Erro CredSSP no RDP: Como Corrigir em 3 Passos

16 min de leitura Infraestrutura
Erro CredSSP no RDP: Como Corrigir em 3 Passos

O que é o Erro CredSSP no RDP e Por Que Ele Aparece?

O Protocolo de Área de Trabalho Remota (RDP) é a ferramenta padrão para administração e acesso remoto em ambientes Windows. No entanto, administradores de sistemas e usuários avançados frequentemente se deparam com um erro crítico ao tentar estabelecer essa conexão: o erro CredSSP. Esse problema não é apenas uma falha de rede ou autenticação básica; ele está diretamente ligado a uma atualização de segurança do Microsoft que alterou os padrões de criptografia.

O CredSSP (Credential Security Service Provider) é o componente responsável por autenticar credenciais entre o cliente e o servidor durante sessões remotas, incluindo o encaminhamento seguro de tokens de logon. A vulnerabilidade conhecida como CVE-2018-0886 foi identificada no protocolo CredSSP, permitindo que um atacante potencialmente interceptasse e manipulasse as credenciais em trânsito se a autenticação não fosse verificada corretamente.

Em resposta a essa falha de segurança, a Microsoft lançou atualizações críticas (inicialmente em março de 2018) que tornam obrigatória a verificação da identidade do servidor pelo cliente. Se o seu computador cliente ou o servidor remoto não estiverem totalmente atualizados com os patches de segurança mais recentes, o RDP bloqueará a conexão por padrão para proteger os dados. É nesse contexto que surge a necessidade de aplicar workarounds específicos, como a modificação da política AllowEncryptionOracle, para restaurar a funcionalidade em ambientes legados ou heterogêneos.

Este tutorial detalha as causas técnicas do problema e apresenta três métodos práticos para corrigir o erro CredSSP RDP, garantindo que você possa acessar seus servidores novamente com segurança e eficiência.

Neste tutorial:

Pré-requisitos para a Correção

Antes de aplicar qualquer uma das soluções apresentadas, é fundamental garantir que você possui as condições necessárias para executar as etapas com sucesso. A falha no CredSSP exige alterações profundas nas configurações do sistema ou nos arquivos de configuração, o que demanda certos níveis de acesso e conhecimento.

Primeiramente, você deve ter privilégios de administrador na máquina cliente onde está tentando iniciar a conexão. A modificação das chaves do registro ou a execução de comandos administrativos requer elevação de permissões. Se você estiver logado como um usuário padrão, as tentativas de salvar alterações no registro ou editar políticas do sistema falharão silenciosamente ou com erros de permissão.

Além disso, tenha acesso ao arquivo de conexão RDP original (extensão .rdp) se optar pela primeira solução. Esse arquivo pode ser encontrado na pasta onde você salvou seu atalho de conexão, frequentemente em "Documentos" ou "Área de Trabalho". Para as soluções via registro e linha de comando, certifique-se de que o Prompt de Comando ou o PowerShell sejam executados como administrador. Isso é feito clicando com o botão direito no ícone do aplicativo e selecionando "Executar como administrador".

Por fim, embora as soluções abaixo funcionem imediatamente, o ideal a longo prazo é manter ambos os sistemas (cliente e servidor) atualizados com as últimas patches de segurança da Microsoft. A desativação das verificações de segurança é uma medida temporária ou de contingência para ambientes específicos, e não uma prática recomendada para produção moderna.

Solução 1: Editar o arquivo .rdp

A maneira mais rápida e menos invasiva de resolver o erro CredSSP RDP, especialmente se você utiliza arquivos de conexão personalizados, é modificar diretamente o arquivo de configuração do RDP. Essa abordagem permite que você desative a verificação estrita apenas para aquela sessão específica, sem alterar as configurações globais do seu sistema operacional.

O arquivo .rdp é, na verdade, um arquivo de texto simples que contém parâmetros de configuração para a sessão. Ao editar esse arquivo, você pode instruir o cliente RDP a ignorar a exigência de verificação de identidade do servidor CredSSP.

