Sau khi cài đặt các bản cập nhật bảo mật Windows được phát hành sau tháng 5 năm 2018, bạn có thể gặp phải Khắc phục sự cố mã hóa CredSSP lỗi trong khi kết nối RDP với máy chủ Windows từ xa hoặc máy tính trong các trường hợp sau:
- Bạn đang cố gắng kết nối với màn hình từ xa của máy tính có phiên bản Windows cũ được cài đặt gần đây (ví dụ:Windows 10 RTM hoặc phiên bản 1709 trở lên, Windows Server 2012 R2, Windows Server 2016), phiên bản mới nhất Các bản cập nhật bảo mật của Windows chưa được cài đặt;
- Bạn đang cố gắng kết nối qua RDP với một máy tính chưa được cài đặt các bản cập nhật của Microsoft trong một thời gian dài;
- Máy tính từ xa đã chặn kết nối RDP vì máy tính của bạn thiếu các bản cập nhật bảo mật cần thiết.
Hãy cố gắng tìm hiểu lỗi RDP Khắc phục sự cố bằng mã hóa CredSSP là gì phương tiện và cách khắc phục.
Vì vậy, khi cố gắng kết nối với RemoteApp trên máy chủ RDS chạy Windows Server 2016/2012 R2 / 2008 R2 hoặc với máy tính từ xa của người dùng khác sử dụng giao thức RDP (trên Windows 10, 8.1 hoặc 7), lỗi sẽ xuất hiện:
Kết nối Máy tính Từ xaĐã xảy ra lỗi xác thực.
Chức năng này không được hỗ trợ.
Máy tính Từ xa:tên máy chủ
Điều này có thể do khắc phục bằng phương pháp mã hóa CredSSP.
Lỗi này xảy ra do thực tế là các bản cập nhật bảo mật của Windows (ít nhất là kể từ tháng 3 năm 2018) không được cài đặt trên phiên bản Windows từ xa mà bạn đang cố gắng kết nối qua RDP.
Lỗi này cũng có thể giống như sau:Đã xảy ra lỗi xác thực. Chức năng được yêu cầu không được hỗ trợ.Vào tháng 3 năm 2018, Microsoft đã phát hành bản cập nhật chặn thực thi mã từ xa bằng cách sử dụng lỗ hổng trong giao thức CredSSP (Nhà cung cấp hỗ trợ bảo mật thông tin xác thực) (bản tin CVE-2018-0886). Vào tháng 5 năm 2018, một bản cập nhật bổ sung đã được xuất bản, bản cập nhật này theo mặc định ngăn các máy khách Windows kết nối với máy chủ RDP từ xa có phiên bản dễ bị tấn công (chưa được vá lỗi) của giao thức CredSSP.
Do đó, nếu bạn chưa cài đặt các bản cập nhật bảo mật tích lũy trên máy chủ Windows RDS / RDP (máy tính) của mình kể từ tháng 3 năm 2018 và các bản cập nhật tháng 5 năm 2018 (hoặc mới hơn) đã được cài đặt trên máy khách RDP, thì khi bạn cố gắng kết nối với máy chủ RDS bằng một bản chưa được vá phiên bản CredSSP xuất hiện lỗi: Điều này có thể là do khắc phục lỗi bằng mã hóa CredSSP .
Lỗi RDP trên máy khách xuất hiện sau khi cài đặt các bản cập nhật bảo mật sau:
- Windows 7 / Windows Server 2008 R2 - KB4103718
- Windows 8.1 / Windows Server 2012 R2 - KB4103725
- Windows Server 2016 - KB4103723
- Windows 10 1803 - KB4103721
- Windows 10 1709 - KB4103727
- Windows 10 1703 - KB4103731
- Windows 10 1609 - KB4103723
windows 10 1803 x64 8/*/2019 . Tải xuống và cài đặt bản cập nhật tích lũy Windows (trong ví dụ của tôi, đó là “Bản cập nhật tích lũy 2019-08 cho Windows 10 Phiên bản 1803 cho Hệ thống dựa trên x64 (KB4512509)”. 
Để khôi phục kết nối máy tính từ xa, bạn có thể gỡ cài đặt bản cập nhật bảo mật được chỉ định trên máy tính từ xa (nhưng không nên và bạn không nên làm điều này, có một giải pháp an toàn và đúng đắn hơn).
Để khắc phục sự cố kết nối, bạn cần tạm thời tắt kiểm tra phiên bản CredSSP trên máy tính mà bạn đang kết nối qua RDP. Điều này có thể được thực hiện bằng cách sử dụng trình chỉnh sửa Chính sách Nhóm cục bộ.
