Отключить Credssp Windows 10

Обновлено: 21.11.2024

После установки обновлений безопасности Windows, выпущенных после мая 2018 г., вы можете столкнуться с ошибкой исправления оракула шифрования CredSSP при RDP-подключении к удаленному серверу Windows или компьютеру в следующих случаях:

  • Вы пытаетесь подключиться к удаленному рабочему столу компьютера с недавно установленной старой версией Windows (например, Windows 10 RTM или сборкой 1709 или более ранней, Windows Server 2012 R2, Windows Server 2016), на которой установлена ​​последняя Обновления безопасности Windows не установлены;
  • Вы пытаетесь подключиться по RDP к компьютеру, на котором давно не устанавливались обновления Microsoft;
  • Удаленный компьютер заблокировал RDP-подключение, так как на вашем компьютере отсутствуют необходимые обновления безопасности.

Давайте попробуем понять, что означает ошибка RDP CredSSP исправление оракула шифрования и как ее исправить.

Итак, при попытке подключения к RemoteApp на серверах RDS под управлением Windows Server 2016/2012 R2/2008 R2 или к удаленным рабочим столам других пользователей по протоколу RDP (в Windows 10, 8.1 или 7) появляется ошибка :

Подключение к удаленному рабочему столу
Произошла ошибка аутентификации.
Функция не поддерживается.
Удаленный компьютер: имя хоста
Это может быть связано с исправлением оракула шифрования CredSSP.

Эта ошибка возникает из-за того, что обновления безопасности Windows (по крайней мере, с марта 2018 года) не были установлены на удаленном экземпляре Windows, к которому вы пытаетесь подключиться по RDP.

Таким образом, если вы не устанавливали накопительные обновления безопасности на свои серверы Windows RDS/RDP (компьютеры) с марта 2018 г., а на RDP-клиенты были установлены майские обновления 2018 г. (или новее), то при попытке подключения к RDS-серверам с неисправленной версией CredSSP появляется ошибка: это может быть связано с исправлением CredSSP шифрования оракула.

Ошибка RDP на клиентах появляется после установки следующих обновлений безопасности:

  • Windows 7/Windows Server 2008 R2 — KB4103718
  • Windows 8.1/Windows Server 2012 R2 — KB4103725
  • Windows Server 2016 — KB4103723
  • Windows 10 1803 — KB4103721
  • Windows 10 1709 — KB4103727
  • Windows 10 1703 — KB4103731
  • Windows 10 1609 — KB4103723

Чтобы восстановить подключение к удаленному рабочему столу, вы можете удалить указанное обновление безопасности на удаленном компьютере (но это не рекомендуется и не следует этого делать, есть более безопасное и правильное решение).

Чтобы решить проблему с подключением, вам необходимо временно отключить проверку версии CredSSP на компьютере, с которого вы подключаетесь через RDP. Это можно сделать с помощью локального редактора групповой политики.

  1. Запустите локальный редактор GPO: gpedit.msc;
  2. Перейдите в раздел GPO «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Делегирование учетных данных»;
  3. Найдите политику с названием Encryption Oracle Remediation, включите политику и установите для уровня защиты значение Vulnerable; (запустите команду gpupdate /force) и попробуйте подключиться к удаленному серверу через RDP. Если для политики Oracle Remediation Encryption задано значение Vulnerable, клиентские приложения с поддержкой CredSSP смогут подключаться даже к неисправленным конечным точкам RDS/RDP.

    4. Политика Encryption Oracle Remediation предлагает 3 доступных значения для защиты от уязвимости CredSSP:

    • Принудительно обновленные клиенты — самый высокий уровень защиты, когда RDP-сервер блокирует подключение от неисправленных клиентов. Обычно эту политику следует включать после того, как вы полностью обновили всю инфраструктуру и добавили последние обновления безопасности в установочные образы Windows для серверов и рабочих станций;
    • Смягченный — в этом режиме блокируется исходящее удаленное RDP-подключение к RDP-серверам с уязвимой версией CredSSP. Однако другие службы, использующие CredSSP, работают нормально;
    • Уязвимый — разрешен самый низкий уровень защиты при подключении к RDP-серверу с уязвимой версией CredSSP.

