NTLM desativado, erro CredSSP na conexão RDP

tag-icon tag-icon windows security remote-desktop ntlm windows-server-2019
NTLM desativado, erro CredSSP na conexão RDP

Estou tentando desabilitar o NTLM (por motivos de segurança) em um novo domínio.

Estou ativando o Network security: Restrict NTLM: Incoming NTLM traffic, Network security: Restrict NTLM: NTLM authentication in this domaine Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers, para negar todos os NTLM de entrada ou saída de/para clientes/servidores.

configurações

Mas então, ao tentar conectar via RDP, recebo esta mensagem de erro:

mensagem de erro

Eu verifiquei o link fornecido e tanto meu cliente win 10 quanto meus servidores Windows 2019 estão completamente atualizados e seu tspkg.dll está em uma versão superior àquela com o patch para o CVE de remediação credssp/oracle.

Eu até tentei em um domínio de laboratório totalmente novo em uma VM local: a mesma coisa.

Também tentei fazer o downgrade da autenticação para "vulnerável" via gpedit, sem sucesso.

Estou faltando uma configuração em algum lugar?

referência:https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-audit-incoming-ntlm-traffic

referência:https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain

Responder1

Para mim, quando a Política de Domínio Padrão tem Restringir NTLM "Negar para servidores de domínio" ativo e os servidores têm NLA verificado, parece que a conexão de área de trabalho remota (mstsc.exe) funciona apenas com nomes DNS, ao usar IPs de servidor reais não funciona.

Responder2

Neste link encontro a solução

https://blog.getcryptostopper.com/rdp-brute-force-attack-detection-and-blacklisting-with-powershell

Desktop >> Propriedades >> Acesso Remoto >> Autenticação (desmarque NLA)

Responder3

Não há como ativar o NLA e desativar o NTLM. Eu testei isso no Windows Server 2012 e 2016. Tentei todas as alterações de política de grupo padrão com a configuração da correção cred ssp oracle como vulnerável, mas não teve efeito.

Se desejar que o NTLM seja desabilitado na política de grupo, você deverá desabilitar o NLA.

Se alguém encontrou uma maneira de manter o NLA ativado e o NTLM desativado na política de grupo, eu adoraria ouvir sobre isso, mas até agora em nenhum lugar da Internet encontrei instruções para fazer isso com êxito.

Responder4

Você pode adicionar exceções usando a política de grupo. Você pode excluir servidores usando seu FQDN ou IP

insira a descrição da imagem aqui

informação relacionada