遠程桌面報錯：由于CredSSP加密Oracle修正

在使用windows進行遠程桌面時，出現以下報錯：

根據官方提供信息可知：此問題由Windows于2018年5月8日的更新所導致（CVE-2018-0886 的 CredSSP 更新）。此前已修復在CredSSP 的未修補版本中存在的遠程代碼執(zhí)行漏洞，但在5月8日發(fā)布的更新中則將"加密Oracle修正"默認設置從“易受***”更改為“緩解”的更新。

因此在安裝此更新后， 默認情況下已修補的客戶端無法與未修補的服務端進行通信，并彈出如上圖的錯誤提示。

常見的解決方法：

1、針對已修補的客戶端

通過組策略（較為便捷）： 運行 gpedit.msc 本地組策略，選擇"計算機配置">"管理模板">"系統(tǒng)">"憑據分配">"加密Oracle修正"，選擇"啟用"并選擇"易受***"即可。若組策略沒有出現"加密Oracle修正"，則說明此計算機尚未修補更新。

通過注冊表（針對無組策略功能的家庭版Windows）：運行 regedit 注冊表，跳轉到路徑：HKLM(縮寫)\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters，若無相應表項則需自行創(chuàng)建，在Parameters項的右側欄新建類型為 DWORD (32)位、名稱為"AllowEncryptionOracle"的數據，最后重啟計算機。

2、針對未修補的服務端

修改遠程設置（不建議）：運行 sysdm.cpl 系統(tǒng)屬性，選擇"遠程"，并將"僅允許運行使用網絡基本身份驗證的遠程桌面的計算機連接(建議)"去掉打勾。

安裝更新補?。ㄍ扑]）：網上提供的方法多為在客戶端上修改組策略，但實際上這種方法降低了計算機的安全性，并不符合微軟官方期望，不建議作長期設置。最佳的做法應該是在未修補的計算機上安裝相應的安全更新包，特別是在企業(yè)服務器上。可查詢微軟各操作系統(tǒng)于2018年5月8日的安全更新包進行下載和安裝，以下列舉常見系統(tǒng)版本對應的更新包，分別是：

Windows 10 1703版 —— KB4103731

Windows 8.1 和 Windows Server 2012 R2 —— KB4103715

Windows 7 SP1 和 Windows Server 2008 R2 SP1 —— KB4103712

客戶端和服務器都需要更新，否則，Windows 和第三方 CredSSP 客戶端可能無法連接到 Windows 或第三方主機。 有關導致操作失敗的情況，請參閱以下的互操作性矩陣。

文章參考：

CVE-2018-0886 的 CredSSP 更新

Windows 官方補丁下載中心

KB4103731 - 2018年5月8日 - Windows 10 歷史更新記錄

Windows 8.1 和 Windows Server 2012 R2 更新歷史記錄