远程桌面连接时,出现身份验证错误,要求函数的函数不受支持

【问题描述】
Win10远程桌面连接报错，详细报错信息如下：
“出现身份验证错误。要求的函数不受支持。远程计算机：xxx，这可能是由于CredSSP加密Oracle修正。若要了解详细信息，请访问https://go.microsoft.com/fwlink/?linkid=866660”

image.png

image.png

【问题分析】
初次看到这个错误的时候懵了。访问给的地址一看，发现大概意思是不安全了，微软要更新一下

凭据安全支持提供程序协议 (CredSSP) 是处理其他应用程序的身份验证请求的身份验证提供程序。

CredSSP 的未修补版本中存在远程代码执行漏洞。 成功利用此漏洞的攻击者可以在目标系统上中继用户凭据以执行代码。 任何依赖 CredSSP 进行身份验证的应用程序都可能容易受到此类攻击。

此安全更新通过更正 CredSSP 在身份验证过程中验证请求的方式来修复此漏洞。

2018 年 3 月 13 日的初始版本更新了所有受影响平台的 CredSSP 身份验证协议和远程桌面客户端。

缓解措施包括在所有符合条件的客户端和服务器操作系统上安装更新，然后使用包含的“组策略”设置或基于注册表的等效项管理客户端和服务器计算机上的设置选项。 我们建议管理员应用该策略，并尽快在客户端和服务器计算机上将其设置为“强制更新的客户端”或“缓解”。这些更改将需要重启受影响的系统。

请密切关注导致本文后面的兼容性表中的客户端和服务器之间的“阻止”交互的组策略或注册表设置对。

2018 年 4 月 17 日

KB 4093120 中的远程桌面客户端 (RDP) 更新将增强更新的客户端无法连接到尚未更新的服务器时出现的错误消息。

2018 年 5 月 8 日

将默认设置从“易受攻击”更改为“缓解”的更新。

相关的 Microsoft 知识库编号已在 CVE-2018-0886 中列出。

image.png

【解决方案】
适用于 Windows10 Version 1803 的 05 重要更新，补丁号为KB4103721。

1、专业版解决方法：
运行 gpedit.msc，选择“计算机配置”->“管理模板”->“系统”->“凭据分配”，选择“加密 Oracle 修正”，改为启用，选择“易受攻击”，OK。

2、家庭版解决方法：
直接修改本地电脑的注册表，运行 regedit ， 按以下目录进入：
“HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters”
新建一个 32 位 DWORD 类型 的记录，名为："AllowEncryptionOracle"，十进制数值改为 2， OK.

如果连接远程仍然提示，那么重启一下即可。

电脑是专业版，所以截图以专业版为例。

1）打开组管理器

image.png

image.png

2）依次展开“计算机配置”->“管理模板”->“系统”->“凭据分配”设置名称。

image.png

3）将“加密Oracle修正”设置为“已启用”，“保护级别”设置为“易受攻击”，然后“确定”即可。

image.png

家庭版中修改注册表的值改为2的含义，也是设置为易受攻击的意思，详细信息可参考官网给出的解释。（由于家庭版没有gpedit.msc组策略管理器，所以只能手动在注册表里面添加）

image.png

官方文档位置：https://support.microsoft.com/en-hk/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018