服務(wù)器遠(yuǎn)程登錄失敗-CredSSP報錯

這幾天用 mstsc Windows 遠(yuǎn)程桌面的朋友可能會遇到錯誤：

原因在于最近 windows悄悄進(jìn)行了一次強(qiáng)制更新，然后部分電腦遠(yuǎn)程登錄出現(xiàn)這樣的錯誤提示：

出現(xiàn)身份驗(yàn)證錯誤。
要求的函數(shù)不收支持。
遠(yuǎn)程計算機(jī)：xxx.xxx.xxx.xxx
遠(yuǎn)程計算機(jī) 這可能是由于CredSSP加密Oracle修正。
若要了解詳細(xì)信息，請訪問 https://go.microsoft.com/fwlink/?linkid=866660

出現(xiàn)身份驗(yàn)證錯誤。要求的函數(shù)不收支持。遠(yuǎn)程計算機(jī) 這可能是由于CredSSP加密Oracle修正。

這都是什么垃圾翻譯呀，狗屁不通。

其實(shí)事情是這樣的：

遠(yuǎn)程桌面使用的是“憑據(jù)安全支持提供程序協(xié)議 (CredSSP) ”，這個協(xié)議在未修補(bǔ)的版本中是存在漏洞的。

于是微軟在 2018 年 3 月 13 日在補(bǔ)丁中解決了這個問題，但是默認(rèn)并沒有強(qiáng)制使用新的協(xié)議，因?yàn)橐坏?qiáng)制使用，假如服務(wù)器端和客戶端不匹配，將無法連接。所以用戶并不會感知到。

在 2018 年 5 月 8 日，微軟在補(bǔ)丁中將客戶端策略提嚴(yán)了一點(diǎn)，mstsc 登錄就會有提示了，就會出現(xiàn)如上的錯誤了，用戶就會知道這事了。

更進(jìn)一步

關(guān)于微軟這次更新，有個配置，更改這個配置可以決定是使用以前的那種連接，還是修補(bǔ)過的連接。這個問題會影響到服務(wù)器端和客戶端 ，所以這個配置在服務(wù)器端和客戶端均可配置。

針對服務(wù)器端

如果這個值是 0，那么要求客戶端必須是修補(bǔ)了 CredSSP 的。
如果這個值是 1，那么要求客戶端可以是沒修補(bǔ) CredSSP 的。
如果這個值是 2，那么要求客戶端可以是沒修補(bǔ) CredSSP 的。（和 1 一樣）

2018 年 5 月 8 日，微軟將這個默認(rèn)值修改為了 1。

針對客戶端

如果這個值是 0，那么要求服務(wù)端必須是修補(bǔ)了 CredSSP 的。（和 1 一樣）
如果這個值是 1，那么要求服務(wù)端必須是修補(bǔ)了 CredSSP 的。
如果這個值是 2，那么要求服務(wù)端可以是沒修補(bǔ) CredSSP 的。

2018 年 5 月 8 日，微軟將這個默認(rèn)值修改為了 1。

也就是說：

0：服務(wù)器端、客戶端都必須是修補(bǔ)了 CredSSP 的。
1：服務(wù)器端沒要求客戶端、但是客戶端要求服務(wù)器端是修補(bǔ)了 CredSSP 的。 
2：服務(wù)器端、客戶端都可以是沒修補(bǔ) CredSSP 的。

怎么處理？

根據(jù)需求，修改這個值，比如現(xiàn)在還沒準(zhǔn)備好全部打補(bǔ)丁，那么就都修改為 2。

法一、在服務(wù)器端、客戶端中運(yùn)行 gpedit.msc 中：“計算機(jī)配置”->“管理模板”->“系統(tǒng)”->“憑據(jù)分配”，這里面有個“加密 Oracle 修正”，改之。

法二、如果是 Windows 10 家庭版，沒有 gpedit.msc，那么就直接改注冊表吧：

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

新建一個 32 位的、DWORD 類型的 AllowEncryptionOracle，然后為其設(shè)置相應(yīng)的值。

注意：

注冊表中可能沒有相應(yīng)的項，那就新建。64 位系統(tǒng)，新建 32 位值才生效。
最后需要重啟。

進(jìn)步型解決：

客戶端下載微軟補(bǔ)丁解決，下載地址：https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-0886 ，選擇配套自己的機(jī)器的補(bǔ)丁包進(jìn)行下載，安裝后即可使用遠(yuǎn)程桌面連接。

此方法屬于順應(yīng)微軟處理漏洞的方式，服務(wù)端客戶端同時打補(bǔ)丁升級系統(tǒng)。因此取名進(jìn)步型解決方法

方法三：（工程師模式）系統(tǒng)管理員請看下文：

（后續(xù)內(nèi)容部分取自：http://www.cftea.com/m/c.asp?docID=8182 ）

關(guān)于微軟這次更新，有個配置，更改這個配置可以決定是使用以前的那種連接，還是修補(bǔ)過的連接。這個問題會影響到服務(wù)器端和客戶端 ，所以這個配置在服務(wù)器端和客戶端均可配置。

【針對服務(wù)器端】

如果這個值是 0，那么要求客戶端必須是修補(bǔ)了 CredSSP 的。

如果這個值是 1，那么要求客戶端可以是沒修補(bǔ) CredSSP 的。

如果這個值是 2，那么要求客戶端可以是沒修補(bǔ) CredSSP 的。（和 1 一樣）

2018 年 5 月 8 日，微軟將這個默認(rèn)值修改為了 1。

【針對客戶端】

如果這個值是 0，那么要求服務(wù)端必須是修補(bǔ)了 CredSSP 的。（和 1 一樣）

如果這個值是 1，那么要求服務(wù)端必須是修補(bǔ)了 CredSSP 的。

如果這個值是 2，那么要求服務(wù)端可以是沒修補(bǔ) CredSSP 的。

2018 年 5 月 8 日，微軟將這個默認(rèn)值修改為了 1。

也就是說：

0：服務(wù)器端、客戶端都必須是修補(bǔ)了 CredSSP 的。

1：服務(wù)器端沒要求客戶端、但是客戶端要求服務(wù)器端是修補(bǔ)了 CredSSP 的。

2：服務(wù)器端、客戶端都可以是沒修補(bǔ) CredSSP 的。

怎么處理？

根據(jù)需求，修改這個值，比如現(xiàn)在還沒準(zhǔn)備好全部打補(bǔ)丁，那么就都修改為 2。

方法一、在服務(wù)器端、客戶端中運(yùn)行 gpedit.msc 中：“計算機(jī)配置”->“管理模板”->“系統(tǒng)”->“憑據(jù)分配”，這里面有個“加密 Oracle 修正”，改之。

方法二、如果是 Windows 10 家庭版，沒有 gpedit.msc，那么就直接改注冊表吧：

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

新建一個 32 位的、DWORD 類型的 AllowEncryptionOracle，然后為其設(shè)置相應(yīng)的值。

注意：

注冊表中可能沒有相應(yīng)的項，那就新建之。

還有我是 64 位系統(tǒng)，但是新建的 64 位值無效，我新建了 32 位值才生效。

最后需要重啟。