Intro

Bom para quem já passou pelo problema acima, seja, no Windows 7 ou 10, segue abaixo procedimento de resolução.

O protocolo CredSSP é um provedor de autenticação que processa solicitações de autenticação para outros aplicativos. Existe uma vulnerabilidade de execução remota de código nas versões não corrigidas do CredSSP. Essa atualização de segurança resolve a vulnerabilidade, corrigindo como o CredSSP valida solicitações durante o processo de autenticação.

DO HISTÓRICO:

O lançamento inicial  atualiza o protocolo de autenticação CredSSP e os clientes da Área de Trabalho Remota para todas as plataformas afetadas.

A mitigação consiste em instalar a atualização em todos os sistemas operacionais cliente e servidor elegíveis e, em seguida, usar configurações de Política de Grupo ou equivalentes com base no Registro para gerenciar as opções de configuração nos computadores cliente e servidor. Recomendamos que os administradores apliquem a política e a definam como  “Forçar clientes atualizados” ou “Mitigada” nos computadores cliente e servidor o mais rápido possível.  Essas alterações exigirão uma reinicialização dos sistemas afetados.

Preste muita atenção aos pares de configurações da Política de Grupo ou do Registro que resultarem em interações “Bloqueadas” entre clientes e servidores na tabela de compatibilidade mais adiante neste artigo.

 

A atualização do Cliente de Área de Trabalho Remota (RDP) no KB 4093120 melhorará a mensagem de erro que é apresentada quando um cliente atualizado não consegue se conectar a um servidor que não foi atualizado.

 

Uma atualização para alterar a configuração padrão de Vulnerável para Mitigada.

Os números relacionados da Base de Dados de Conhecimento Microsoft estão listados na CVE-2018-0886.

Por padrão, depois que essa atualização é instalada, os clientes corrigidos não podem se comunicar com servidores não corrigidos. Use a matriz de interoperabilidade e as configurações de política de grupo descritas neste artigo para habilitar uma configuração “permitida”.

Procedimentos:

1 - Caminho da política:

Configuração do Computador -> Modelos Administrativos -> Sistema -> Delegação de Credenciais

Nome da configuração: Remediação de Criptografia da Oracle

Configuração de política

Valor do Registro

Comportamento do cliente

Comportamento do servidor

Forçar clientes atualizados

0

Os aplicativos cliente que usam o CredSSP não serão capazes de fazer fallback para versões inseguras.

Os serviços que usam o CredSSP não aceitarãoclientes sem patch.

Observação Essa configuração não deve ser implantada até que todos clientes CredSSP do Windows e de terceiros ofereçam suporte à versão mais recente do CredSSP.

Mitigada

1

Os aplicativos cliente que usam o CredSSP não serão capazes de fazer fallback para versões inseguras.

Os serviços que usam o CredSSP aceitarão clientes sem patch.

Vulnerável

2

Os aplicativos cliente que usam o CredSSP deixarão os servidores remotos expostos a ataques por oferecerem suporte a versões não seguras.

Os serviços que usam o CredSSP aceitarão clientes sem patch.

2 - Executar o Reg

1.1 Copie o conteúdo da caixa abaixo para o Bloco de notas:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]

"AllowEncryptionOracle"=dword:00000002

1.2 No menu Arquivo, clique em Salvar como….

Em Nome, digite o nome do arquivo incluindo a extensão .reg (por exemplo: AllowEncryptionOracle.reg). 

É importante declarar a extensão .reg, caso contrário, o Bloco de notas assumirá que você está criando um arquivo de texto puro e salvará o arquivo com a extensão .txt.

Após salvar o arquivo, ele deverá estar com o ícone de arquivos de registro do Windows, ao invés do ícone convencional de folha de arquivos de texto.