RDP 身份验证错误：CredSSP 加密 Oracle 修复

安装 2018 年 5 月之后发布的 Windows 安全更新后，在以下情况下，您可能会在 RDP 连接到远程 Windows 服务器或计算机期间遇到 CredSSP 加密 oracle 修复错误：

• 您尝试连接到最近安装的旧 Windows 版本（例如 Windows 10 RTM、或内部版本 1709 或更早版本、Windows Server 2012 R2、Windows Server 2016）的计算机的远程桌面，该计算机上未安装最新的 Windows 安全更新；

• 您正在尝试通过 RDP 连接到长期未安装 Microsoft 更新的计算机；

• 远程计算机阻止了 RDP 连接，因为您的计算机上缺少必要的安全更新。

让我们尝试了解 RDP 错误 CredSSP 加密 Oracle 修复 的含义以及如何修复它。

因此，当尝试连接到运行 Windows Server 2016/2012 R2/2008 R2 的 RDS 服务器上的 RemoteApp 或使用 RDP 协议连接到其他用户的远程桌面（在 Windows 10、8.1 或 7 上）时，会出现错误：

远程桌面连接
发生身份验证错误。
不支持该功能。
远程计算机：主机名
这可能是由于 CredSSP 加密 oracle 修复造成的。

出现此错误的原因是，您尝试通过 RDP 连接的远程 Windows 实例上未安装 Windows 安全更新（至少自 2018 年 3 月以来）。

此错误也可能如下所示：发生身份验证错误。不支持请求的功能。

2018 年 3 月，Microsoft 发布了更新，利用 CredSSP（凭据安全支持提供程序）协议中的漏洞阻止远程代码执行（公告 CVE-2018-0886）。 2018 年 5 月，发布了一个附加更新，默认情况下，该更新会阻止 Windows 客户端使用存在漏洞（未修补）的 CredSSP 协议版本连接到远程 RDP 服务器。

因此，如果您自 2018 年 3 月起未在 Windows RDS/RDP 服务器（计算机）上安装累积安全更新，并且在 RDP 客户端上安装了 2018 年 5 月更新（或更新版本），则当您尝试使用未修补版本的 CredSSP 连接到 RDS 服务器时，会出现错误：这可能是由于 CredSSP 加密 Oracle 修复。

安装以下安全更新后，客户端上会出现 RDP 错误：

• Windows 7/Windows Server 2008 R2 — KB4103718

• Windows 8.1/Windows Server 2012 R2 — KB4103725

• Windows Server 2016 — KB4103723

• Windows 10 1803 — KB4103721

• Windows 10 1709 — KB4103727

• Windows 10 1703 — KB4103731

• Windows 10 1609 — KB4103723

此列表显示 2018 年 5 月以来的 KB 数量；目前您需要下载并安装适用于您的 Windows 版本的最新累积更新包。您可以通过 Windows Update 从 Microsoft 服务器、本地 WSUS 服务器获取最新的安全更新，或者从 Microsoft 更新目录 (https://www.catalog.update.microsoft.com/Home.aspx) 手动下载修补程序 *.msu 文件。例如，要搜索 Windows 10 1803 的 2019 年 8 月更新，您需要使用以下搜索查询：

windows 10 1803 x64 8/*/2019

。下载并安装 Windows 累积更新（在我的示例中，它是“适用于基于 x64 的系统的 Windows 10 版本 1803 的 2019-08 累积更新 (KB4512509)”。

要恢复远程桌面连接，您可以卸载远程计算机上指定的安全更新（但不建议并且您不应该这样做，有更安全、更正确的解决方案）。

要解决连接问题，您需要暂时在通过 RDP 连接的计算机上禁用 CredSSP 版本检查。这可以使用本地组策略编辑器来完成。

1. 运行本地GPO编辑器：gpedit.msc；

2. 转到 GPO 部分计算机配置 -> 管理模板 -> 系统 -> 凭据委派；
   

   

3. 找到名称为加密 Oracle 修复的策略，启用该策略并将保护级别设置为易受攻击；

   

4. 更新计算机上的策略设置（运行

   gpupdate /force

   命令）并尝试通过 RDP 连接到远程服务器。将 Oracle 修复加密策略设置为易受攻击的情况下，支持 CredSSP 的客户端应用程序甚至能够连接到未修补的 RDS/RDP 端点。

加密 Oracle 修复策略提供 3 个可用值来防范 CredSSP 漏洞：

• 强制更新客户端 - 当 RDP 服务器阻止来自未修补客户端的连接时的最高保护级别。通常，应在完全更新整个基础架构并向服务器和工作站的 Windows 安装映像添加最新的安全更新后启用此策略；

• 缓解 - 在此模式下，与具有易受攻击版本的 CredSSP 的 RDP 服务器的传出远程 RDP 连接将被阻止。然而，使用 CredSSP 的其他服务工作正常；

• 易受攻击 — 连接到具有易受攻击版本的 CredSSP 的 RDP 服务器时允许的最低保护级别。

如果您没有本地 GPO 编辑器（例如，在 Windows Home 版本中），您可以直接进行注册表更改，以允许 RDP 连接到具有未修补版本的 CredSSP 的服务器：

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

您可以使用域 GPO 或此类 PowerShell 脚本更改 AD 中多台计算机上的 AllowEncryptionOracle 注册表参数（您可以使用 RSAT-AD-PowerShell 模块中的 Get-ADComputer cmdlet 获取域中的计算机列表）：

$computers = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $computers) {
Invoke-Command -ComputerName $computer -ScriptBlock {
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
}
}

成功连接到远程 RDP 服务器（计算机）后，您需要通过 Windows Update（验证 wuauserv 服务已启用）或手动安装最新的安全更新。从 Microsoft 更新目录网站下载并安装最新的累积 Windows 更新，如上所示。如果安装 MSU 更新时出现错误“更新不适用于您的计算机”，请使用上面的链接阅读文章。

对于不再支持的 Windows XP/Windows Server 2003，您需要安装 Windows Embedded POSReady 2009 的更新。例如：https://support.microsoft.com/en-us/help/4056564。

安装更新并重新启动服务器后，不要忘记禁用客户端上的策略（将其切换到强制更新客户端），或将AllowEncryptionOracle注册表参数的值返回到0。在这种情况下，您的计算机将不会面临连接到CredSSP未受保护的主机和利用该漏洞的风险。

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

还有另一种情况是您的计算机上未安装更新。例如，RDP 服务器已更新，但它有一个策略阻止来自具有易受攻击版本的 CredSSP 的计算机的 RDP 连接（强制更新客户端策略设置）。在这种情况下，您还会看到 RDP 连接错误“这可能是由于 CredSSP 加密 Oracle 修复”。

使用 PSWindowsUpdate 模块或通过 PowerShell 控制台中的 WMI 命令检查计算机上的 Windows 更新上次安装日期：

gwmi win32_quickfixengineering |sort installedon -desc