Після встановлення останніх оновлень безпеки, які вийшли 8 травня 2018 року в Windows 10 і 7, користувачі стали жаловатися, щоб при спробі підключитися до RemoteApp на серверах RDS під Windows Server 2016/2012 R2 / 2008 R2 або видалених робочих столах інших користувачів за протоколом RDP (на Win 10/8/7), з'являється помилка CredSSP:
Remote Desktop connection
An authentication error has occurred.
The function requested is not supported.
Remote Computer: hostname
This could be due to CredSSP encryption oracle remediation.
Ця помилка пов’язана з тим, що на Windows Server або звичайних настільних версіях Windows, у яких ви намагаєтеся підключитися через RDP, з березня 2018 року не було встановлено оновлення безпеки. Справа в тому, що ще в березні 2018 року Microsoft випустила оновлення, що відкриває можливість видаленого виконання коду за допомогою вразливості в протоколі CredSSP (бюлетень CVE-2018-0886). У травні 2018 року було опубліковано додаткове оновлення, в якому за замовчуванням клієнтам заборонено підключатися до видалених серверів RDP з уразливою (непропатченою) версією протоколу CredSSP.
Таким чином, якщо ви не встановили копієві оновлення безпеки на RDS-серверах Windows з березня цього року, клієнти (Win 10/8/7) встановили основні оновлення, щоб на них при підключенні до серверів RDS з непропатченними версіями CredSSP з’явилася помилка. неможливості підключення: це може бути пов’язано з виправленням оракула шифрування CredSSP.
Помилка клієнта RDP з’являється після встановлення наступних оновлень безпеки:
Windows 7 / Windows Server 2008 R2 — KB4103718
Windows 8.1 / Windows Server 2012 R2 — KB4103725
Windows Server 2016 — KB4103723
Windows 10 1803 — KB4103721
Windows 10 1709 — KB4103727
Windows 10 1703 — KB4103731
Windows 10 1609 — KB4103723
Для відновлення віддаленого підключення до робочого столу можна видалити вказане оновлення, але це не рекомендується і робити це не варто, більш правильно.
Для вирішення проблем необхідно тимчасово на комп'ютері, з яким ви підключаєтеся по RDP, вимкнути дане оновлення безпеки, яке блокує підключення.
Запустіть редактор локальних GPO:
gpedit.msc
Перейдіть у розділ
Computer Configuration -> Administrative Templates -> System -> Credentials Delegation (Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных)
Далі знайдіть політику з іменем
Encryption Oracle Remediation (Защита от атак с использованием криптографического оракула). Включите политику (Enabled/ Включено),а параметр в выпадающем списке выберите Vulnerable / оставить уязвимость;
