適用於:所有云平臺,包括但不限於Azure, 阿里雲,AWS
問題癥結
你的本地機器或者遠程機器, 只有一方安裝了遠程桌面CredSSP漏洞補丁。並且這檯安裝了補丁的機器,禁止不安全的遠程桌面連接。
背景
遠程桌面CredSSP漏洞補丁在2018年3月13號發佈。這個補丁修復了漏洞,並且新增加了一個組策略項:Encryption oracle remediation,來控制是否允許不安全的遠程連接。默認是允許的。
微軟在5月8號發佈了的新的CredSSP漏洞補丁,並且把這個默認值改成禁止不安全的遠程連接。所以可能大量雲平臺,比如阿里雲,Azure, AWS的虛擬機無法通過遠程桌面訪問。具體報錯如下:
* [CN-ZH]出現身份驗證錯誤。要求的函數不受支持遠程計算機:<IP>。這可能是由於CredSSP加密Oracle修正。若要了解詳細信息,請訪問:https://go.microsoft.com/fwlink/?linkid=866660.
* [EN-US]An authentication error has occurred. The function requested is not supported. Remote computer: IP. This could be due to CredSSP encryption oracle remediation. For more information, see https://go.microsoft.com/fwlink/?linkid=866660
如何解決
方案一
客戶端和遠程機器都打上CredSSP漏洞補丁。下面表格列出不同操作系統對應的CredSSP漏洞補丁。這個補丁主要更新了TSpkg.dll文件。下面也列出了更新後的版本號。
| 系統 | TSpkg.dll 版本號 | CredSSP 補丁 |
|---|---|---|
| Windows 7 Service Pack 1 / Windows Server 2008 R2 Service Pack 1 | 6.1.7601.24117 | KB4103718 (Monthly Rollup) |
| KB4103712 | ||
| Windows Server 2012 | 6.2.9200.22432 | KB4103730 |
| KB4103726) | ||
| Windows 8.1 / Windows Sever 2012 R2 | 6.3.9600.18999 | KB4103725 |
| KB4103715 | ||
| RS1 - Windows 10 Version 1607 / Windows Server 2016 | 10.0.14393.2248 | KB4103723 |
| RS2 - Windows 10 Version 1703 | 10.0.15063.1088 | KB4103731 |
| RS3 - Windows 10 1709 | 10.0.16299.431 | KB4103727 |
方案二
如果你暫時不想打這個補丁,可以通過設置組策略項Encryption oracle remediation或者直接修改註冊表,來允許不安全的遠程桌面連接。
使用組策略:
1. 找到組策略項Encryption oracle remediation.在組策略裏的地址如下:
-
CN: 計算機配置>管理模板 > 系統 > Credentials Delegation > Encryption oracle remediation
-
EN: Computer Configuration > Administrative Templates > System > Credentials Delegation > Encryption oracle remediation
-
我的:計算機配置>管理模板>系統>憑據分配>加密 Oracle 修正
2. 把Encryption oracle remediation改成啓用(Enable),保護級別( Protection Level)改成 易受攻擊(Vulnerable).
使用註冊表:
1. 打開註冊表,尋找到路徑:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
2. 如果System 後就沒有CredSSP和Parameters目錄, 自己創建這兩個目錄就好。 3. 在Parameters裏, 新建如下註冊表鍵值:
註冊表類型:DWORD(32-bit) 名字:AllowEncryptionOracle 值: 2