Basé entièrement sur Réponse de Graham Cuthbert J'ai créé un fichier texte dans le Bloc-notes avec les lignes suivantes, et j'ai simplement double-cliqué dessus par la suite (ce qui devrait ajouter au registre Windows les paramètres contenus dans le fichier).

Notez simplement que la première ligne varie en fonction de la version de Windows que vous utilisez. regedit et exporter n'importe quelle règle juste pour voir ce qu'il y a dans la première ligne et utiliser la même version dans votre fichier.

De plus, je ne suis pas préoccupé par la dégradation de la sécurité dans cette situation particulière car je me connecte à un VPN crypté et l'hôte Windows n'a pas accès à l'internet et n'a donc pas la dernière mise à jour.

Fichier rd_patch.reg :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002

Pour ceux qui souhaitent quelque chose de facile à copier/coller dans une invite de commande élevée :

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

Fournisseur d'appui à la sécurité des titres prot d'authentification qui traite les demandes d'authentification pour les d'autres applications.

Il existe une vulnérabilité d'exécution de code à distance CredSSP. Un attaquant qui réussit à exploiter cette vulnérabilité pourrait relayer les informations d'identification de l'utilisateur pour exécuter du code sur le système cible. Toute application qui dépend de CredSSP pour l'authentification peut être vulnérable à ce type d'attaque.

[...]

13 mars 2018

La version initiale du 13 mars 2018 met à jour le Cr et les clients Remote Desktop pour toutes les plateformes concernées.

L'atténuation consiste à installer la mise à jour o et serveur éligibles, puis à utiliser les paramètres de la stratégie de groupe ou des équivalents dans le registre pour gérer les options de paramétrage. sur les ordinateurs clients et serveurs. Nous recommandons aux administrateurs d'appliquer la stratégie et de la définir sur "Forcer la mise à jour des clients" ou "Atténué". sur les ordinateurs clients et serveurs dès que possible. Ces changements nécessiteront un redémarrage des systèmes concernés.

Faites attention à la stratégie de groupe ou aux paramètres du registre. qui entraînent des interactions "bloquées" entre les clients et les serveurs dans l'interface utilisateur. tableau de compatibilité plus loin dans cet article.

17 avril 2018

La mise à jour de Remote Desktop Client (RDP) dans la KB améliorera le message d'erreur présenté lorsqu'un client mis à jour ne parvient pas à se connecter à un serveur qui n'a pas été mis à jour.

8 mai 2018

Une mise à jour pour changer le paramètre par défaut de Vulnérable à Atténué.

Fuente: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]

Voir aussi ce fil de discussion sur reddit : https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_desktop_connections_over/ [2]

La solution de Microsoft :

• Mise à jour du serveur et du client. (nécessite un redémarrage, recommandé)

Cette solution n'est pas recommandée si votre serveur est accessible au public ou si vous n'avez PAS de contrôle strict du trafic sur votre réseau interne, mais il est parfois impossible de redémarrer le serveur RDP pendant les heures de travail.

• Définir la politique CredSSP Parcheando via GPO ou le registre. (nécessite un redémarrage ou gpupdate /force)
• Désinstaller KB4103727 (pas de redémarrage nécessaire)
• Je pense que la désactivation de NLA (Network Layer Authentication) peut également fonctionner. (pas de redémarrage nécessaire)

Veillez à bien comprendre les risques liés à l'utilisation de ces produits et à corriger vos systèmes le plus rapidement possible.

[1] Toutes les descriptions des GPO CredSSP et les modifications du registre sont décrites ici.

[2] exemples de GPO et de paramètres de registre au cas où le site de Microsoft tomberait en panne.

1. Allez dans l'"Éditeur de stratégie de groupe local > Modèles d'administration > Système > Délégation des pouvoirs > Remédiation de l'Oracle de chiffrement", modifiez-le et activez-le, puis réglez le "Niveau de protection" sur "Atténué".
2. Définir la clé de registre (de 00000001 à 00000002) [HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters ] "AllowEncryptionOracle"=mot de passe :
3. Redémarrez votre système si nécessaire.

La valeur de registre n'était pas présente sur ma machine Windows 10. J'ai dû aller dans la stratégie de groupe locale suivante et appliquer le changement sur mon client :

Computer Configuration -> Administrative Templates -> System -> Credentials Delegation--Encryption Oracle Remediation

Activer et régler la valeur sur vulnerable.