    Если у вас нет локального редактора GPO (например, в редакциях Windows Home), вы можете внести непосредственное изменение в реестр, позволяющее RDP-подключение к серверам с неисправленной версией CredSSP:

    REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

    Вы можете изменить параметр реестра AllowEncryptionOracle на нескольких компьютерах в AD, используя объект групповой политики домена или такой сценарий PowerShell (вы можете получить список компьютеров в домене с помощью командлета Get-ADComputer из модуля RSAT-AD-PowerShell) :

    $computers = (Get-ADComputer -Filter *).DNSHostName
    Foreach ($computer в $computers) Invoke-Command -ComputerName $computer -ScriptBlock REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies \System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
    >
    >

    После успешного подключения к удаленному RDP-серверу (компьютеру) вам необходимо установить последние обновления безопасности через Центр обновления Windows (убедитесь, что служба wuauserv включена) или вручную. Загрузите и установите последние накопительные обновления Windows с веб-сайта каталога обновлений Microsoft, как показано выше. Если при установке обновления MSU появляется ошибка «Обновление не применимо к вашему компьютеру», прочтите статью по ссылке выше.

    После установки обновлений и перезагрузки сервера не забудьте отключить политику на клиентах (либо переключите ее на Force Updated Clients), либо верните значение параметра реестра AllowEncryptionOracle в 0. В этом случае ваш компьютер не будет подвергаться риску подключения к незащищенным хостам CredSSP и эксплуатации уязвимости.

    REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

    Есть еще один сценарий, при котором обновления не устанавливаются на ваш компьютер. Например, RDP-сервер обновлен, но у него есть политика, которая блокирует RDP-соединения с компьютеров с уязвимой версией CredSSP (параметр политики Force Updated Clients). В этом случае вы также увидите ошибку подключения RDP «Это может быть связано с исправлением оракула шифрования CredSSP».

    Проверьте дату последней установки обновлений Windows на вашем компьютере с помощью модуля PSWindowsUpdate или с помощью команды WMI в консоли PowerShell:

    gwmi win32_quickfixengineering |сортировка установленных по -desc


    В этом примере показано, что последние обновления безопасности Windows были установлены 17 июня 2018 г. Загрузите и установите новый файл накопительного обновления MSU для своей версии Windows (см. выше).

    При попытке подключения к компьютеру, на котором не установлено обновление для исправления ошибок оракула шифрования CredSSP, подключение к удаленному рабочему столу отобразит сообщение об ошибке, сообщающее о том, что ошибка аутентификации произошла из-за исправления оракула шифрования CredSSP.< /p>

    Мохамед — эксперт по облачной инфраструктуре с опытом разработки и внедрения в AWS и Azure. В настоящее время он работает архитектором облачной инфраструктуры в Amazon Web Services.

    • Инструмент EC2 Image Builder: создавайте идеальные образы ВМ на AWS — среда, 19 января 2022 г.
    • Настройка пространств имен DFS для файловых серверов Amazon FSx для Windows — пятница, 7 января 2022 г.
    • Диспетчер сеансов AWS Systems Manager: безопасное подключение инстансов EC2 — среда, 22 декабря 2021 г.

    Проблема ^

    В марте корпорация Майкрософт выпустила обновление для системы безопасности, устраняющее уязвимости в протоколе Credential Security Support Provider (CredSSP), используемом подключениями по протоколу удаленного рабочего стола (RDP) для клиентов Windows и Windows Server.

    Ранее вы могли удаленно подключаться с обновленной машины к машинам без обновления. Однако с последним обновлением, выпущенным в мае этого года, Microsoft усилила безопасность, и вы больше не можете подключаться к компьютерам без обновления.

    Вы столкнетесь с ошибкой исправления оракула шифрования CredSSP, если у вас есть приложения или службы, такие как подключение к удаленному рабочему столу, которые используют CredSSP на обновленной машине. Аутентификация не будет работать, и вы получите следующее сообщение об ошибке:

    Произошла ошибка аутентификации. Запрошенная функция не поддерживается. Удаленный компьютер: это может быть связано с исправлением оракула шифрования CredSSP.

    Ошибка аутентификации RDP

    Решение ^

    Чтобы решить эту проблему, необходимо установить обновление на серверы. Однако, если вам необходимо подключиться к компьютеру, на котором не установлено обновление, вы можете понизить уровень защиты до «Уязвимый». Это можно сделать либо с помощью групповой политики, либо путем изменения реестра.