Passo a passo para edição do arquivo

  1. Localize o arquivo .rdp que você utiliza para conectar ao servidor remoto. Se estiver usando o atalho padrão criado pelo "Conexão de Área de Trabalho Remota", você pode clicar com o botão direito nele e selecionar "Propriedades" para encontrar o caminho do arquivo.
  2. Clique com o botão direito no arquivo .rdp e escolha "Abrir com". Selecione um editor de texto simples, como o Bloco de Notas (Notepad) ou qualquer outro editor de texto plano. Evite processadores de texto complexos como o Microsoft Word, pois eles podem adicionar formatação invisível que corrompe o arquivo.
  3. Quando o arquivo abrir, procure pela linha de configuração relacionada ao CredSSP. Ela deve aparecer da seguinte forma: 
    enablecredsspsupport:i:1
  4. O valor i:1 indica que o suporte ao CredSSP está habilitado e exigindo verificação segura. Para contornar o erro, altere esse valor para zero. A linha deve ficar assim: 
    enablecredsspsupport:i:0
  5. Salve o arquivo (Ctrl + S) e feche o editor de texto.
  6. Dê um duplo clique no arquivo .rdp modificado para iniciar a nova conexão. O RDP agora tentará estabelecer a sessão sem exigir a verificação estrita do CredSSP, permitindo que a conexão seja estabelecida mesmo se houver uma diferença de patch entre o cliente e o servidor.

Este método é ideal para administradores que gerenciam múltiplos servidores com diferentes níveis de atualização. Você pode manter um arquivo .rdp específico para servidores antigos ou desatualizados, enquanto usa arquivos padrão para servidores modernos e totalmente atualizados.

Solução 2: Configurar via Regedit (Editor de Registro)

Se você prefere uma solução mais permanente que se aplique a todas as conexões RDP realizadas a partir daquela máquina, ou se o método do arquivo .rdp não estiver disponível, a modificação via Editor de Registro é o caminho padrão. Esta abordagem altera a política de segurança do Windows para permitir a conexão em cenários onde a verificação de identidade CredSSP falha.

A chave específica que controla esse comportamento é chamada AllowEncryptionOracle. Por padrão, essa chave não existe ou está definida como inexistente, o que força o Windows a seguir o padrão de segurança rígido. Ao criá-la e defini-la corretamente, você instrui o sistema a aceitar conexões mesmo em configurações de criptografia menos rigorosas.

Passo a passo para edição do registro

  1. Pressione as teclas Windows + R para abrir a caixa de diálogo "Executar". Digite regedit.exe e pressione Enter. Se solicitado pelo Controle de Conta de Usuário (UAC), clique em "Sim" para conceder permissões administrativas.
  2. No Editor de Registro, navegue pela árvore de diretórios até o seguinte caminho: 
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

    Nota importante: Se a pasta CredSSP ou Parameters não existir dentro de Policies\System, você precisará criá-la. Clique com o botão direito na pasta Policies, selecione "Novo" > "Chave", nomeie-a como CredSSP. Em seguida, clique com o botão direito na nova chave CredSSP, selecione "Novo" > "Chave" novamente e nomeie-a como Parameters.

  3. Com a chave Parameters selecionada no painel direito, clique com o botão direito em uma área vazia e escolha "Novo" > "Valor DWORD (32 bits)".
  4. Dê o nome AllowEncryptionOracle a este novo valor. Certifique-se de que a ortografia esteja exatamente correta.
  5. Clique duas vezes em AllowEncryptionOracle. Na janela que se abre, certifique-se de que a base esteja selecionada como "Hexadecimal". No campo "Valor", digite 2. O valor decimal correspondente é 2, e o hexadecimal é 00000002.
  6. Clique em "OK" para salvar a alteração.
  7. Feche o Editor de Registro. Em alguns casos, pode ser necessário reiniciar o serviço de Área de Trabalho Remota ou fazer logoff e logon novamente para que as alterações tenham efeito imediato, embora geralmente a próxima tentativa de conexão já reflita a nova configuração.

