“Erro de autenticação. Não há suporte para a função solicitada” (CredSSP) ao realizar autenticação na Área de trabalho remota (RDP)

Após instalar a atualização cumulativa de Maio de 2018 (KB4103727) para Windows 10 através do Windows Update, alguns clientes telefonaram para a NetHouse Informática informando que perderam acesso aos servidores da Área de trabalho remota (RDP), sendo exibida a seguinte mensagem de erro:

Erro de autenticação.
Não há suporte para Função solicitada

Computador remoto: Uma possível causa seria uma correção de oráculo criptografia CredSSP.
Para mais informações, visite https://go.microsoft.com/fwlink/?linkid=866660

As atualizações listadas na CVE-2018-0886 da Microsoft trazem uma série de correções para diversos aplicativos do Windows, incluindo o Internet Explorer e, em especial, a  Área de trabalho remota (RDP). A atualização para a Área de trabalho remota visa mitigar vulnerabilidades no CredSSP (detalhes sobre o funcionamento do CredSSP pode ser encontrado no post Autenticação em nível de rede escrito há alguns meses aqui no blog). A vulnerabilidade permite a um invasor (através de um ataque man-in-the-middle) retransmitir as credenciais do usuário ao servidor alvo para execução remota de código. Um atacante poderia instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com permissões totais de usuário. [3] A atualização corrige a forma como o CredSSP (Credential Security Support Provider) valida solicitações de logon durante o processo de autenticação. Todos os programas que utilizam o CredSSP (além da Área de trabalho remota) são vulneráveis sem a instalação da atualização. [1]

A atualização está disponível para os seguintes sistemas operacionais [3]:

  • Windows 7 SP1
  • Windows 8.1/RT 8.1
  • Windows 10
  • Windows Server 2008 SP2
  • Windows Server 2008 R2 SP1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016

A mensagem acima não será exibida caso a atualização esteja instalada tanto no cliente quanto no servidor. No entanto, se o o cliente estiver atualizado mas o servidor estiver desatualizado, haverá diferença nas versões disponíveis do CredSSP, causando uma falha de conexão. [2]

As configurações da Diretiva de grupo desabilitam o acesso por padrão (causando a falha na conexão) e os usuários deverão instalar a atualização da CVE-2018-0886 para estarem protegidos. [3]

Solução paliativa

Infelizmente, alguns clientes possuem versões legadas do Windows Server (como o Windows Server 2003), devido a necessidade de execução de programas legados (que, aos poucos, estão sendo migrados para outras plataformas). O Windows Server 2003 também suporta a Autenticação de nível de rede (CredSSP), porém, o Windows Server 2003 perdeu suporte oficial da Microsoft em 14 de Julho de 2015 e, portanto, não recebeu esta atualização de segurança. Porém, clientes que possuem a atualização CVE-2018-0886 instalada receberão a mensagem de erro acima devido ao servidor não possuir a atualização instalada.

Existem três soluções paliativas (caso você não possa instalar a atualização):

  1. Desinstalar a atualização CVE-2018-0886 correspondente ao sistema operacional em todos os computadores clientes. Esta solução paliativa NÃO é recomendada. Ela é uma atualização cumulativa que trás uma série de correções para diversos aplicativos do Windows, incluindo o Internet Explorer e a Área de trabalho remota (RDP). Além da desinstalação da atualização ser trabalhosa, dependendo do número de clientes com a atualização instalada, esta “solução” paliativa não seria eficaz por que a Microsoft possuí o costume de lançar atualizações cumulativas mensais e novas atualizações a possuirão embutida. A única forma de evitar a instalação da atualização seria desabilitando as atualizações automáticas. É extremamente NÃO recomendado desabilitar o Windows Update. Lembrando que o Windows Update não pode ser desabilitado no Windows 10.
  2. Desabilitar a Autenticação de nível de rede no servidor da Área de trabalho remota. Esta solução paliativa é extremamente NÃO recomendada, devido a expor ao servidor a ataques de ransomware e ataques de negação de serviço. Maiores detalhes podem ser encontrados no post Autenticação de nível de rede escrito há alguns meses aqui no blog.
  3. Alterar a Diretiva de grupo tanto de clientes quanto servidores da Área de trabalho remota que possuam a atualização instalada para que aceitem a conexão de parceiros que possuam versões anteriores do CredSSP instaladas. Apesar desta solução não ser recomendada (devido ao servidor continuar vulnerável a ameaça), esta é a “solução” paliativa mais recomendada caso você não possa instalar a atualização.