    Нужный параметр групповой политики — Encryption Oracle Remediation. Он обеспечивает три уровня защиты:

    • Принудительное обновление клиентов: это самый высокий уровень защиты, поскольку он требует применения обновления ко всем клиентам, с которыми вы собираетесь взаимодействовать с помощью CredSSP. Поэтому не выбирайте этот вариант до применения обновления ко всем вашим клиентам и серверам.
    • Смягченный: этот уровень блокирует приложения, такие как подключение к удаленному рабочему столу, для подключения к серверам, на которых нет обновления. Однако службы, использующие CredSSP, будут работать.
    • Уязвимый: это самый низкий уровень защиты. Это позволит вам удаленно подключаться к серверам с помощью RDP. Однако это сделает серверы уязвимыми для атак.

    Чтобы установить уровень защиты "Уязвимый" с помощью групповой политики, выполните следующие действия:

    1. Выполнить gpedit.msc.
    2. Перейдите по следующему пути: Конфигурация компьютера > Административные шаблоны > Система > Делегирование учетных данных.
    3. Измените следующий параметр: Encryption Oracle Remediation.
    4. Установите для него значение "Включено" и установите уровень защиты "Уязвимый".

    Изменить уровень защиты на Уязвимый

    Также это можно сделать через реестр. Это обеспечит уровни защиты с помощью числовых значений:

    • Принудительное обновление клиентов: 0
    • Смягчено: 1
    • Уязвимость: 2

    Чтобы изменить раздел реестра на Vulnerable, выполните следующие команды:

    Модуль хранения PowerShell: инициализация, создание разделов, форматирование, проверка использования диска и изменение размера диска

    В своем последнем посте я дал общее представление об управлении дисками с помощью PowerShell. Сегодня я покажу вам.

    Управление дисками Windows PowerShell

    В этой серии я познакомлю вас с управлением дисками в Windows PowerShell. В сегодняшнем посте я рассматриваю некоторые общие моменты.

    Резервное копирование журнала событий безопасности Windows на SQL Server Express с помощью PowerShell

    Модуль PowerShell My ADSecurityLogArchivingManager — это настраиваемый инструмент для извлечения данных мониторинга, который позволяет экспортировать журналы событий безопасности.

    Использование динамических групп Azure AD для ресурсов Microsoft 365

    Azure AD поддерживает так называемые динамические группы. В динамическую группу могут входить устройства или пользователи, для которых вы задаете запрос.

    Использование удаленной помощи в Microsoft Intune

    Многие компании используют Microsoft Intune как часть Endpoint Manager для удаленной подготовки, настройки и управления клиентами. Однако пока.

    Экспорт и импорт любого дистрибутива Linux в подсистему Windows для Linux (WSL)

    В своем последнем сообщении я описал, как установить и управлять подсистемой Windows для Linux (WSL) в Windows 11.

    Синхронизация файлов между ПК и мобильными устройствами с помощью Synology Drive

    Если вы хотите синхронизировать файлы между несколькими компьютерами и мобильными устройствами, воспользуйтесь известными облачными сервисами от Microsoft или.

    Установите подсистему Windows для Linux (WSL) в Windows 11

    С тех пор, как в Windows была добавлена ​​поддержка подсистемы Windows для Linux (WSL), это стало проще для администраторов и разработчиков.

    Синхронизируйте пароли с KeePass в OneDrive, Google Диск и Dropbox

    KeePass — это менеджер паролей с открытым исходным кодом, используемый для хранения паролей и другой информации. Однако с использованием современных облачных хранилищ и.

    Защита RDP-соединений с помощью Remote Credential Guard

    Передача учетных данных по сети дает злоумышленникам возможность похитить личность пользователя. Это особенно.

    SophiApp: настройка параметров Windows 10 с помощью графического интерфейса

    Перед созданием «золотого» образа Windows 10 для целей развертывания большинство организаций меняют многие настройки по умолчанию.

    Предотвратите атаки программ-вымогателей на общие сетевые ресурсы с помощью диспетчера ресурсов файлового сервера (FSRM)

    Каждую неделю кажется, что еще одна компания становится жертвой скоординированной атаки программ-вымогателей. Пока предлагают несколько компаний.

    Создавайте настраиваемые атрибуты AD и управляйте ими с помощью PowerShell

    В этой статье я покажу вам, как расширить схему AD, создать настраиваемые атрибуты и управлять ими.

    Что такое бессерверные вычисления? Введение в AWS Lambda

    Термин "бессерверные вычисления" звучит очень красиво, но что он на самом деле означает? В этом посте я представлю.

    Удаленное удаление программ с помощью PowerShell

    Microsoft предлагает несколько вариантов удаления установленных программ с помощью командной строки или сценария.