Ao definir o valor como 2, você está configurando o modo "Vulnerable" (Vulnerável) para o CredSSP, permitindo que o cliente aceite conexões mesmo quando a verificação de identidade não puder ser concluída. Isso resolve o bloqueio imediato do RDP.

Solução 3: Aplicar via Linha de Comando

Para administradores que preferem automação, scripts ou que precisam aplicar a correção em várias máquinas remotamente, a linha de comando oferece uma solução eficiente e rápida. O comando reg add permite criar ou modificar entradas de registro programaticamente.

Passo a passo para execução do comando

  1. Abra o Prompt de Comando (CMD) ou PowerShell com privilégios de administrador. Para isso, procure por "cmd" no menu Iniciar, clique com o botão direito e selecione "Executar como administrador".
  2. Copie e cole o seguinte comando na janela do prompt. Este comando cria a chave Parameters se ela não existir (o parâmetro /f força a sobrescrita se já existir) e define o valor AllowEncryptionOracle como 2:
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /f /v AllowEncryptionOracle /t REG_DWORD /d 2

Após pressionar Enter, o sistema retornará a mensagem "A operação registrou com sucesso." Se você receber um erro de permissão, verifique se realmente executou o prompt como administrador. Se o erro indicar que a chave não existe e o comando falhar em criar subchaves automaticamente em versões antigas do Windows, pode ser necessário criar as pastas manualmente usando o regedit antes de executar este comando.

Essa abordagem é particularmente útil em scripts de provisionamento de servidores ou na configuração de imagens de máquina virtual, garantindo que a conectividade RDP seja mantida durante fases iniciais de deploy onde os patches podem não estar sincronizados.

Verificação e Teste da Conexão

Após aplicar qualquer uma das três soluções acima, o próximo passo é verificar se o problema foi resolvido. Abra o aplicativo "Conexão de Área de Trabalho Remota" ou o arquivo .rdp modificado e tente estabelecer a conexão com o servidor remoto.

Se a configuração foi aplicada corretamente, a tela de logon do Windows no servidor remoto deve aparecer normalmente. Você poderá inserir suas credenciais e acessar o ambiente desktop como faria em qualquer outra sessão.

Caso o erro persista após a aplicação da solução, verifique os seguintes pontos:

  • Reinicialização do Serviço: Tente reiniciar o serviço de Área de Trabalho Remota no servidor remoto. No servidor, abra o CMD como administrador e execute net stop termservice seguido de net start termservice.
  • Camadas de Firewall: Embora o erro CredSSP seja lógico, certifique-se de que a porta TCP 3389 não esteja bloqueada por firewalls intermediários após a mudança de configuração.
  • Atualizações Pendentes: Verifique se o servidor remoto recebeu todas as atualizações de segurança recentes. Às vezes, a falta de um patch específico no servidor pode causar conflitos mesmo com a permissão de "vulnerabilidade" ativada no cliente.

Troubleshooting Avançado

Em cenários mais complexos, o erro CredSSP pode não ser o único problema. Se você aplicou as correções e ainda enfrenta falhas, considere os seguintes aspectos técnicos adicionais.

Conflito com Políticas de Grupo (GPO)

Se você estiver em um ambiente corporativo gerenciado por Active Directory, é possível que uma Política de Grupo (GPO) esteja sobrescrevendo sua configuração local. Verifique se há uma GPO configurada para forçar a segurança do CredSSP. Se houver, você precisará ajustar a GPO no controlador de domínio ou solicitar à equipe de TI que crie uma exceção para sua máquina.

Múltiplas Camadas de Virtualização

Em ambientes de nuvem ou virtualizados (como Hyper-V, VMware ou AWS EC2), às vezes a camada de hipervisor interfere na negociação de segurança. Certifique-se de que os "Tools" ou "Integration Services" estejam atualizados. Em alguns casos específicos, a atualização do firmware da máquina virtual pode resolver inconsistências na pilha de rede.

