Erro de usuário sem permissão a nível de rede no TS/RDP

14 min de leitura Infraestrutura
Erro de usuário sem permissão a nível de rede no TS/RDP

O erro de "usuário sem permissão a nível de rede" é um dos obstáculos mais frequentes na administração de servidores Windows e no suporte técnico remoto. Esse alerta aparece quando você tenta acessar uma máquina via Remote Desktop Protocol (RDP) e o sistema bloqueia a conexão antes mesmo de solicitar a senha. A frustração é imediata, pois parece que as credenciais estão incorretas, mas a realidade é diferente. O problema não está na autenticação do usuário, mas sim em um mecanismo de segurança do protocolo CredSSP. Este tutorial da Toda Solução explica como diagnosticar e resolver essa falha de forma prática e segura.

Pré-requisitos

  • Um computador cliente com Windows 10, Windows 11 ou Windows Server recente.
  • Um servidor de destino com Windows Server (2016, 2019 ou 2022) ou Windows 10/11.
  • Acesso administrativo ao computador cliente para alterar configurações do sistema.
  • Conhecimento básico sobre a estrutura do Registro do Windows e Prompt de Comando.
  • Instalação atualizada do Cliente de Área de Trabalho Remota no computador local.

Preparando o Ambiente

A causa raiz desse erro está na atualização de segurança MS16-072, lançada pela Microsoft em 2016. Essa atualização endureceu a validação do CredSSP para prevenir ataques "man-in-the-middle". O protocolo exige que tanto o cliente quanto o servidor tenham as atualizações de segurança aplicadas e configuradas da mesma forma. Quando um lado está patcheado e o outro não, ou quando há uma divergência nas configurações de criptografia, o Windows bloqueia a conexão por padrão. Esse comportamento é intencional para proteger dados sensíveis, mas pode impedir acessos legítimos em ambientes controlados ou legacy. Para resolver, precisamos alinhar as políticas de segurança entre as duas pontas da conexão.

Passo a Passo

Vamos abordar três métodos para contornar o problema. O primeiro método é o mais seguro e recomendado, pois não altera configurações globais do sistema, afetando apenas uma conexão específica. O segundo método utiliza o Registro do Windows para permitir conexões não verificadas em todo o cliente. O terceiro método usa o Prompt de Comando para realizar a mesma alteração do registro, mas de forma programática.

Método 1: Editando o arquivo de conexão (.rdp)

Esse método é ideal se você precisa acessar apenas um servidor específico que ainda não está totalmente atualizado. Ao adicionar uma chave específica ao arquivo de configuração, você diz ao cliente RDP para ignorar a verificação de validação do CredSSP apenas para aquela sessão.

  1. Abra o aplicativo "Conexão de Área de Trabalho Remota" no seu computador local.
  2. Clique em "Mostrar Opções" para expandir o painel de configurações avançadas.
  3. No campo "Computador", insira o IP ou nome do servidor de destino.
  4. Clique em "Salvar como..." e escolha um local fácil de encontrar, como a Área de Trabalho.
  5. Navegue até o local onde salvou o arquivo e clique com o botão direito sobre ele.
  6. Selecione "Abrir com" e escolha o Bloco de Notas (Notepad).
  7. Adicione a seguinte linha no final do arquivo, antes da última chave:
authentication:i:2

A chave authentication:i:2 instrui o cliente RDP a permitir conexões sem validação de credenciais do servidor. O valor 2 corresponde à configuração "Allow connections only from computers running Remote Desktop with Network Level Authentication", mas na prática, nesse contexto específico de edição manual, ele relaxa a exigência estrita de validação mútua do CredSSP que estava bloqueando o acesso.

  • Salve o arquivo e feche o Bloco de Notas.
  • Dê um clique duplo no arquivo editado para iniciar a conexão.

Método 2: Ajustando o Registro do Windows

Se você precisa resolver o problema globalmente ou acessar múltiplos servidores antigos, alterar o registro é mais eficiente. Esse método desativa a verificação de validação do CredSSP para todas as conexões de saída.

  1. Pressione as teclas Windows + R para abrir a janela "Executar".
  2. Digite regedit e pressione Enter para abrir o Editor do Registro.
  3. Navegue até o seguinte caminho no registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Se a chave Parameters não existir, você precisará criá-la. Clique com o botão direito na pasta CredSSP, selecione "Novo" e depois "Chave". Nomeie-a como Parameters.

  1. Dentro da pasta Parameters, clique com o botão direito na área branca à direita.
  2. Selecione "Novo" e depois "Valor DWORD (32 bits)".
  3. Nomeie o novo valor como AllowEncryptionOracle.
  4. Clique duas vezes em AllowEncryptionOracle e altere o valor de 0 para 2.

O valor 2 corresponde à configuração "Vulnerable", que permite conexões RDP mesmo quando a validação do servidor falha. Isso restaura a funcionalidade, mas reduz ligeiramente a segurança contra ataques man-in-the-middle. Reinicie o computador ou o serviço de Área de Trabalho Remota para aplicar as mudanças.

Método 3: Usando o Prompt de Comando

Para administradores que preferem automação ou não querem navegar pelo Editor do Registro manualmente, o PowerShell ou CMD oferece uma solução rápida via linha de comando.

  1. Clique no menu Iniciar e digite cmd.
  2. Clique com o botão direito em "Prompt de Comando" e selecione "Executar como administrador".
  3. Copie e cole o seguinte comando para criar a chave e o valor necessários:
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

Explicação dos parâmetros: reg add é o comando para adicionar uma chave ou valor ao registro. A string entre aspas é o caminho completo da chave de destino. /v AllowEncryptionOracle define o nome do valor DWORD a ser criado. /t REG_DWORD especifica o tipo de dado como um número de 32 bits. /d 2 define o dado (o valor) como 2, que é o nível de vulnerabilidade permitido. /f força a sobrescrita do valor caso ele já exista, evitando perguntas de confirmação.

  • Pressione Enter para executar o comando. Se bem-sucedido, o sistema exibirá "A operação concluiu com êxito".
  • Tente novamente a conexão RDP. O erro não deve aparecer mais.

Configuração Detalhada

É crucial entender que ao definir o valor AllowEncryptionOracle como 2, você está essencialmente desabilitando uma proteção específica do CredSSP. Isso é necessário quando o servidor de destino não recebeu as atualizações de segurança críticas que corrigem a vulnerabilidade original. No entanto, se ambos os lados (cliente e servidor) estiverem completamente atualizados com as patches da Microsoft, essa configuração não deve ser necessária. A presença desse erro geralmente indica que o servidor remoto está desatualizado ou que há uma incompatibilidade de versão entre o protocolo RDP do cliente e do servidor. Em ambientes corporativos, a solução ideal é aplicar as atualizações no servidor remoto em vez de relaxar a segurança no cliente.

Verificação

Após aplicar qualquer um dos métodos acima, você deve verificar se a conexão foi estabelecida com sucesso. Além disso, é possível confirmar que a chave do registro foi criada corretamente.

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /v AllowEncryptionOracle

O output esperado deve ser:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
AllowEncryptionOracle    REG_DWORD    0x2

Se o valor estiver diferente de 2, a alteração não foi aplicada corretamente. Tente executar o comando do Método 3 novamente com privilégios de administrador. Se a conexão RDP abrir e você puder interagir com a área de trabalho do servidor, o problema está resolvido.

