CredSSP encryption oracle remediation

ошибка RDP и способы исправления

F.A.Q.»CredSSP encryption oracle remediation – ошибка при подключении по RDP

Начиная с 8 мая 2018 года после установки обновлений на персональный компьютер многие пользователи Windows Server столкнулись с сообщением CredSSP encryption oracle remediation при попытке подключения к серверу по удалённому рабочему столу.

Фактически это не обычная ошибка подключения, а уведомление о том, что между вашим компьютером и сервером обнаружено несовпадение по уровню безопасности CredSSP.

13 марта 2018 года Microsoft выпустила исправление уязвимости в протоколе CredSSP. Эта уязвимость позволяла выполнять на удалённом сервере команды от имени передаваемых учётных данных, включая установку и удаление программ, изменение файлов и создание новых учётных записей.

Пользователи, которые своевременно обновляли сервер, как правило, с этой ситуацией не столкнулись. Обновления для серверных ОС были доступны ещё в марте, а на обычные настольные версии Windows соответствующие исправления массово установились позже вместе с очередными обновлениями.

Чтобы устранить проблему, сначала нужно получить доступ к самому серверу. Проще всего сделать это через аварийный режим в личном кабинете - для перехода достаточно кликнуть по скриншоту сервера.

Либо можно временно отключить на вашем компьютере, с которого выполняется подключение, блокирующую проверку безопасности и уже после этого зайти на сервер для установки обновлений.

Инструкция для пользователей Windows HOME:

Запустите на вашем компьютере, с которого вы подключаетесь к серверу, командную строку от имени администратора.
Введите в командной строке следующую команду:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Эта команда добавляет параметр в реестр Windows и разрешает подключение к серверу, который ещё не получил исправление для CredSSP.

Если в ответ вы получили сообщение «Отказано в доступе», значит командная строка была запущена без прав администратора. В этом случае откройте её заново корректным способом, как показано на скриншоте выше.

Инструкция для пользователей Windows PRO:

Откройте редактор групповых политик. Для этого в командной строке или PowerShell введите gpedit.msc либо найдите оснастку через поиск по фразе Edit group policy или Изменение групповой политики в русскоязычном интерфейсе.

Если система сообщает, что команда не найдена или не является внутренней либо внешней командой, скорее всего у вас используется редакция Windows Home, и тогда нужно воспользоваться инструкцией выше.
В дереве настроек слева откройте следующий путь:

Computer Configuration -> Administrative Templates -> System -> Credentials Delegation

Если используется русскоязычная Windows, путь будет таким:

Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных
В разделе Credentials Delegation («Передача учетных данных») найдите параметр Encryption Oracle Remediation («Исправление уязвимости шифрующего оракула»), откройте его, установите режим Enabled («Включено») и выберите значение Vulnerable («Оставить уязвимость»).

После выполнения этих действий подключение к серверу с вашего ПК снова станет возможным, однако важно понимать, что это не устраняет саму проблему безопасности, а только временно позволяет обойти блокировку.

Сразу после входа на сервер установите обновления Windows так же, как это делается на обычном настольном компьютере.

Если при установке обновлений появляется ошибка, проверьте, работает ли служба Windows Update («Центр обновления Windows»). Открыть список служб можно по пути:

Start -> Windows Administrative Tools -> Services

Если интерфейс системы русифицирован, используйте путь:

Пуск -> Средства администрирования Windows -> Службы

Если служба не запускается, проверьте тип её запуска - он не должен быть установлен в состояние Disabled («Отключена»).

Если у вас используется Windows Server 2012 R2 или Windows Server 2008 R2 SP1, можно не устанавливать весь пакет обновлений, а поставить только конкретное исправление, закрывающее уязвимость CredSSP. Это часто позволяет быстрее восстановить нормальное подключение по RDP.

Скачать соответствующее обновление можно с сайта Microsoft на странице описания уязвимости:

обновление для Windows Server 2012 R2
обновление для Windows Server 2008 R2 SP1

Если после всех описанных действий подключиться к серверу так и не удалось или вы не хотите разбираться с обновлениями вручную, можно пересоздать сервер в личном кабинете. Эта операция разворачивает систему заново в чистом состоянии, как при первоначальном заказе сервера. Все данные при этом будут удалены, поэтому использовать такой вариант следует только в крайнем случае и только если на сервере нет важных файлов или настроенных сервисов.

Все наши актуальные образы Windows Server уже содержат необходимые обновления, поэтому после пересоздания проблема с сообщением CredSSP encryption oracle remediation при подключении по RDP возникать не будет.