Logs de Evento

Para diagnosticar falhas persistentes, verifique o Visualizador de Eventos (eventvwr.msc) no servidor alvo. Navegue até "Logs do Windows" > "Segurança". Procure por eventos de falha de logon relacionados ao serviço RDP. Os códigos de erro detalhados podem indicar se o problema é realmente CredSSP ou outra falha de autenticação, como credenciais expiradas ou restrições de logon.

Perguntas Frequentes (FAQ)

O que significa o erro "An authentication error has occurred. The function requested is not supported"?

Essa é a mensagem exata associada ao erro CredSSP RDP. Ela indica que o cliente e o servidor não conseguiram concordar com um método de criptografia seguro suficiente para o encaminhamento de credenciais. Isso geralmente ocorre quando um dos lados não possui os patches de segurança mais recentes que corrigem a vulnerabilidade CVE-2018-0886.

A solução AllowEncryptionOracle é segura?

Do ponto de vista técnico, definir AllowEncryptionOracle como 2 reduz o nível de segurança da conexão RDP. Ela permite que a conexão prossiga mesmo se a verificação de identidade do servidor não puder ser concluída, o que teoricamente expõe a sessão a ataques de "homem-no-meio" (MITM). No entanto, em redes locais isoladas ou túneis seguros (como VPNs), o risco é minimizado. É uma solução de compromisso para manter a funcionalidade.

Posso aplicar essa correção apenas no servidor?

Não. O problema geralmente reside na incompatibilidade entre o cliente e o servidor. Se o seu computador pessoal (cliente) estiver desatualizado, você deve aplicar a correção nele. Se o seu computador estiver atualizado, mas o servidor antigo não, você pode aplicar a correção no cliente para permitir que ele se conecte ao servidor legado. A correção é aplicada na máquina que inicia a conexão (cliente).

Como reverter a alteração do Registro?

Para reverter a alteração e restaurar a segurança máxima, você deve excluir a chave AllowEncryptionOracle criada em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters. Alternativamente, você pode definir o valor para 0 (zero), mas a exclusão é o método mais limpo para garantir que o Windows volte a usar o padrão de segurança rígido.

Essa correção funciona para Windows Server e Windows 10/11?

Sim, o mecanismo do CredSSP e as chaves de registro são consistentes entre versões modernas do Windows Client (Windows 10, 11) e versões do Windows Server (2016, 2019, 2022). O caminho do registro e o nome da chave AllowEncryptionOracle são os mesmos em todas as plataformas.

Conclusão

O erro CredSSP no RDP é um obstáculo comum, mas totalmente contornável, resultante de medidas proativas de segurança implementadas pela Microsoft. Compreender a origem do problema — a vulnerabilidade CVE-2018-0886 — permite que administradores tomem decisões informadas sobre como restaurar o acesso.

Neste tutorial, exploramos três métodos eficazes para corrigir o erro: a edição direta do arquivo .rdp para controle granular, a modificação do Editor de Registro (regedit) para uma solução persistente e o uso de linha de comando para automação. Cada abordagem tem seus méritos dependendo do cenário de infraestrutura e das necessidades de segurança da organização.

Lembre-se sempre de que essas correções são workarounds de compatibilidade. O objetivo final deve ser atualizar todos os sistemas envolvidos na conexão para as versões mais recentes, permitindo que a verificação de segurança do CredSSP funcione como projetado, garantindo a integridade e a confidencialidade dos seus dados em trânsito.

Se você gerencia infraestrutura crítica e precisa garantir a estabilidade e o desempenho de suas conexões remotas, conte com soluções robustas de hospedagem e cloud. A Toda Solução oferece infraestrutura otimizada para ambientes Windows Server, com suporte técnico especializado para ajudar na configuração segura e eficiente dos seus serviços.

Compartilhar: Link copiado!
Tags:
Esse tutorial foi útil?

Comentários (0)

Seja o primeiro a comentar.

Deixe seu comentário

Seu comentário será analisado antes de ser publicado.

0/2000
Voltar para Tutoriais