones cliente con soporte CredSSP podrán conectarse incluso a puntos finales RDS / RDP sin parches.
- Forzar clientes actualizados - el nivel de protección más alto cuando el servidor RDP bloquea la conexión de clientes sin parche. Por lo general, esta política debe habilitarse después de haber actualizado por completo toda la infraestructura y agregado las últimas actualizaciones de seguridad a las imágenes de instalación de Windows para servidores y estaciones de trabajo;
- Mitigado - en este modo, se bloquea una conexión RDP remota saliente a servidores RDP con una versión vulnerable de CredSSP. Sin embargo, otros servicios que utilizan CredSSP funcionan bien;
- Vulnerable - Se permite el nivel más bajo de protección cuando se conecta a un servidor RDP con una versión vulnerable de CredSSP.
Si no tiene un editor de GPO local (por ejemplo, en las ediciones de Windows Home), puede realizar un cambio de registro directamente que permita la conexión RDP a servidores con una versión sin parche de CredSSP:
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Puede cambiar el parámetro de registro AllowEncryptionOracle en varias computadoras en AD usando un GPO de dominio o con un script de PowerShell (puede obtener una lista de computadoras en el dominio usando el cmdlet Get-ADComputer del módulo RSAT-AD-PowerShell):
$computers = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $computers) {
Invoke-Command -ComputerName $computer -ScriptBlock {
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
}
}
Después de conectarse con éxito a un servidor RDP remoto (computadora), debe instalar las últimas actualizaciones de seguridad a través de Windows Update (verifique que el wuauserv está habilitado) o manualmente. Descargue e instale las últimas actualizaciones acumulativas de Windows desde el sitio web del Catálogo de actualizaciones de Microsoft como se muestra arriba. Si aparece el error "La actualización no es aplicable a su computadora" al instalar la actualización de MSU, lea el artículo usando el enlace anterior.
Para Windows XP / Windows Server 2003 que ya no son compatibles, necesita instalar actualizaciones para Windows Embedded POSReady 2009. Por ejemplo: https://support.microsoft.com/en-us/help/4056564.
Después de instalar las actualizaciones y reiniciar el servidor, no olvide deshabilitar la política en los clientes (cambie a la Forzar clientes actualizados), o devolver el valor del parámetro de registro AllowEncryptionOracle a 0. En este caso, su computadora no correrá el riesgo de conectarse a hosts desprotegidos CredSSP y aprovechar la vulnerabilidad.
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 0
Existe otro escenario en el que las actualizaciones no están instaladas en su computadora. Por ejemplo, el servidor RDP está actualizado, pero tiene una política que bloquea las conexiones RDP desde computadoras con la versión vulnerable de CredSSP (Forzar clientes actualizados establecimiento de políticas). En este caso, también verá el error de conexión RDP "Esto podría deberse a la corrección de oráculo de cifrado CredSSP".
Verifique la última fecha de instalación de las actualizaciones de Windows en su computadora usando el módulo PSWindowsUpdate o mediante el comando WMI en la consola de PowerShell:
gwmi win32_quickfixengineering |sort installedon -desc
Este ejemplo muestra que las últimas actualizaciones de seguridad de Windows se instalaron el 17 de junio de 2018. Descargue e instale el archivo de actualización acumulativa de MSU más reciente para su edición de Windows (consulte más arriba).
Recomendado para ti
Artículos relacionados:
REVISIÓN: Error de medios desconectados en Windows 10/11.- REVISIÓN: 0x800f0922 Error de actualización de Windows 11.
- REVISIÓN: Error 0x8007025d en la actualización de…
- REVISIÓN: Error de instalación 0x8007001f en Windows…
- REVISIÓN: Error al iniciar la salida en OBS Studio.…
- CORREGIR error 0x80070643 en la actualización…