- Chạy trình soạn thảo GPO cục bộ:gpedit.msc;
- Đi tới phần GPO Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Ủy quyền thông tin xác thực ;
- Định vị chính sách có tên Encryption Oracle Remediation , bật chính sách và đặt Cấp độ bảo vệ thành Dễ bị tổn thương ;
- Cập nhật cài đặt chính sách trên máy tính (chạy
gpupdate /force) và cố gắng kết nối với máy chủ từ xa qua RDP. Với chính sách Mã hóa khắc phục sự cố của Oracle được đặt thành Dễ bị tấn công, các ứng dụng khách có hỗ trợ CredSSP sẽ có thể kết nối ngay cả với các điểm cuối RDS / RDP chưa được vá.
- Buộc cập nhật khách hàng - mức bảo vệ cao nhất khi máy chủ RDP chặn kết nối từ các máy khách không được vá. Thông thường, chính sách này sẽ được bật sau khi bạn đã cập nhật hoàn toàn toàn bộ cơ sở hạ tầng và thêm các bản cập nhật bảo mật mới nhất vào hình ảnh cài đặt Windows cho máy chủ và máy trạm;
- Giảm nhẹ - trong chế độ này, kết nối RDP từ xa gửi đi tới các máy chủ RDP có phiên bản CredSSP dễ bị tấn công bị chặn. Tuy nhiên, các dịch vụ khác sử dụng CredSSP vẫn hoạt động tốt;
- Dễ bị tổn thương - cho phép mức bảo vệ thấp nhất khi kết nối với máy chủ RDP có phiên bản CredSSP dễ bị tấn công.
Nếu bạn không có trình chỉnh sửa GPO cục bộ (ví dụ:trong các phiên bản Windows Home), bạn có thể thực hiện thay đổi sổ đăng ký trực tiếp cho phép kết nối RDP với máy chủ có phiên bản CredSSP chưa được vá:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Bạn có thể thay đổi tham số đăng ký AllowEncryptionOracle trên nhiều máy tính trong AD bằng GPO miền hoặc với tập lệnh PowerShell như vậy (bạn có thể lấy danh sách các máy tính trong miền bằng lệnh ghép ngắn Get-ADComputer từ mô-đun RSAT-AD-PowerShell):
$computers = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $computers) {
Invoke-Command -ComputerName $computer -ScriptBlock {
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
}
}
Sau khi kết nối thành công với máy chủ RDP từ xa (máy tính), bạn cần cài đặt các bản cập nhật bảo mật mới nhất thông qua Windows Update (xác minh rằng wuauserv dịch vụ được kích hoạt) hoặc thủ công. Tải xuống và cài đặt các bản cập nhật Windows tích lũy mới nhất từ trang web Danh mục Microsoft Update như được hiển thị ở trên. Nếu lỗi “Bản cập nhật không áp dụng được cho máy tính của bạn” xuất hiện khi cài đặt bản cập nhật MSU, hãy đọc bài viết bằng liên kết ở trên.
Đối với Windows XP / Windows Server 2003 không còn được hỗ trợ, bạn cần cài đặt các bản cập nhật cho Windows Embedded POSReady 2009. Ví dụ:https://support.microsoft.com/en-us/help/4056564.Sau khi cài đặt các bản cập nhật và khởi động lại máy chủ, đừng quên tắt chính sách trên máy khách (chuyển nó sang Buộc cập nhật máy khách ), hoặc trả về giá trị của tham số đăng ký AllowEncryptionOracle thành 0. Trong trường hợp này, máy tính của bạn sẽ không gặp rủi ro khi kết nối với các máy chủ không được bảo vệ CredSSP và khai thác lỗ hổng bảo mật.
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0
Có một tình huống khác trong đó các bản cập nhật không được cài đặt trên máy tính của bạn. Ví dụ:máy chủ RDP được cập nhật nhưng nó có chính sách chặn kết nối RDP từ máy tính có phiên bản CredSSP dễ bị tấn công ( Buộc cập nhật khách hàng thiết lập chính sách). Trong trường hợp này, bạn cũng sẽ thấy lỗi kết nối RDP "Điều này có thể là do khắc phục lỗi bằng mã hóa CredSSP".
Kiểm tra ngày cài đặt cuối cùng của các bản cập nhật Windows trên máy tính của bạn bằng mô-đun PSWindowsUpdate hoặc thông qua lệnh WMI trong bảng điều khiển PowerShell:
gwmi win32_quickfixengineering |sort installedon -desc
Ví dụ này cho thấy rằng các bản cập nhật bảo mật Windows mới nhất đã được cài đặt vào ngày 17 tháng 6 năm 2018. Tải xuống và cài đặt tệp cập nhật tích lũy MSU mới hơn cho phiên bản Windows của bạn (xem ở trên).