Win10远程桌面连接出现身份验证错误,CredSSP加密Oracle修正解决方法
问题
2018 年 3 月 13 日的初始版本更新了所有受影响平台的 CredSSP 身份验证协议和远程桌面客户端。
缓解措施包括在所有符合条件的客户端和服务器操作系统上安装更新,然后使用包含的“组策略”设置或基于注册表的等效项管理客户端和服务器计算机上的设置选项。 我们建议管理员应用该策略,并尽快在客户端和服务器计算机上将其设置为“强制更新的客户端”或“缓解”。这些更改将需要重启受影响的系统。
请密切关注导致本文后面的兼容性表中的客户端和服务器之间的“阻止”交互的组策略或注册表设置对。
2018 年 4 月 17 日
KB 4093120 中的远程桌面客户端 (RDP) 更新将增强更新的客户端无法连接到尚未更新的服务器时出现的错误消息。
2018 年 5 月 8 日
将默认设置从“易受攻击”更改为“缓解”的更新。
相关的 Microsoft 知识库编号已在 CVE-2018-0886 中列出。
默认情况下,安装此更新后,修补的客户端无法与未修补的服务器进行通信。 使用本文中描述的互操作性矩阵和组策略设置来启用“允许的”配置。
策略路径和设置名称 说明 策略路径:“计算机配置”->“管理模板”->“系统”->“凭据分配” 加密 oracle 修正 此策略设置可应用于使用 CredSSP 组件(例如,远程桌面连接)的应用程序。 CredSSP 协议的某些版本容易受到针对客户端的加密 oracle 攻击。 此策略控制与易受攻击的客户端和服务器的兼容性。 此策略允许你设置针对加密 oracle 漏洞的防护级别。 如果启用此策略设置,将会基于以下选项选择 CredSSP 版本支持: 强制更新的客户端– 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本,且使用 CredSSP 的服务将不接受未修补的客户端。 注意 在所有远程主机支持最新版本之前,不应部署此设置。 缓解– 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本,但使用 CredSSP 的服务将接受未修补的客户端。 易受攻击– 使用 CredSSP 的客户端应用程序将通过支持回退到不安全的版本使远程服务器遭受攻击,但使用 CredSSP 的服务将接受未修补的客户端。 “加密 Oracle 修正组策略”支持以下三个选项,应将这些选项应用于客户端和服务器: 策略设置 注册表值 客户端行为 服务器行为 强制更新的客户端 0 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本。 使用 CredSSP 的服务将不接受未修补的客户端。 缓解 1 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本。 使用 CredSSP 的服务将接受未修补的客户端。 易受攻击 2 使用 CredSSP 的客户端应用程序将通过支持回退到不安全的版本使远程服务器遭受攻击。 使用 CredSSP 的服务将接受未修补的客户端。组策略
设置名称: 加密 Oracle 修正
注意 在所有 Windows 和第三方 CredSSP 客户端支持最新的 CredSSP 版本之前,不应部署此设置。
解决
win+R,打开运行窗口,输入regedit,打开注册表编辑器,
2.
找到路径:计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
在System文件夹内创建文件夹项:\CredSSP\Parameters
在Parameters文件夹内,新建 DWORD(32)位值(D),文件名为AllowEncryptionOracle,值为2
重新远程连接一下,即可正常连接。
如对本文有疑问,请提交到交流论坛,广大热心网友会为你解答!! 点击进入论坛