Para alterar a Diretiva de grupo, permitindo a conexão a parceiros que possuam versões anteriores do CredSSP instaladas, realize o seguinte procedimento tanto em clientes quanto servidores que possuam a atualização instalada [2]:

  1. Clique no botão iniciar, digite gpedit.msc no teclado e clique em “gpedit.msc” que aparecerá na parte superior do menu.
  2. No Editor da Política de Grupo Local, expanda Configurações do Computador/Modelos Administrativos/Sistema/Delegação de Credenciais no painel esquerdo.
  3. No painel direito, dê botão direito na diretiva Correção do Oráculo de Criptografia e selecione Propriedades.
  4. Na janela Correção do Oráculo de Criptografia, selecione a opção Habilitado e, em Nível de Proteção, selecione Vulnerável e clique em OK.

Você também pode aplicar esta diretiva em lote através do Editor da Política de Grupo do Domínio do Active Directory, caso tanto os clientes quanto servidores da Área de trabalho remota pertençam a mesma floresta.

Caso você esteja utilizando a versão Home do Windows, ela não possui o Editor de diretiva de grupo. Porém, você ainda poderá alterar a configuração da diretiva através do registro do Windows. O arquivo abaixo [2] poderá ser executado tanto na versão Home do Windows, quanto em outras versões do Windows (por exemplo: Pro) para permitir a conexão de parceiros inseguros (tendo o mesmo efeito da edição da Diretiva de grupo através do Editor da Política de Grupo Local documentada acima).

  1. Copie o conteúdo da caixa abaixo para o Bloco de notas:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
    "AllowEncryptionOracle"=dword:00000002
    
    
  2. No menu Arquivo, clique em Salvar como….
  3. Em Nome, digite o nome do arquivo incluindo a extensão .reg (por exemplo: AllowEncryptionOracle.reg). É importante declarar a extensão .reg, caso contrário, o Bloco de notas assumirá que você está criando um arquivo de texto puro e salvará o arquivo com a extensão .txt.
  4. Após salvar o arquivo, ele deverá estar com o ícone de arquivos de registro do Windows, ao invés do ícone convencional de folha de arquivos de texto. 
  5. Dê botão direito no arquivo recém-salvo e selecione a opção Mesclar.
  6. O Windows deverá perguntar se você deseja aplicar as alterações presentes no arquivo no Registro do Windows. Clique em Sim para continuar. 

Referências

  1. Atualizações de CredSSP para a CVE-2018-0886. Suporte da Microsoft.
  2. Resolver o error de autenticação da área de trabalho remota RDP (Não há suporte para a função solicitada, CredSSP). Tutorial Tech.
  3. CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability. Microsoft Security TechCenter.

10 comentários em ““Erro de autenticação. Não há suporte para a função solicitada” (CredSSP) ao realizar autenticação na Área de trabalho remota (RDP)

  1. Obrigado Eduardo!

    Infelizmente no trabalho ainda tenho servidores nesta situação. Funcionou aqui também. Valeu por compartilhar o conhecimento devido a explicação detalhada e a solução.

    Curtir

    1. Bom dia, Lucio!
      Também trabalhamos com clientes com sistemas Windows Server legados que, infelizmente, por um motivo ou outro (principalmente financeiros ou compatibilidade com aplicações legadas), não podem ser migrados imediatamente. Mas aos poucos estamos migrando eles para Linux ou adquirindo servidores novos com licença do Windows Server pré-instalada.
      Fico feliz que pude ajudar! Espero que você possa compartilhar teus conhecimentos com outras pessoas (mesmo que sejam apenas colegas de trabalho) também!
      Um abraço! 😉

      Curtir

  2. Olá Eduardo.

    Gostaria de agradecer as explicações fornecidas no texto, foi de grande valia e ajudou a entender o problema.

    Parabéns e obrigado.

    Jeferson

    Curtir

  3. Cara. muito obrigado.
    Foi o melhor post sobre o assunto que encontrei, muito bem explicado.
    Apliquei a atualização no servidor e o problemas foi solucionado.
    Agradeço a dedicação na criação desse post.

    Curtir

    1. Jean, obrigado pelo reconhecimento! Este post ajudou mais de 2 mil administradores de sistema, porém você foi o único que comentou agradecendo! Comentários como o seu motivam a gente a continuar escrevendo, documentando e ajudando outras pessoas sem cobrar nada por isso, apenas para difundir conhecimento! =)
      Obrigado!

      Curtir

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.