Después de instalar las últimas actualizaciones de seguridad en mi escritorio de Windows 10, no puedo conectarme de forma remota a mi nuevo servidor VDS (que ejecuta Windows Server 2012 R2) usando el Escritorio remoto. Cuando especifico el nombre del servidor RDP en la ventana del cliente mstsc.exe y hago clic en «Conectar», aparece un error:
Conexión de escritorio remoto
Ha ocurrido un error de autenticación.
La función solicitada no es compatible.
Computadora remota: nombre_de_computadora
Después de desinstalar las últimas actualizaciones y reiniciar mi computadora, pude conectarme a un servidor remoto a través de RDP. Según tengo entendido, esta es una solución temporal. Llegará un nuevo paquete de actualización acumulativa de Windows que se instalará el próximo mes y volverá el error de autenticación RDP. ¿Me puedes aconsejar algo?
Respuesta
Tienes toda la razón. No tiene sentido resolver este problema eliminando la actualización de Windows instalada porque está exponiendo su computadora al riesgo de explotar las diversas vulnerabilidades que corrige esta actualización. El error de RDP «Se ha producido un error de autenticación» también puede aparecer al intentar ejecutar una aplicación RemoteApp.
¿Por qué está pasando esto? El hecho es que las últimas actualizaciones de seguridad (publicadas después de mayo de 2018) están instaladas en su escritorio de Windows 10. Estas actualizaciones corrigen una vulnerabilidad grave en el CredSSP Protocolo (proveedor de soporte de seguridad de credenciales) utilizado para la autenticación en servidores RDP (CVE-2018-0886 – lea atentamente el artículo Error de autenticación RDP: CredSSP Encryption Oracle Remediation). Estas actualizaciones no están instaladas en el lado del servidor RDP / RDS, y el NLA (Autenticación de nivel de red) está habilitado para el acceso al escritorio remoto. NLA utiliza mecanismos CredSSP para autenticar previamente a los usuarios de RDP a través de TLS / SSL o Kerberos. Su computadora simplemente bloquea la conexión de escritorio remoto a un servidor que usa la versión vulnerable de CredSSP.
¿Qué puede hacer para solucionar este problema y conectarse a su servidor RDP?
- La manera correcta para resolver el problema es instalar las últimas actualizaciones de seguridad acumulativas de Windows en una computadora remota o servidor RDS (al que está intentando conectarse a través de RDP);
- Solución 1. Puede deshabilitar NLA (autenticación de nivel de red) en el lado del servidor RDP (como se describe a continuación);
- Solución 2. Puede reconfigurar sus escritorios permitiéndoles conectarse al Escritorio remoto con una versión insegura de CredSSP (como se describe en el artículo en el enlace anterior). Para hacer esto, cambie el parámetro de registro AllowEncryptionOracle (use el comando:
REG ADD
) o cambiar la política local Corrección de cifrado de Oracle estableciendo su valor en Vulnerable. Esta es la única forma de acceder a un servidor remoto a través de RDP si no puede iniciar sesión en el servidor localmente (a través de la OIT, la consola de la máquina virtual o la interfaz web del proveedor de la nube). Puede conectarse a un servidor remoto en este modo e instalar las últimas actualizaciones de seguridad. Después de actualizar el servidor, no olvide deshabilitar la política o devolver el valor del parámetro de registro AllowEncryptionOracle a 0 (
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 0
).
Deshabilitar NLA para escritorio remoto en Windows
Si NLA está habilitado en su servidor RDP, esto significa que CredSSP se utiliza para la autenticación previa de los usuarios de RDP. Puede deshabilitar la autenticación de nivel de red en el Propiedades del sistema sobre el Remoto pestaña desmarcando las opciones «Permitir la conexión solo desde computadoras que ejecutan Escritorio remoto con autenticación de nivel de red (recomendado)”(Windows 10 / 8.1 o Windows Server 2012R2 / 2016).
En Windows 7 (Windows Server 2008 R2), esta opción se llama de manera diferente. Sobre el Remoto pestaña, seleccione la opción «Permitir conexiones desde computadoras que ejecutan cualquier versión de Escritorio remoto (menos segura)“.
También puede deshabilitar la autenticación de nivel de red (NLA) utilizando el editor de políticas de grupo local: gpedit.msc (puede ejecutar gpedit.msc en la edición de Windows 10 Home de esta manera) o usando la consola de administración de políticas de grupo de dominio – GPMC.msc. En el editor de políticas vaya a la sección Configuración de la computadora -> Plantillas administrativas -> Componentes de Windows -> Servicios de escritorio remoto -> Host de sesión de escritorio remoto -> Seguridad, busque y deshabilite la política «Requerir autenticación de usuario para conexiones remotas mediante autenticación de nivel de red“.
También debe seleccionar el RDP Capa de seguridad en el «Requerir el uso de una capa de seguridad específica para conexiones remotas (RDP)”Configuración de políticas.
Para aplicar una nueva configuración de RDP, debe actualizar las políticas de grupo en una computadora local (gpupdate / force
) o reinicie su escritorio. Después de eso, debería conectarse correctamente al escritorio remoto.
Artículos Interesantes
Relacionados:
Contenido