In questa guida tratteremo l’errore CREDSSP sorto dopo gli aggiornamenti del 13/03/2018
l’aggiornamento in questione riguarda i sistemi operativi windows 7/8/8.1/10/server2008 R2/server 2012.
L’aggiornamento riguarda il Protocollo di Provider supporto protezione credenziali (CredSSP), un provider di autenticazione che elabora le richieste di autenticazione per altre applicazioni, serve per risolvere una vulnerabilità delle protocollo CredSSP che permetteva l’utilizzo in remoto delle credenziali per eseguire codice sul PC.
Viene di fatto modificato il modo in cui CredSSP convalida le richieste durante il processo di autenticazione.
con la patch dell’ 8 maggio 2018 è stata modificata l’impostazione predefinita vulnerabile a motivo attenuato.
Questa modifica ha causato un sacco di problemi ai sistemi che utilizzavano i servizi terminal.
Infatti molti server fanno in automatico gli aggiornamenti grazie alla pianificazione fatta dall’amministratore mentre i client spesso e volentieri non si aggiornano affatto.
Uno degli errori più comuni verificati al tentativo di connessione è il seguente:
impedendo cosi ogni tentativo di connessione con desktop remoto.
Abbiamo già trovato e testato diverse soluzioni che in alcuni casi hanno risolto definitivamente il problema, in altri invece non sono state per nulla efficaci, in oltre non tutte le soluzioni funzionano su tutte le installazioni, quindi come per noi ha funzionato ad alternanza nelle varie situazioni potrebbe anche non funzionare nel vostro caso.
Soluzione errore CredSSP lato server (1)
Per ovviare al problema è possibile cambiare i criteri di gruppo sul server per riattivare l’autenticazione minima e sbloccare la situazione
Percorso del criterio: Configurazione Computer -> modelli amministrativi -> sistema -> la delega delle credenziali
Nome dell’impostazione: monitoraggio e aggiornamento di crittografia Oracle
attivabile con 3 opzioni:
Forza aggiornamento client: Applicazioni client che utilizzano CredSSP non sarà possibile passare alle versioni non protette e servizi che utilizzano CredSSP non verranno accettate senza patch client.
Nota: Questa impostazione non deve essere distribuita fino a quando tutti gli host remoti supportano la versione più recente.
Ridotto: Applicazioni client che utilizzano CredSSP non sarà possibile passare alle versioni non protette, ma i servizi che utilizzano CredSSP accetterà i client senza patch.
Vulnerabili: Applicazioni client che utilizzano CredSSP esporrà i server remoti per attacchi grazie al supporto di fallback per le versioni non protette e servizi che utilizzano CredSSP accetterà i client senza patch.
impostando l’opzione “Vulnerabili” si risolve in alcuni casi il problema, ma, agendo su questa regola, bisogna però tenere a mente che si può minare la vulnerabilità del sistema.
In alcune situazioni come detto prima questa soluzione non è stata efficace…non abbiamo indagato più di tanto per scoprire il perchè 😛
Soluzione errore CredSSP lato client (2)
Sicuramente la migliore dal punto di vista della sicurezza, ma non sempre applicabile, magari alcuni dei PC che utilizziamo non supportano la patch o per qualche motivo non e possibile installarla(linux, android, apple, raspberry, vecchi TSclient ecc.ecc.)
Effettuando gli aggiornamenti di sicurezza del sistema operativo si aggiornera anche CredSSP sui client che riusciranno quindi a collegarsi al server senza problemi.
Soluzione estrema errore CredSSP (3)
In alcuni casi non siamo riusciti a fare gli aggiornamenti, ne a cambiare i criteri di gruppo nel server(anche cambiandoli non si risolveva il problema)
in queste situazioni estreme, quando viene comunque richiesta una soluzione rapida e indolore, abbiamo trovato una chiave di registro, che, se inserita nel client, permette la connessione al server bypassando l’errore… attenzione, anche in questo caso non è una soluzione 100%, avvolte funziona… altre no! T_T
La chiave di registro da creare/modificare è:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\
alla voce REG_DWORD “AllowEncryptionOracle” impostare valore “2”.
Per semplificarvi la vita potete copiare e incollare il seguente codice dentro un file BAT e lanciarlo come amministratore
@echo off REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2 END
Se trovate altre soluzioni non esitate a commentare, provvederemo ad aggiornare l’articolo.