    Диспетчер удаленных рабочих столов с сервером Devolutions: управление безопасным привилегированным доступом

    Узнайте, как совместно использовать Devolutions Remote Desktop Manager и Devolutions Server для безопасного управления привилегированным доступом.

    Активировать режим расширенного сеанса для виртуальных машин Ubuntu в Hyper-V

    Расширенный режим сеанса улучшает интеграцию гостевой ОС с хостом, тем самым значительно улучшая взаимодействие с пользователем.

    Повышение цен на Microsoft 365: экономьте на гибридном лицензировании

    С 1 марта 2022 г. цены на некоторые подписки Microsoft 365 и Office 365 увеличатся на 25 долларов США.

    Начало работы с модулем PSReadLine для PowerShell

    PSReadLine — это модуль, созданный Microsoft для настройки среды редактирования командной строки в PowerShell. Он предлагает множество.

    Установите Boto3 (AWS SDK для Python) в Visual Studio Code (VS Code) в Windows

    В этом руководстве я покажу вам, как установить Boto3, AWS SDK для Python, в бесплатном Visual Visual от Microsoft.

    Также столкнулся с этим за последние пару недель. Я нашел обходной путь до того, как увидел это, но спасибо за публикацию объяснения причин, лежащих в его основе.

    Здравствуйте, Паоло,
    Большое спасибо, что поделились со мной такой блестящей идеей. Однако мы должны учитывать, что многие ИТ-администраторы не предпочитают применять обновления на своих серверах и клиентах сразу. Они регулярно делают это поэтапно, чтобы избежать неожиданного поведения обновления. Вот почему первое, что вы должны сделать, это либо изменить групповую политику, либо реестр, чтобы обойти проблему и продолжить свои операции. Кроме того, когда я проверял это в тестовых лабораториях или на сайтах клиентов, перезагрузка не требовалась.

    Наконец, когда компания решит обновить все клиенты и серверы, было бы лучше изменить групповую политику с контроллера домена, чтобы избежать повторения задач на всех клиентах/серверах, для которых ранее была изменена политика.< /p>

    В производственной среде вы не можете просто проверять/сканировать обновления с помощью PowerShell. Обычно они используют SCCM, WSUS или любой сторонний инструмент.
    Однако ваш способ мышления очень хорош для компьютеров рабочей группы.

    Я согласен с вами в управлении серверами с помощью SCCM, который использует WSUS, и я также следую здравому смыслу применения изменений в тестовом кольце и после положительного результата перехода к следующему. Имейте в виду, что мы, как администраторы, применяем ту же общую практику к групповым политикам и изменениям в реестре.

    Если эта проблема приводит к сбою, это означает, что некоторые из серверов не были исправлены, и запрос или инцидент необходимо обрабатывать в соответствии со службой.
    Что касается производственной среды, это зависит от вашего доступа и ответственности и, что наиболее важно, от того, какой процесс применить для внесения любых изменений, запланированы ли обновления для исправлений во вторник или через 1 месяц и т. д.

    Но в этом случае на самом деле стратегия смягчения последствий требует больше времени для тестирования и развертывания, чем для однократного исправления. В моем случае для обходных путей я предложил rdp к непропатченному клиенту, который был в автономном режиме, и использовать его в качестве переходного узла для rdp к непропатченным хостам, повезло, что в моем случае хосты для патча были действительно бесконечно малым процентом.

    Протокол Credential Security Support Provider Protocol или CredSSP — это протокол поддержки безопасности, который используется для аутентификации пользователей через SSPI. CredSSP используется для делегирования учетных данных пользователя на удаленный сервер с использованием зашифрованного канала TLS. Microsoft выпускает обновление в марте 2018 года для исправления уязвимостей, связанных с CredSSP. Это обновление сломало вход в протокол удаленного рабочего стола (RDP) с помощью CredSSP. Это привело к тому, что многие пользователи не могут войти в сеансы RDP.

    Ошибка исправления Oracle шифрования CredSSP

    Если обновление установлено и мы пытаемся подключиться к удаленному RDP-серверу, появляется следующее сообщение об ошибке при сбое RDP-подключения.

