Nejspíš to znáte. Nejen od našich zákazníků se množí dotazy, že se nedá přes RDP přistoupit na server - co s tím. Že to nedávno ještě šlo? Pokoušíte se server v beznaději restartovat, ale ono to nepomůže. 

Ano, restart nepomůže. 

Co tedy s tím? 

Na vině je nekompatibilita nastavení mezi klientem a serverem. Přesný důvod je jednoduchý, stačí se podívat na uvedený odkaz. Ale kdo podobné hlášky čte celé, že? :)

V květnové sadě security updatů byla opravena chyba CredSSP komponenty. Chyba, která umožňovala "Remote Code Execution" - (CVE-2018-0886).

Pokud mají server a klient rozdílné nastavení "Encryption Oracle Remediation" v registru, spojení přes RDP se nenaváže.

  • Pokud je klientská strana aktualizovaná a server nikoliv, spojení se nenaváže s chybou výše, nepřipojíte se. (1)
  • Pokud klientská strana není aktualizovaná a server ano, spojení není bezpečné. (2)
  • Jsou-li obě strany aktualizované, spojení proběhne bezpečně (3)

Ve většině případů je situace taková, že klient již update nainstalován má (na klientech aktualizujete pravděpodobně častěji) a server aktualizován ještě není. (1). Pak je jedinou cestou, jak se na server připojit přes RDP, nastavit klienta na "Vulnerable". Microsoft dokonce toto nastavení v první vlně aktualizací ve výchozím stavu prováděl, pak ale došlo ke změně a od 8.5.2018 je výchozí nastavení "Mitigated".

Takže v tomto případě chce aktualizovaný klient provést bezpečné spojení, ale pokud není na serveru update, spojení se nenaváže.

Pokud naopak klient aktualizovaný není, ale server ano, spojení proběhne – ale není bezpečné. Konfigurace je totiž po instalaci ve výchozím stavu “Mitigated”, což znamená, že server přijme nezabezpečené spojení.

Samozřejmě nejbezpečnějším řešením je instalace updatu jak na klienta, tak na server, a nastavení "Force Updated Clients".

Nastavení najdete v GPo zde: Computer Configuration -> Administrative Templates -> System -> Credentials Delegation

Více informací viz https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018, případně článek od PFE - https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/.