Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

RDP認証エラー:CredSSP暗号化Oracle修復

2018年5月以降に発行されたWindowsセキュリティ更新プログラムをインストールした後、CredSSP暗号化オラクル修復に直面する可能性があります 次の場合に、リモートWindowsサーバーまたはコンピューターへのRDP接続中にエラーが発生しました。

  • 最近インストールされた古いWindowsバージョン(たとえば、Windows 10 RTM、またはビルド1709以前のWindows Server 2012 R2、Windows Server 2016)を搭載したコンピューターのリモートデスクトップに接続しようとしています。 Windowsセキュリティアップデートはインストールされていません;
  • Microsoftアップデートが長期間インストールされていないコンピューターにRDP経由で接続しようとしています。
  • 必要なセキュリティ更新プログラムがコンピューターにないため、リモートコンピューターがRDP接続をブロックしました。

RDPエラーCredSSP暗号化オラクル修復が何であるかを理解してみましょう 手段とそれを修正する方法。

そのため、Windows Server 2016/2012 R2 / 2008 R2を実行しているRDSサーバー上のRemoteAppに接続しようとすると、またはRDPプロトコル(Windows 10、8.1、または7)を使用して他のユーザーのリモートデスクトップに接続しようとすると、エラーが表示されます。

リモートデスクトップ接続
認証エラーが発生しました。
この機能はサポートされていません。
リモートコンピューター:ホスト名
これは、CredSSP暗号化オラクル修復が原因である可能性があります。

RDP認証エラー:CredSSP暗号化Oracle修復

このエラーは、Windowsセキュリティアップデート(少なくとも2018年3月以降)が、RDP経由で接続しようとしているリモートWindowsインスタンスにインストールされていないために発生します。

このエラーは次のようにもなります。認証エラーが発生しました。要求された機能はサポートされていません。

2018年3月、マイクロソフトは、CredSSP(資格情報セキュリティサポートプロバイダー)プロトコル(セキュリティ情報CVE-2018-0886)の脆弱性を使用してリモートコードの実行をブロックするアップデートをリリースしました。 2018年5月に、追加の更新プログラムが公開されました。これにより、デフォルトで、Windowsクライアントが脆弱な(パッチが適用されていない)バージョンのCredSSPプロトコルを使用してリモートRDPサーバーに接続できなくなります。

したがって、2018年3月以降にWindows RDS / RDPサーバー(コンピューター)に累積的なセキュリティ更新プログラムをインストールしておらず、2018年5月の更新プログラム(またはそれ以降)がRDPクライアントにインストールされている場合、パッチが適用されていない状態でRDSサーバーに接続しようとするとCredSSPのバージョンでエラーが表示されます:これは、CredSSP暗号化オラクルの修復が原因である可能性があります

次のセキュリティ更新プログラムがインストールされた後、クライアントのRDPエラーが表示されます。

  • Windows 7 / Windows Server 2008 R2 — KB4103718
  • Windows 8.1 / Windows Server 2012 R2 — KB4103725
  • Windows Server 2016 — KB4103723
  • Windows 10 1803 — KB4103721
  • Windows 10 1709 — KB4103727
  • Windows 10 1703 — KB4103731
  • Windows 10 1609 — KB4103723
このリストは、2018年5月のKB番号を示しています。現時点では、Windowsエディションの最新の累積的な更新パッケージをダウンロードしてインストールする必要があります。最新のセキュリティ更新プログラムは、MicrosoftサーバーまたはローカルWSUSサーバーからWindows Updateを介して取得するか、Microsoft Updateカタログ(https://www.catalog.update.microsoft.com/Home)から修正プログラム*.msuファイルを手動でダウンロードできます。 aspx)。たとえば、Windows 10 1803の2019年8月の更新を検索するには、次の検索クエリを使用する必要があります:windows 10 1803 x64 8/*/2019 。 Windows累積更新プログラムをダウンロードしてインストールします(私の例では、「2019-08累積更新プログラムfor Windows10バージョン1803for x64ベースのシステム(KB4512509)」です。 RDP認証エラー:CredSSP暗号化Oracle修復

リモートデスクトップ接続を復元するには、リモートコンピューターで指定されたセキュリティ更新プログラムをアンインストールできます(ただし、推奨されません これを行うべきではありません。より安全で正しい解決策があります。

接続の問題を修正するには、一時的にする必要があります RDP経由で接続しているコンピューターでCredSSPバージョンチェックを無効にします。これは、ローカルのグループポリシーエディターを使用して実行できます。

  1. ローカルGPOエディターを実行します:gpedit.msc;
  2. [GPO]セクションに移動します[コンピューターの構成]->[管理用テンプレート]->[システム]->[資格情報の委任];
    RDP認証エラー:CredSSP暗号化Oracle修復
  3. Encryption Oracle Remediationという名前のポリシーを見つけます 、ポリシーを有効にし、保護レベルを脆弱性に設定します; RDP認証エラー:CredSSP暗号化Oracle修復
  4. コンピューターのポリシー設定を更新します(gpupdate /forceを実行します) コマンド)、RDP経由でリモートサーバーに接続してみてください。 Oracle Remediation EncryptionポリシーをVulnerableに設定すると、CredSSPをサポートするクライアントアプリケーションは、パッチが適用されていないRDS/RDPエンドポイントにも接続できるようになります。
暗号化OracleRemediationポリシーは、CredSSPの脆弱性から保護するために3つの利用可能な値を提供します。

