Причиной ошибки может быть исправление шифрования CredSSP — Решение

После того, как компания Microsoft 08 мая 2018 года выпустила апдейты безопасности, многие пользователи Windows столкнулись с невозможностью подключения к удаленному рабочему столу. Если раньше осуществить это не представляло трудности, то теперь появляется сообщение о том, что данная функция не осуществима. Итак, сегодня мы обсудим, как решить проблемы подключения, если система сообщает нам, что причиной ошибки может быть исправление шифрования CredSSP.

Почему появляется эта ошибка

Давайте подробно разберемся, почему же возникает данная ошибка. Дело в том, что март 2018 года ознаменовался выпуском Microsoft апдейта, который запретил подключение к удаленным рабочим столам (RDP-серверам), т.к. в протоколе CredSSP были обнаружены уязвимые места. И, если на ОС Windows, установленную на нашем компьютере, автоматически не инсталлировались мартовские обновления, то с мая 2018 года подключение по RDP оказалось совсем невозможным. Причиной этого стал полный запрет по умолчанию, вследствие которого пользователи не могут подключиться к удаленному рабочему столу со старой версии протокола CredSSP. На экране появляется такое сообщение.

Итак, что же нужно сделать, чтобы исправить эту ошибку?

Как решить ошибку в протоколе CredSSP

Те, кто уже столкнулся с последствиями внедрения актуальных обновлений от Microsoft, советуют поступить следующим образом. Нужно:

1. Инсталлировать с официального сайта нужную версию обновления CVE-2018-0886, подобрав ее под свою ОС Windows.
2. Если не получается пропатчить протокол CredSSP, то просто отключить уведомления об ошибке шифрования.

Второй метод не рекомендуется, т.к. проблему «Причиной ошибки может быть исправление шифрования CredSSP» не решает, но может помочь временно не получать уведомления об ошибке и поэтому набирает популярность в среде пользователей.

Первое, что нужно сделать – включить ручной режим в установке обновлений. Затем, что бы вы ни делали, чтобы на время отключить уведомления об ошибке, апдейты все же нужно инсталлировать, иначе так и не получится подключиться к удаленному рабочему столу.

Установка обновлений

Под каждую версию ОС Windows выпущено свое обновление, которое и нужно установить из каталога ЦО Microsoft. Ниже находим нужную версию CVE-2018-0886 для своей операционной системы:

KB4103721 — Windows 10 1803, Server 2016 1803.
KB4103727 — Windows 10 1709, Server 2016 1709.
KB4103731 — Windows 10 1703, Server 2016 1703.
KB4103723 — Windows 10 1607, Server 2016 1607, Server 2016.
KB4103728 — Windows 10 1511, Server 2016 1511.
KB4103716 — Windows 10.
KB4103715 — Windows 8.1, Server 2012 R2, Server 2012.
KB4103712 — Windows 7, Server 2008 R2.

Кликаем на название своей ОС и скачиваем нужный патч.

Отключение уведомлений через редактор локальной групповой политики

Открываем редактор локальной групповой политики через ввод в строке “Выполнить” команды gpedit.msc. Перед нами появляется такое окно.

1. Далее проходим путь “Конфигурация компьютера” –> “Административные шаблоны” –> “Система” –> “Передача учетных данных”.
2. Ищем параметр “Исправление уязвимости шифрующего оракула” и переводим его в состояние “ВКЛ”.
3. Задаем уровень защиты “Оставить уязвимость”.
4. Все, перезагружаем устройство и пробуем подключиться к удаленному рабочему столу.

Что делать, если в ОС нет параметра “Исправление уязвимости шифрующего оракула”?

1. В этом случае в реестре прописываем нужные параметры вручную.
2. В строке “Выполнить” набираем команду regedit.
3. В открывшемся редакторе реестра проходим по пути HKLM Software Microsoft Windows CurrentVersion Policies System CredSSP Parameters.
4. Здесь ищем параметр DWORD под именем AllowEncryptionOracle и присваиваем ему значение 2.
5. Если этого параметра нет в нашей Windows, то создаем его.
6. Обязательно перезагружаем устройство и продолжаем работу.

Можно пойти другим путем:

1. Открыть командную строку от имени администратора.
2. Ввести REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2.
3. Подтвердить действие.
4. Поставить компьютер на перезагрузку.

При помощи данной команды мы вносим изменения в реестр, что разрешает нашему устройству подключаться по протоколу CredSSP.

Как контролировать установку обновлений на предприятии

Для того, чтобы инсталлировать актуальные обновления сразу на всех локальных устройствах предприятия, на сервере необходимо иметь программу WSUS. С ее помощью происходит контроль за установленными апдейтами, корректная инсталляция которых отражается в получаемых отчетах.

Каковы бы ни были пути обхода блокировки подключения к удаленному рабочему столу, эта мера временная. Для бесперебойной работы предприятия нужно постоянно следить за выпуском обновлений и вовремя их устанавливать.

Источник: lifehacki.ru