error-credssp-escritorio-remoto-windows-10.jpg

En varios escenarios he visto este error al conectarse a RDP desde un cliente Windows (en mi caso 10 y 7) a Servidores Windows Server.

En un principio lo que hacia era conectarme de otra forma al servidor (local o mediante alguna otra solución) y dejaba la conexión menos segura y eso bastaba, el tema es que hoy un cliente estaba bastante ofuscado ya que tenia bastantes servidores con el mismo inconveniente.

Así que me dedique a documentar para entregar una solución más “Profesional”. Así que manos a la obra, es bastante fácil solucionar el inconveniente y hay diversas maneras de hacerlo.

Método 1 – Actualizar Servidores y Clientes

La solución consiste en actualizar el servidor como el cliente RDP. Desde un cliente Windows actualizado con el parche no es posible conectarse a un servidor Windows desactualizado (vulnerable). En este caso es necesario aplicar una de las variantes que proponemos a continuación y revertir los cambios lo antes posible con el objetivo minimizar la duración de la vulnerabilidad introducida.

La información respecto a esta vulnerabilidad está documentada en CVE-2018-0886 .

Método 2 – Cambiar directivas por GPO

Esta opción es bastante valida y permite automatizar el tema creando una GPO en nuestro dominio que permita cambiar la variable a mitigado para así poder acceder a los servidores.

  1. Presionamos la tecla “Control + R” y tecleamos “gpedit.msc”, para abrir nuestro editor de GPO locales (recuerda que puedes crear un GPO de la misma forma en un dominio).

  1. Seguimos la siguiente ruta para llegar a la GPO a modificar:
  • Inglés: Computer Configuration -> Administrative Templates -> System -> Credentials Delegation -> Encryption Oracle Remediation
  • Español: Configuración del equipo -> Plantillas Administrativas -> Sistema -> Delegación de Credenciales -> Corrección del Oráculo de Cifrado

  1. Estando en esta sección configuraremos la siguiente opción para corregir el problema:

Dejamos la Opción: Habilitada y nivel de protección: Mitigado

  1. Reiniciamos el cliente (o esperamos el gpupdate /force en nuestro dominio) y ya podremos conectarnos.

Método 3 – Comando mediante CMD o PowerShell

Ejecutamos mediante CMD o PowerShell el siguiente comando: y reiniciamos la maquina:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

Método 4 – archivo .REG

Este método es simplemente crear un archivo .reg

Abrir un block de notas y copiar el siguiente texto:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

"AllowEncryptionOracle"=dword:00000002

Guardar como .reg. , y luego ejecutarlo.

Conclusion:

Ya podemos conectarnos tanto a los servidores Windows que no han sido actualizados, así como los actualizados.

Es de vita importancia mantener siempre el sistema operativo actualizado, Recuerdo que los métodos (aparte del método 1) son métodos temporales para subsanar de forma rápida el problema de conexión con servidores Windows que no han sido actualizados.

Espero que esta información sea útil para ustedes, no te olvides de compartir.


Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *

A %d blogueros les gusta esto: