Исправить ошибку CredSSP шифрования Oracle при RDP подключении

В некоторых случаях при RDP подключению к удаленному Windows компьютеру, вы можете столкнуться с ошибкой CredSSP encryption oracle remediation. Эта ошибка связана с обновлениями безопасности Windows, выпущенными в 2018 году, которые исправляют критическую уязвимость в протоколе Credential Security Support Provider (CredSSP), который используются для пре-аутентификации пользователей, когда для RDP доступа включен протокол NLA (Network Level Authentication) . Уязвимость CVE-2018–0886 (CredSSP Remote Code Execution Vulnerability) позволяет удаленно выполнить произвольный код в системе через открытый RDP порт.

После установки обновлений безопасности, Windows блокирует удаленные RDP подключения к компьютерам с уязвимой версий CredSSP:

Remote Desktop connection
An authentication error has occurred.
The function is not supported. Remote Computer: hostname This could be due to CredSSP encryption oracle remediation.

windows 10 rdp ошибка подключения CredSSP encryption oracle remediation

Подключение к удаленному рабочему столу
Произошла ошибка при проверке подлинности.
Указанная функция не поддерживается.
Причиной ошибки может быть исправление шифрования CredSSP.

Наличие ошибки шифрования CredSSP указывает на то, что вы пытаетесь удаленно подключиться по к компьютеру, на котором не установлены обновления безопасности, закрывающие RDP уязвимость.

(Рекомендованный способ) исправления ошибки: нужно скачать и установить на удаленный RDP хост любой последний накопительный пакет обновления безопасности для вашей версии Windows, выпущенный после мая 2018 года. Вы можете скачать обновление вручную через Microsoft Update Catalog или установить его через Windows Update или сервер обновлений WSUS.

скачать последние обновления windows из microsoft update catalog

 

Если компьютер настроен на автоматическое получение обновлений через Windows Update, такая проблема не должна возникнуть. Обычно с этой ошибкой вы можете столкнуться после установки одного из следующих RTM дистрибутивов Windows:

  • Windows Server 2016/2012 R2/2008 R2
  • Windows 7, 8.1 или Windows 10 1803 (или более ранний билд, включая LTSB)

Есть временное обходное решение (не рекомендуется использовать постоянно), которое позволяет подключиться к удаленном компьютеру с уязвимой версией RDP CredSSP.

  1. Откройте редактор локальных групповых политик (gpedit.msc) на клиентском компьютере (с которого вы выполняете RDP подключение);
  2. Перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Credentials Delegation (Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных);
  3. Включите политику Encryption Oracle Remediation (Исправление уязвимости шифрующего оракула), и измените ее значение на Vulnerable / Оставить уязвимость;изменить значение политики CredSSP на Vulnerable
  4. Обновите настройки политик на вашем компьютере (команда gpupdate /force )
  5. Попробуйте подключится по RDP к удаленному компьютеру.
Политика Encryption Oracle Remediation предлагает 3 доступных значения защиты от CredSSP уязвимости:

  • Force Updated Clients — самый высокий уровень защиты, когда и клиент и сервер блокируют подключение к уязвимым клиентам;
  • Mitigated – в этом режиме блокируется исходящие удаленные RDP подключения к RDP хостам с уязвимой версией CredSSP. Однако другие службы, использующие CredSSP работаю нормально;
  • Vulnerable – разрешены подключения к RDP серверам с уязвимой версией CredSSP.

Если у вас отсутствует редактор локальных GPO (например, в Home редакциях Windows), вы можете внести изменение, разрешающее RDP подключение к серверам с непропатченной версия CredSSP, напрямую в реестр с помощью команды:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

ключ реестра AllowEncryptionOracle

После успешного подключения к удаленному RDP компьютеру, нужно установить на нем актуальные обновления безопасности. После отключить политику Encryption Oracle Remediation на клиенте, или верните значение 0 для ключа реестра AllowEncryptionOracle.

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0 /f

Есть еще один сценарий, когда обновления отсутствуют на вашем компьютере. Например, RDP сервер обновлен, но на нем выставлена политика, блокирующая RDP подключения с компьютеров с уязвимой версией CredSSP (Force Updated Clients). В этом случае при RDP подключении вы также увидите ошибку “This could be due to CredSSP encryption oracle remediation”.

Проверьте последнюю дату установки обновлений Windows на вашем компьютере с помощью модуля PSWindowsUpdate или через WMI команду в консоли PowerShell:

gwmi win32_quickfixengineering |sort installedon -desc

qwmi как узнать дату установки последних обновлений безопасности windows


Предыдущая статья Следующая статья


Комментариев: 67 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)