Un bug Microsoft est apparu lors de la connexion Bureau à distance entre un poste et un serveur, parlant d’oracle, de chiffrement et de Cred SSP. C’est le protocole RDP utilisé par MSTSC qui est en cause et la solution a été apportée par Microsoft pour corriger ce problème qui a affecté des milliers de machines dans le monde.

Le message d’erreur affiché :

Une erreur d’authentification s’est produite.
La fonction demandée n’est pas prise en charge.
Ordinateur distant : XXXXX
Le problème peut être dû à une correction de l’oracle de chiffrement CredSSP.

erreur RDP CredSSP MSTSC

 

Patchs à télécharger pour protéger Windows et Windows Server

Pour éviter cette erreur, et surtout protéger vos machines Windows, il faut installer une mise à jour corrective sur le(s) serveur(s) ET sur le(s) poste(s) client(s).

  • Windows Server 2012 : KB4088880
  • Windows Server 2012 R2 : KB4088876
  • Windows Server 2016 : KB4088787
  • Windows 7 (SP1) : KB4103718
  • Windows 8.1 : KB4103725
  • Windows 10 (1607) : KB4103723
  • Windows 10 (1703) : KB4103731
  • Windows 10 (1709) : KB4103727
  • Windows 10 (1803) : KB4103721

Sinon, pour plus de simplicité, installer le cumulative update de mai 2018 (2018-05) ou plus récent, selon le système d’exploitation et l’architecture du système (32bits x86 ou 64bits x64).

Windows 10 version 1809 et suivants ne sont pas affectés par ce problème.

 

Méthode PowerShell contre l’erreur CredSSP de MSTSC

Si on ne peut pas redémarrer la machine, surtout s’il s’agit d’un serveur de production, il est aussi possible d’exécuter une commande PowerShell sur le poste client pour temporairement régler le souci.

1. Ouvrir Windows PowerShell en tant qu’Administrateur.

2. Copier / coller / exécuter la commande suivante :

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

3. Si la commande est réussie, alors la connexion RDP pourra se faire.

RDP fix CredSSP PowerShell

 

Méthode GPO contre l’erreur CredSSP du protocole RDP

Dans le cas d’une série de machines à patcher, à faire sur les postes clients :

1. Exécuter gpedit.msc

2. Aller dans Configuration Ordinateur > Modèles d’administration > Système > Délégation d’information d’identification.

3. Double cliquer sur Encryption Oracle Remediation.

4. Cliquer sur « Activé » et modifier le « Protection Level » sur « Vulnerable » avant de valider par OK.

RDP fix CredSSP gpedit

5. La connexion RDP fonctionnera mais il est hautement recommandé d’installer un KB update pour corriger le système.