Очередная прелесть от Microsoft

Очередная прелесть от Microsoft

В начале марта после очередного обновления на Windows 10 и 7, большое количество людей стало жаловаться, что при попытке подключится к RemoteApp на RDS серверах под Windows Server 2016 / 2012 R2 / 2008 R2, или удаленным рабочим столам других пользователей по протоколу RDP (на Win 10/8/7), стала появляться ошибка:

"Remote Desktop connection
An authentication error has occurred.
The function is not supported."

"Remote Computer: hostname
This could be due to CredSSP encryption oracle remediation.
windows 10 rdp ошибка подключения CredSSP encryption oracle remediation"

"Подключение к удаленному рабочему столу
Произошла ошибка при проверке подлинности.
Указанная функция не поддерживается."

Причиной ошибки может быть исправление шифрования CredSSP.
Данная ошибка связана с тем, что у вас в компании сотрудник отвечающий за IT - поддержку не установил обновления безопасности Windows Server или обычных пользовательских версиях Windows, к котором вы пытаетесь подключится по RDP, с марта 2018 года. Дело в том, что еще в марте 2018 Microsoft выпустила обновление, закрывающее возможность удаленного выполнения кода с помощью уязвимости в протоколе CredSSP (бюллетень CVE-2018-0886). В мае 2018 было опубликовано дополнительное обновление, в котором по-умолчанию клиентам запрещается подключаться к удаленным RDP серверам с уязвимой (не обновленной) версией протокола CredSSP.

Итак если вы не установили накопительные обновления безопасности на RDS серверах Windows с марта этого 2018 года, а на клиентских (Win 10 / 8 / 7) майские обновления установились, то на них при попытке подключится к RDS серверам с не обновленной версией CredSSP будет появляется ошибка о невозможности подключения: This could be due to CredSSP encryption oracle remediation.

Обновления безопасности вызывающие появление данной ошибки следующие:

Windows 7 / Windows Server 2008 R2 — KB4103718
Windows 8.1 / Windows Server 2012 R2 — KB4103725
Windows Server 2016 — KB4103723
Windows 10 1803 — KB4103721
Windows 10 1709 — KB4103727
Windows 10 1703 — KB4103731
Windows 10 1609 — KB4103723

И для восстановления удаленного подключения к рабочему столу можно удалить указанное обновление (но делать этого не рекомендуется, есть более правильное решение).

Для решения проблемы нужно временно на компьютере, с которого вы подключаетесь по RDP, убрать данное уведомление безопасности, блокирующее подключение.

Это можно сделать через редактор локальных групповых политик.

Необходимо запустить редактор локальных GPO: gpedit.msc ;
Перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Credentials Delegation (Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных);
групповая политика Encryption Oracle Remediation 
Найти политику с именем Encryption Oracle Remediation (Исправление уязвимости шифрующего оракула). Включить политику (Enabled/ Включено), а в качестве параметра в выпадающем списке выберите Vulnerable / Оставить уязвимость;изменить значение политики CredSSP на Vulnerable
Осталось обновить политики на компьютере (команда gpupdate /force) и попробовать подключится по RDP.

При включенной политике клиентские приложения с поддержкой CredSSP смогут подключаться даже к не обновленным RDS серверам.
В том случае, если у вас отсутствует редактор локальных GPO (например, в Home редакциях Windows), вы можете внести изменение, разрешающее RDP подключение к серверам с не обновленной версия CredSSP, напрямую в реестр Windows с помощью команды:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

ключ реестра AllowEncryptionOracle

Можно внести изменения сразу на множестве компьютеров в AD с помощью доменной GPO или такого PowerShell скрипта (список компьютеров в домене можно получить с помощью команды Get-ADComputer):

Import-Module ActiveDirectory
$PSs = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $PCs) {
Invoke-Command -ComputerName $computer -ScriptBlock {
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
}
}

После успешного подключения к удаленному RDP серверу нужно установить на нем отсутствующие обновления безопасности через службу Windows Update (проверьте, что служба включена) или вручную. Список обновлений для Windows Server, которые обязательно нужно установить:

Windows Server 2012 R2 / Windows 8: KB4103715
Windows Server 2008 R2 / Windows 7: KB4103712
Windows Server 2016 / Windows 10 1607: KB4103723

Установив обновления, перезагрузив сервера, необходимо отключить политику на клиентах компьютерах.

А можно все сделать гораздо проще, заключить договор обслуживания компьютеров и серверов с компанией ООО "ПрофИТ", специалисты компании сделают все необходимые настройки заранее, что бы не допустить подобных проблем у клиентов.