Troubleshooting

  • Sintoma: O erro persiste mesmo após alterar o registro ou o arquivo .rdp. Causa: O serviço de Área de Trabalho Remota não foi recarregado ou há uma permissão incorreta no registro. Solução: Reinicie o computador ou execute net stop termservice && net start termservice no Prompt de Comando como administrador para reiniciar o serviço RDP.
  • Sintoma: Mensagem de erro "A conta não foi concedida acesso ao computador". Causa: O usuário não está no grupo "Usuários do Remote Desktop" ou "Administradores" no servidor de destino. Solução: Verifique as permissões de acesso local no servidor remoto e adicione o usuário ao grupo apropriado.
  • Sintoma: O arquivo .rdp não abre ou dá erro de sintaxe. Causa: A linha adicionada tem espaços incorretos ou a codificação do arquivo está errada. Solução: Abra o arquivo novamente no Bloco de Notas, garanta que não haja espaços antes ou depois da linha authentication:i:2 e salve em formato ANSI ou UTF-8 sem BOM.
  • Sintoma: Acesso negado ao editar o registro. Causa: Falta de privilégios de administrador na máquina cliente. Solução: Certifique-se de executar o Editor do Registro (regedit) ou o Prompt de Comando como Administrador.
  • Sintoma: O servidor é bloqueado pelo Firewall após a tentativa de conexão. Causa: Tentativas repetidas de falha podem ativar regras de bloqueio de IP em firewalls de rede. Solução: Aguarde o tempo de bloqueio expirar ou verifique as regras de firewall do servidor e libere o IP do cliente se necessário.

Boas Práticas

A solução via registro ou arquivo .rdp é um contorno, não uma correção definitiva. A melhor prática de segurança é manter todos os sistemas atualizados. Aplique as atualizações de segurança do Windows no servidor remoto o mais rápido possível. Após a atualização do servidor, remova a chave AllowEncryptionOracle ou o valor 2 do arquivo .rdp para restaurar a proteção completa contra ataques man-in-the-middle. Além disso, use conexões RDP apenas através de redes confiáveis ou VPNs criptografadas para minimizar riscos. Evite expor a porta 3389 diretamente à internet pública.

FAQ

Posso deixar essa configuração permanente?

Não é recomendado deixar o valor AllowEncryptionOracle como 2 permanentemente se você puder atualizar o servidor. Essa configuração reduz a segurança da sua estação de trabalho. Use-a apenas até que o servidor remoto seja patcheado.

Por que esse erro começou a aparecer do nada?

Geralmente, isso ocorre porque uma atualização de segurança foi aplicada no seu computador cliente, mas o servidor remoto ainda não recebeu a patch correspondente. O Windows cliente passou a exigir uma validação mais rígida que o servidor antigo não consegue fornecer.

Essa solução funciona para Windows Server 2012?

Sim, o protocolo CredSSP e as vulnerabilidades associadas existem desde versões anteriores. No entanto, servidores muito antigos (como 2008 R2 sem updates) podem ter comportamentos diferentes. Em geral, a chave de registro funciona na maioria das versões do Windows modernos.

Existe risco de segurança ao usar o Método 1?

O Método 1 é mais seguro que o Método 2 porque afeta apenas uma conexão específica. Se você precisar acessar outros servidores seguros, eles ainda serão protegidos pelas configurações padrão. O risco residual existe, mas é limitado à sessão daquele arquivo .rdp.

Como saber se meu servidor está atualizado?

Verifique o histórico de atualizações nas Configurações do Windows ou use o PowerShell com o comando Get-HotFix. Procure por patches relacionados a segurança e CredSSP, especialmente os lançados após março de 2016.

Conclusão

O erro de "usuário sem permissão a nível de rede" no RDP é um sintoma clássico de desalinhamento de segurança entre cliente e servidor. Embora seja irritante, a solução é direta através do ajuste do CredSSP. Lembre-se sempre de priorizar a atualização dos servidores remotos como solução definitiva. Use os métodos apresentados neste tutorial da Toda Solução apenas como pontes temporárias para manter a continuidade das operações enquanto as atualizações são aplicadas. Manter seus sistemas atualizados é a melhor forma de garantir segurança e estabilidade na sua infraestrutura.

Esse tutorial foi útil?

Comentários (0)

Seja o primeiro a comentar.

Deixe seu comentário

Seu comentário será analisado antes de ser publicado.

0/2000
Voltar para Tutoriais
WhatsApp