在使用windows進行遠程桌面時,出現以下報錯:
根據官方提供信息可知:此問題由Windows於2018年5月8日的更新所導致(CVE-2018-0886 的 CredSSP 更新)。此前已修復在CredSSP 的未修補版本中存在的遠程代碼執行漏洞,但在5月8日發佈的更新中則將"加密Oracle修正"默認設置從“易受***”更改爲“緩解”的更新。
因此在安裝此更新後, 默認情況下已修補的客戶端無法與未修補的服務端進行通信,並彈出如上圖的錯誤提示。
常見的解決方法:
1、針對已修補的客戶端
通過組策略(較爲便捷): 運行 gpedit.msc 本地組策略,選擇"計算機配置">"管理模板">"系統">"憑據分配">"加密Oracle修正",選擇"啓用"並選擇"易受***"即可。若組策略沒有出現"加密Oracle修正",則說明此計算機尚未修補更新。
通過註冊表(針對無組策略功能的家庭版Windows):運行 regedit 註冊表,跳轉到路徑:HKLM(縮寫)\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters,若無相應表項則需自行創建,在Parameters項的右側欄新建類型爲 DWORD (32)位、名稱爲"AllowEncryptionOracle"的數據,最後重啓計算機。
2、針對未修補的服務端
修改遠程設置(不建議):運行 sysdm.cpl 系統屬性,選擇"遠程",並將"僅允許運行使用網絡基本身份驗證的遠程桌面的計算機連接(建議)"去掉打勾。
安裝更新補丁(推薦):網上提供的方法多爲在客戶端上修改組策略,但實際上這種方法降低了計算機的安全性,並不符合微軟官方期望,不建議作長期設置。規範的做法應該是在未修補的計算機上安裝相應的安全更新包,特別是在企業服務器上。可查詢微軟各操作系統於2018年5月8日的安全更新包進行下載和安裝,以下列舉常見系統版本對應的更新包,分別是:
Windows 10 1703版 —— KB4103731
Windows 8.1 和 Windows Server 2012 R2 —— KB4103715
Windows 7 SP1 和 Windows Server 2008 R2 SP1 —— KB4103712
參考:
KB4103731 - 2018年5月8日 - Windows 10 歷史更新記錄
Windows 8.1 和 Windows Server 2012 R2 更新歷史記錄