    Исправить с помощью конфигурации компьютера (групповая политика)

    Обновление безопасности привело к ошибке. Откатом этого обновления эту ошибку можно исправить, но это не самый лучший и даже хороший способ. Потому что откат обновления делает системы уязвимыми из-за проблем с безопасностью. Для исправления этой ошибки CredSSP можно использовать конфигурацию компьютера или групповую политику. Сначала откройте редактор локальной групповой политики

    • Откройте окно запуска Windows (WIN+R)
    • Введите gpedit.msc, чтобы открыть Конфигурацию компьютера.
    • Перейдите в раздел Конфигурация компьютера -> Административный шаблон -> Система -> Делегирование учетных данных -> Зашифровать исправление Oracle.

    Выберите Encryption Oracle Remediation, как показано ниже.

    В разделе «Восстановление Encryption Oracle» выберите «Включено», как показано ниже. Затем в Уровень защиты выберите значение Уязвимый. Последний шаг — нажать кнопку «Применить».

    Шифрование Oracle Remediation включено и уязвимо

    Исправить через редактор реестра

    Еще один способ исправить аутентификацию CredSSP с ошибкой RDP — использовать редактор реестра. Сначала откройте редактор реестра, запустив regedit в окне запуска.

    При подключении к удаленному рабочему столу с помощью протокола удаленного рабочего стола (RDP) вы можете увидеть на своем компьютере это сообщение об ошибке: «Произошла ошибка аутентификации. Это может быть связано с исправлением оракула шифрования CredSSP». Это сообщение об ошибке появляется из-за неправильных настроек политики или поврежденных проблем с реестром. Если вы столкнулись с какой-либо проблемой, подобной этой, выполните следующие действия, чтобы решить проблему.

    Исправить — настроить параметры групповой политики —

    Настройте параметры групповой политики на своем компьютере, чтобы решить эту проблему.

    <р>1. Нажмите одновременно клавиши Windows+R, чтобы открыть окно Выполнить на вашем компьютере.

    <р>2. В окне Выполнить введите «gpedit.msc». Теперь нажмите «ОК», чтобы открыть редактор локальной групповой политики.

    <р>3. Когда слева откроется окно Редактор локальной групповой политики, перейдите сюда-

    Конфигурация пользователя > Административные шаблоны > Система > Делегирование учетных данных

    <р>4. С правой стороны прокрутите вниз, а затем дважды щелкните пункт «Восстановление Encryption Oracle», чтобы изменить его.

    <р>6. Теперь установите для параметров значение «Включено», чтобы включить политику.

    <р>7. Таким же образом установите для параметра Уровень защитыl значение «Уязвимый».

    <р>8. Наконец, нажмите «Применить», а затем «ОК», чтобы сохранить изменения на вашем компьютере.

    Закройте окно Редактор групповой политики.

    Попробуйте еще раз подключиться к RDP-подключению. Вы сможете это сделать.

    Исправить-2 Изменить настройки реестра-

    Если изменение параметров политики не помогло, редактирование параметров реестра на вашем компьютере может решить проблему.

    <р>1. Нажмите на поле Поиск и введите «regedit».

    <р>2. Затем вам нужно нажать клавишу «Ввод» на клавиатуре, чтобы получить доступ к реестру.

    <р>3. Теперь разверните папки таким образом-

    <р>4. Затем щелкните правой кнопкой мыши пробел справа, затем нажмите «Создать>», а затем нажмите «Ключ».

    <р>5. Назовите новый ключ «CredSSP».

    <р>6. Теперь с левой стороны щелкните правой кнопкой мыши «CredSSP», затем нажмите «Создать>», а затем нажмите «Ключ».

    <р>7. Назовите новый подраздел «Параметры».

    <р>8. Таким же образом справа щелкните правой кнопкой мыши пробел, затем нажмите «Создать>», а затем нажмите «Значение DWORD (32-разрядное)».

    <р>9. Назовите новое значение DWORD как «AllowEncryptionOracle».

    <р>10. Затем дважды щелкните значение двойного слова «AllowEncryptionOracle», чтобы изменить его.

    <р>11. В окне Редактировать значение DWORD (32-разрядное) установите для параметра «Основа» значение «Десятичный».

    <р>12. Теперь установите для параметра «Значение данных» значение «2».

    <р>13. Нажмите «ОК», чтобы сохранить изменения на своем компьютере.

    Закройте окно Редактор реестра.

    Перезагрузите компьютер.

    После перезагрузки компьютера попробуйте снова подключиться к RDP-подключению.

    Ваша проблема решена.

    Самбит — инженер-механик по квалификации, который любит писать о Windows 10 и решениях самых странных проблем.

    Читайте также: