Ошибка RDP подключения: исправление шифрования CredSSP

Май, 11th 2018Рубрика: Windows 15005
Подписаться на комментарии по RSS

Произошла ошибка при проверке подлинности. Указанная функция не поддерживается.Причиной ошибки может быть исправление шифрования CredSSP

Утро пятницы началось с жалоб некоторых пользователей на невозможность подключится к удаленному рабочему столу Windows Server 2008 R2 и Windows Server 2012 R2.

Произошла ошибка при проверке подлинности. Указанная функция не поддерживается.
Причиной ошибки может быть исправление шифрования CredSSP. Дополнительные сведения см. статье https://go.microsoft.com/fwlink/?linkid=866660

Причиной отказа в подключении послужило обновление безопасности Windows, закрывающее уязвимости в протоколе CredSSP (бюллетень CVE-2018-0886), в результате чего клиентам запрещалось подключаться к удаленным RDP серверам с непропатченой версией CredSSP. Таким образом, клиентские машины, установившие майские обновления остались не при делах.

Есть несколько путей решения проблемы. Наиболее правильным я считаю всё-таки установку обновления для закрытия уязвимости CredSSP на сервере, однако такое решение может выйти боком в некоторых случаях. Приведу простой пример когда не стоит гнаться за обновлениями.

В сети имеются компьютеры на старой версии Mac OS X (10.7.5), для которых не существует свежей версии RDP-клиента и после такого обновления теряется возможность работы с сервером. Вопрос безопасности соединения мобильных пользователей в таком случае решается VPN туннелем.

Так что, для начала рассмотрим вариант, позволяющий убрать уведомление безопасности и блокировку подключения с установленным обновлением безопасности без обновления самого сервера. Удаление самого обновления, конечно решает проблему, но неужели вы будете заниматься этим постоянно?

Отключение уведомления об ошибке шифрования CreedSSP на клиенте

Можно пойти двумя путями - внести изменения через редактор локальных групповых политик (не прокатит в редакциях Windows Home), либо напрямую в реестр с помощью командной строки. Второй способ более быстрый и универсальный - в командной строке, запущенной от имени администратора, выполним:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Если же вам удобнее использовать редактор локальных групповых политик, то запустив редактор gpedit.msc, переходим в раздел:

Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных
(Computer Configuration -> Administrative Templates -> System -> Credentials Delegation)

Открываем параметр с именем "Исправление уязвимости шифрующего оракула" (Encryption Oracle Remediation), и нажимаем "Включено" ("Enabled"). Уровень защиты ставим как "Оставить уязвимость" (Vulnerable).

Обновить политики на компьютере можно командой, после чего подключение по RDP должно заработать:

gpupdate /force

Установка обновления для исправления шифрования CreedSSP на сервере

Установить отсутствующие обновления безопасности на сервере можно через службу Windows Update или вручную. Чтобы не тянуть кучу лишнего, вот прямые ссылки на обновления для разных версий Windows Server:

  • Windows Server 2012 R2 / Windows 8: KB4103715
  • Windows Server 2008 R2 / Windows 7: KB4103712
  • Windows Server 2016 / Windows 10 1607: KB4103723

Учтите, что после установки обновления сервер уйдет в перезагрузку.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 23

  1. 2018-05-14 в 06:25:22 | Maksud

    Спасибо больше помогло ))

  2. 2018-05-14 в 08:03:14 | Аноним

    Спасибо за информацию. Винда конечно в своем репертуаре...

  3. 2018-05-14 в 09:18:44 | Юлия

    спасибо очень выручили, бухгалтерия наша благодарна

  4. 2018-05-14 в 10:45:34 | nikolay_m

    Вот у майкрософт всегда так - одно лечим, другое калечим. А что делать если до сих пор часть клиентов сидит на Windows XP а другая часть на Windows 10. Получается делаем выбор, либо работаю те, либо другие?

  5. 2018-05-14 в 10:49:55 | dre@mer]]>avatar]]>

    nikolay_m, выйти из такой ситуации можно отключением уведомлений об ошибке шифрования CreedSSP на компах с обновлениями, о чем писал в самом начале. Если же сервер уже обновили, то тоже есть вариант - отключить Network Level Authentication на сервере, хотя это тоже костыль, причём, могут появиться недовольные среди пользователей, особенно те кто пароли сохраняет для подключения.

  6. 2018-05-14 в 11:16:14 | Сергей

    Спасибо огромное. Помогло!

  7. 2018-05-14 в 11:41:58 | J011Y RoGeR

    Мужик! Ты это. Мужик. Спасибо.

  8. 2018-05-14 в 12:05:39 | Дмитрий

    Помогло

  9. 2018-05-14 в 15:37:16 | Валерий

    Спасибо! Помогли восстановить связь с торговым терминалом на VDS сервере.

  10. 2018-05-14 в 21:39:17 | Ignat

    Как же задолбали эти обновления да еще и насильственным путём! Вот ведь всё работало, всё устраивало, а теперь танцы с бубном. На сервер обновление ставить не стал, слишком много геморроя со старыми машинами.

    Отключил через реестр на новых машинах с Windows 10 как вы написали, пока пусть живут так. На семерке обновления отключены, ставлю только которые сам считаю нужными.

    Золотое правило "Не трогай пока работает" никто не отменял. Спасибо за статью

  11. 2018-05-15 в 08:53:18 | Assa

    Респект ! Помогло.

  12. 2018-05-15 в 09:21:07 | НастяКот

    Cегодня тоже не смогла подключиться к серверу, у меня Windows 10, на сервере 2008R2. Так как к управлению сервером прав нет, отключила у себя уведомление. Теперь всё заходит, спасибо :)

  13. 2018-05-15 в 09:35:40 | mickael

    Лаконично и по делу, спасибо!

  14. 2018-05-15 в 09:41:25 | Сергей

    Спасибо

  15. 2018-05-16 в 15:04:51 | Владимир

    Огромное спасибо! Помогло устранить ошибку.

  16. 2018-05-16 в 15:25:54 | Илья

    Спасибо за решение! =)

  17. 2018-05-18 в 11:50:27 | василий

    спасибо брат! ты меня спас! помогло!!

  18. 2018-05-19 в 22:57:20 | Гилфойл

    Судя по всему в обновлениях следующего месяца на RDS серверах майкрософтовцы также поменяют значение политики по-умолчанию с текущего Mitigated на более жесткое Force updated clients. Таким образом, сервера будут полностью блокировать подключение с уязвимых CredSSP клиентов.

  19. 2018-05-30 в 16:33:13 | Андрей

    Вот только после установки обновления на сервере (WS2012r2) сервер не загружается. Приходится откатывать в безопасном режиме.

  20. 2018-06-07 в 09:27:01 | Роман

    Мой спаситель!!! Спасибо тебе милый человек.

  21. 2018-06-13 в 12:59:16 | Андрей

    Спасибо огромное!!! Заработало!!!

  22. 2018-06-18 в 12:21:34 | see

    огонь ! все работает

  23. 2018-07-04 в 11:03:52 | Комментатор 155]]>avatar]]>

    Обновления для всех систем с офиц. сайта Microsoft https://remotehelper.ru/administrirovanie/oshibka-proverki-podlinnosti-shifrovaniya-credssp-pri-podklyuchenii-po-rpd

ваш комментарий будет опубликован после проверки
на указанный адрес будет отправлено письмо с кодом активации. Вы можете настроить собственный профиль и стать активным участником или автором.