  • 更新されたクライアントを強制する —RDPサーバーがパッチが適用されていないクライアントからの接続をブロックする場合の最高の保護レベル。通常、このポリシーは、インフラストラクチャ全体を完全に更新し、サーバーとワークステーションのWindowsインストールイメージに最新のセキュリティ更新プログラムを追加した後で有効にする必要があります。
  • 軽減 —このモードでは、脆弱なバージョンのCredSSPを使用するRDPサーバーへの発信リモートRDP接続がブロックされます。ただし、CredSSPを使用する他のサービスは正常に機能します。
  • 脆弱性 —脆弱なバージョンのCredSSPを使用してRDPサーバーに接続する場合の最低レベルの保護が許可されます。

ローカルGPOエディターがない場合(たとえば、Windows Homeエディションの場合)、パッチが適用されていないバージョンのCredSSPを使用してサーバーへのRDP接続を許可するレジストリを直接変更できます。

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

RDP認証エラー:CredSSP暗号化Oracle修復

ドメインGPOまたはそのようなPowerShellスクリプトを使用してAD内の複数のコンピューターでAllowEncryptionOracleレジストリパラメーターを変更できます(RSAT-AD-PowerShellモジュールからGet-ADComputerコマンドレットを使用してドメイン内のコンピューターのリストを取得できます):

$computers = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $computers) {
Invoke-Command -ComputerName $computer -ScriptBlock {
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
}
}

リモートRDPサーバー(コンピューター)に正常に接続したら、Windows Updateを介して最新のセキュリティ更新プログラムをインストールする必要があります( wuauserv を確認してください)。 サービスが有効になっている)または手動で。上記のように、Microsoft UpdateCatalogWebサイトから最新の累積WindowsUpdateをダウンロードしてインストールします。 MSUアップデートのインストール時に「アップデートはお使いのコンピュータに適用できません」というエラーが表示された場合は、上記のリンクを使用して記事をお読みください。

サポートが終了したWindowsXP/ Windows Server 2003の場合は、Windows Embedded POSReady 2009の更新プログラムをインストールする必要があります。例:https://support.microsoft.com/en-us/help/4056564。

更新プログラムをインストールしてサーバーを再起動したら、クライアントのポリシーを無効にすることを忘れないでください(更新されたクライアントを強制するに切り替えてください)。 )、またはAllowEncryptionOracleレジストリパラメータの値を0に戻します。この場合、コンピュータはCredSSPの保護されていないホストに接続し、脆弱性を悪用するリスクはありません。

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

更新プログラムがコンピューターにインストールされていない別のシナリオがあります。たとえば、RDPサーバーは更新されていますが、脆弱なバージョンのCredSSP(強制更新クライアント)を使用するコンピューターからのRDP接続をブロックするポリシーがあります。 ポリシー設定)。この場合、「これはCredSSP暗号化オラクル修復が原因である可能性があります」というRDP接続エラーも表示されます。

PSWindowsUpdateモジュールを使用するか、PowerShellコンソールのWMIコマンドを使用して、コンピューターのWindowsUpdateの最終インストール日を確認します。

gwmi win32_quickfixengineering |sort installedon -desc

RDP認証エラー:CredSSP暗号化Oracle修復
この例は、最新のWindowsセキュリティ更新プログラムが2018年6月17日にインストールされたことを示しています。ダウンロードしてWindowsエディション用の新しいMSU累積更新ファイルをインストールします(上記を参照)。


  1. Windows 10 でリモート デスクトップ ポート (RDP) を変更する

    Windows ユーザーの多くは、リモート デスクトップを認識しています。ほとんどのユーザーはリモート デスクトップ機能を使用して、別のコンピューター (職場または自宅) にリモートでアクセスします。職場のコンピューターから作業ファイルに緊急にアクセスする必要がある場合があります。そのような場合、リモート デスクトップが命の恩人になります。このように、コンピューターにリモート アクセスする必要がある理由は他にもいくつか考えられます。 ルーターにポート転送ルールを設定するだけで、簡単にリモート デスクトップを使用できます。しかし、インターネットへのアクセスにルーターを使用しないとどうなりますか?

  2. Windows 10 でリモート プロシージャの失敗エラーを修正する方法

    Windows 10 ユーザーは、特定のアクションまたはソリューションで解決できるさまざまなシステム エラーや問題に遭遇することがよくあります。 Windows 10 で「Remote Procedure Failed」エラーに直面している Windows 10 ユーザーの場合、心配はいりません。このブログ投稿で、この問題の解決策を見つけることができます。 こちらもお読みください:Windows 11/10 で白い画面を修正する方法 Windows アプリケーションを使用しようとすると、「リモート プロシージャ コールに失敗しました」という特定のエラー メッセージが表示されるという報告