4

Actualizaciones de CredSSP para CVE-2018-0886

Hola a tod@s.

En este post vamos a ver un error que nos encontramos al actualizar nuestros equipos clientes Windows e intentamos acceder a los servidores por escritorio remoto, se trata de la actualización “CredSSP para CVE-2018-0886” (KB4093120) – Seguridad de credenciales, en esta URL podemos ver que es lo que hace esta actualización en nuestros sistemas, y el problema que nos encontramos es que si la actualización NO está instalada en los servidores y SI en los equipos clientes, estos no pueden acceder por escritorio remoto a los servers, aquí simularé el error, y os mostraré una forma para poder solucionarlo, Microsoft nos aconseja que instalemos este KB en los servidores y en los equipos clientes, pero hay infraestructuras en dónde no es posible actualizar los servidores, ya sea porque no tienen o no deben tener conexión a Internet, la infraestructura sea muy grande y tengamos que darle una solución rápida mientras vamos actualizando los servers, etc…. Cada infraestructura es un mundo

  • Tenemos un servidor llamado “adcs” que NO tiene parcheada la actualización y un equipo con Windows 10 llamado “ca-itlabw10” perteneciente al mismo dominio que el servidor que SI tiene la actualización instalada:

  • Intentamos acceder por escritorio remoto al servidor introduciendo las credenciales, y este es el error que nos muestra:

  • Para solucionar el error tenemos dos opciones:
  • 1) Si lo que queremos es acceder al servidor únicamente desde un equipo, por ejemplo, desde este equipo con Windows 10, entonces actualizamos las directivas locales con gpedit.msc y configuramos esta directiva:

  • 2) Si lo que queremos es acceder desde cualquiera de los equipos pertenecientes al dominio, entonces debemos habilitar una política de grupo (GPO) en el dominio y vincularla sobre la Unidad Organizativa de equipos:
  • No creamos la GPO:

  • Le asignamos un nombre:

  • La editamos:

  • Sobre Configuración de equipo > Directivas > Plantillas administrativas >Sistema > Delegación de credenciales, damos doble clic sobre “Encryption Oracle Remediation”:

  • Y la configuramos de la siguiente manera, “Habilitada y Vulnerable”:

  • Como podemos ver ya está configurada y vinculada sobre la Unidad organizativa correspondiente:

  • Ahora forzamos las GPO sobre el equipo cliente con Windows 10:

  • Y probamos a conectar por escritorio remoto al servidor:

  • Como podemos ver, una vez hemos aplicado la GPO, ya podemos conectar por RDP sin problemas:

 

Saludos y espero que os resulte de ayuda 😉

 

ragasys

Técnico Superior STI

4 comentarios

  1. Buenas amigo José, he presentado este problema y he intentado aplicar la solución que aquí propone, pero al momento de editar la GPO como indica, no me aparece la entrada “Encryption Oracle Remediation” y por ende no puedo terminar de aplicar la solución correctamente.

    ¿Por qué razón no me aparece la entrada “Encryption Oracle Remediation”? y ¿Cómo podría solucionar este inconveniente?

    Gracias de antemano.

    La estructura que manejo es un Windows Server 2012 R2 sin acceso a internet como servidor de Dominio y otros servicios, con clientes Windows 10 Pro, estos últimos aceptan las actualizaciones de forma directa.

    He intentado descargar algunas actualizaciones para el servidor pues debo analizar bien cuales son los efectos que generan para poder mantenerlo 100% operativo y actualizado lo mejor que pueda.

    • Hola Filiberto, para que te aparezca la entrada “Encryption Oracle Remediation”, tienes que tener el controlador de dominio dónde estas aplicando la GPO con las últimas actualizaciones, y en caso que este aplicando la directiva local en un equipo, éste debe tener las últimas actualizaciones publicadas por Microsoft.

      Saludos.

      • Muchisimas gracias por tan pronta respuesta.
        Bastante raro, pues he seguido los pasos tal cual comentas.
        Me resulta bastante extraño, pues ahora que lo comentas, al momento de crear la GPO, no me aparece asignado el dominio a ésta, voy a volver a aplicar la solución a ver que pude haber hecho mal

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.