Errore Crittografia Oracle CredSSP su Connessione Desktop Remoto – Come Risolvere Come risolvere un problema di sicurezza legato agli aggiornamenti di sicurezza Windows 10 di maggio 2018 che impedisce la connessione tramite Desktop Remoto

Windows 10: disabilitare il restart automatico dopo Windows Update

I recenti  aggiornamenti di Windows 10 rilasciati nel Maggio 2018 hanno introdotto alcuni miglioramenti alla sicurezza di alcuni protocolli, eliminando problemi legati a vulnerabilità note. Tra questi, sono state introdotte nuove regole di sicurezza su alcune vulnerabilità del protocollo CredSSP nella fase di autenticazione RDP, più noto come Terminal DesktopDesktop Remoto.

Sfortunatamente questo ha provocato per un gran numero di utenti la comparsa del seguente errore al momento di effettuare una connessione remota mediante RDP:

Errore di autenticazione. La funzione richiesta non è supportata.

La causa potrebbe essere la Correzione crittografia Oracle per CredSSP.
Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=866660

Errore Crittografia Oracle CredSSP su Connessione Desktop Remoto - Come Risolvere

Questo articolo è dedicato alla comprensione delle cause di questo errore e alle varie possibilità di soluzione.

Cos è CredSSP

Il protocollo di protezione credenziali CredSSP (Credential Security Support Provider protocol) è un provider di autenticazione che elabora le richieste di autenticazione per altre applicazioni. Nelle versioni vulnerabili di CredSSP esiste un problema, identificato recentemente, che consente l’esecuzione di codice remoto: un utente malintenzionato che sfrutti questa vulnerabilità può inoltrare le credenziali utente per eseguire codice nel sistema di destinazione. Qualsiasi applicazione che dipende da CredSSP per l’autenticazione può essere vulnerabile a questo tipo di attacco.

Per risolvere il problema sono stati rilasciati i seguenti aggiornamenti per le recenti versioni di Windows:

Ulteriori informazioni sulla vulnerabilità sono disponibili a questo link: 2018-CVE-0886.

La soluzione

Per non ricevere l’errore e potersi collegare tramite RDP occorre installare l’update di cui sopra sia sul client che sul server: questa è di gran lunga la soluzione più sicura, in quanto risolve il problema mantenendo attivi tutti i protocolli di sicurezza previsti.

Nel caso in cui non fosse possibile intervenire sul server è possibile risolvere in un altro modo, disattivando la modalità protetta CredSSP sul client e forzando in questo modo l’autenticazione in modalità non sicura (vulnerabile). Inutile dire che si tratta di un workaround che è opportuno utilizzare soltanto temporaneamente, ad esempio per ripristinare la connessione necessaria per installare anche sul server la nuova patch.

Per forzare la modalità non sicura di autenticazione CredSSP è necessario seguire questa procedura:

  • Fare click su Start, quindi su ESEGUI (oppure tasto Windows + R) e digitare gpedit.msc
  • Nella maschera che si apre selezionare CONFIGURAZIONE COMPUTER –> MODELLI AMMINISTRATIVI –> SISTEMA –> DELEGA CREDENZIALI; una volta lì, selezionare nella colonna di destra, con un doppio click, la voce CORREZIONE CRITTOGRAFIA ORACLE.
  • Nella maschera successiva selezionare ATTIVATA e quindi, nel menu’ a tendina LIVELLO DI PROTEZIONE, selezionare la voce VULNERABILE, come nella screenshot seguente.

Errore Crittografia Oracle CredSSP su Connessione Desktop Remoto - Come Risolvere

 

Nel caso non si possa accedere a gpedit – funzionalità non presente, ad esempio, in Windows 10 Home Edition – occorre creare (o modificare) la chiave di registro AllowEncryptionOracle all’interno del registro di sistema. Per effettuare questa operazione, seguite le istruzioni seguenti:

  • Fare click su Start, quindi scrivere ESEGUI (oppure tasto Windows + R) e digitare regedit
  • Navigare in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\
  • Create la chiave AllowEncryptionOracle (o modificatela, se già presente) impostando il valore DWORD 2 (il valore predefinito dopo la patch dovrebbe essere 1).

In alternativa, è possibile scaricare ed eseguire questo script .reg che compie le medesime operazioni descritte sopra. E’ però importante ricordare che si tratta di un workaround temporaneo, che dovremmo aver cura di disinstallare – rimuovendo la chiave AllowEncryptionOracle a DWORD 1 – non appena saremo riusciti a installare la patch sul server.

Per il momento è tutto: felice connessione!

 

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.