Ошибка CredSSP при подключении по RDP

Данная ошибка связана с установкой обновлений CredSSP для CVE-2018–0886. Проблема решается установкой обновления.

Введение

13 марта 2018 г. выпущено обновление безопасности Windows протокола проверки подлинности CredSSP закрывающее уязвимость CVE-2018–0886. Уязвимость в протоколе Credential Security Support Provider (CredSSP — провайдер поддержки безопасности учетных данных) допускала удаленный запуск произвольного кода на уязвимой системе.

8 мая 2018 г. Microsoft изменила уровень безопасности подключения с Vulnerable на Mitigated и начались проблемы подключения к удаленному рабочему столу по RDP.

После ввода учетных данных появляется ошибка:

Произошла ошибка при проверке подлинности.
Указанная функция не поддерживается.
Причиной ошибки может быть исправление шифрования CredSSP

credssp-error.png

Решение 1. Установить обновление безопасности Windows на сервере.

Рекомендуемый способ

  • Зайдите на страницу уязвимости CVE-2018–0886
  • В секции Affected Products из столбца Downloads выберите подходящий файл, скачайте и установите.

Решение 2. Удалить обновление безопасности Windows на клиенте.

Не рекомендуется

Решение 3. Отредактировать политику безопасности на клиенте/сервере.

Использовать стоит, если нет возможности подключитсья к серверу и установить обновление. После установки обновления, политику нужно вернуть в исходное состояние.

Откройте редактор локальной групповой политики:

  • Нажмите Win+R
  • Введите команду gpedit.msc и нажмите Enter

Измените параметры безопасности:

  • Конфигурация компьютера (Computer Configuration) > Административные шаблоны (Administrative Templates) > Система (System) > Передача учетных данных (Credentials Delegation)
  • Откройте параметр «Исправление уязвимости шифрующего оракула» (Encryption Oracle Remediation)
  • Выберите «Включено» («Enabled»).
  • Уровень защиты установить «Оставить уязвимость» («Vulnerable»).

credssp.png

У политики присутствует 3 опции:

  • Vulnerable – клиенты могут подключаться на уязвимые машины.
  • Mitigated – клиенты не могут подключаться к уязвимым серверам, но серверы могут принимать уязвимые клиенты.
  • Force Updated Clients – безопасный уровень взаимодействия клиентов.

Если на клиентской машине отсутствует редактор локальной групповой политики, изменение вносятся в реестр:

  • Запустите командную строку под администратором, для этого нажмите правой кнопкой мыши на кнопке "Пуск" и выберите пункт меню запуска командной строки под администратором. Запуск командной строки под администратором
  • Введите команду и нажмите Enter
    REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2
  • Может потребоваться перезагрузка.

Для возвращения в исходное состояние, выполните команду:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Похожие записи

Обновить bash на Windows 10

Если, запуская подсистему Linux мы получаем сообщение о необходимости обновить пакеты, то можно решить проблему удалив подсистему и поставив заново. Но тогда удалятся и данные, а можно данные сохранить, проведя процедуру upgrade подсистемы linux.

Жесткие и символические ссылки в Windows

Используя жёсткие ссылки файлов и каталогов, можно иметь несколько различных имён файлов или каталогов, ссылающихся на одни и те же данные. В windows механизм работает в файловой системе NTFS. Статья о том, как сделать такие ссылки в windows.