远程连接Windows服务器，提示 “这可能是由于 CredSSP 加密 Oracle 修正”

昨天，远程桌面连接到服务器，提示“这可能是由于 CredSSP 加密 Oracle 修正”。不太明白和Oracle有啥关系。搜了MOS也没有太多的文档可以参考。

这个主要原因是微软5月8日更新了补丁。安全性增强了。

该补丁的地址如下： https://support.microsoft.com/zh-cn/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

该补丁的摘要如下：

CVE-2018-0886 的 CredSSP 更新

适用于：  Windows Server 2016 Windows Server 2012 R2 Standard Windows Server 2012 Standard  详细

---

摘要

---

凭据安全支持提供程序协议 (CredSSP) 是处理其他应用程序的身份验证请求的身份验证提供程序。

CredSSP 的未修补版本中存在远程代码执行漏洞。 成功利用此漏洞的攻击者可以在目标系统上中继用户凭据以执行代码。 任何依赖 CredSSP 进行身份验证的应用程序都可能容易受到此类攻击。

此安全更新通过更正 CredSSP 在身份验证过程中验证请求的方式来修复此漏洞。

若要了解有关此漏洞的更多信息，请参阅 CVE-2018-0886。

更新

---

2018 年 3 月 13 日

2018 年 3 月 13 日的初始版本更新了所有受影响平台的 CredSSP 身份验证协议和远程桌面客户端。

缓解措施包括在所有符合条件的客户端和服务器操作系统上安装更新，然后使用包含的“组策略”设置或基于注册表的等效项管理客户端和服务器计算机上的设置选项。 我们建议管理员应用该策略，并尽快在客户端和服务器计算机上将其设置为“强制更新的客户端”或“缓解”。这些更改将需要重启受影响的系统。

请密切关注导致本文后面的兼容性表中的客户端和服务器之间的“阻止”交互的组策略或注册表设置对。

2018 年 4 月 17 日

KB 4093120 中的远程桌面客户端 (RDP) 更新将增强更新的客户端无法连接到尚未更新的服务器时出现的错误消息。

2018 年 5 月 8 日

将默认设置从“易受攻击”更改为“缓解”的更新。

相关的 Microsoft 知识库编号已在 CVE-2018-0886 中列出。

默认情况下，安装此更新后，修补的客户端无法与未修补的服务器进行通信。 使用本文中描述的互操作性矩阵和组策略设置来启用“允许的”配置。

组策略

---

策略路径和设置名称

说明

策略路径：“计算机配置”->“管理模板”->“系统”->“凭据分配” 设置名称： 加密 Oracle 修正

加密 oracle 修正 此策略设置可应用于使用 CredSSP 组件（例如，远程桌面连接）的应用程序。 CredSSP 协议的某些版本容易受到针对客户端的加密 oracle 攻击。 此策略控制与易受攻击的客户端和服务器的兼容性。 此策略允许你设置针对加密 oracle 漏洞的防护级别。 如果启用此策略设置，将会基于以下选项选择 CredSSP 版本支持： 强制更新的客户端– 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本，且使用 CredSSP 的服务将不接受未修补的客户端。 注意 在所有远程主机支持最新版本之前，不应部署此设置。 缓解– 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本，但使用 CredSSP 的服务将接受未修补的客户端。 易受攻击– 使用 CredSSP 的客户端应用程序将通过支持回退到不安全的版本使远程服务器遭受攻击，但使用 CredSSP 的服务将接受未修补的客户端。

 

“加密 Oracle 修正组策略”支持以下三个选项，应将这些选项应用于客户端和服务器：

策略设置	注册表值	客户端行为	服务器行为
强制更新的客户端	0	使用 CredSSP 的客户端应用程序将无法回退到不安全的版本。	使用 CredSSP 的服务将不接受未修补的客户端。 注意 在所有Windows 和第三方 CredSSP 客户端支持最新的 CredSSP 版本之前，不应部署此设置。
缓解	1	使用 CredSSP 的客户端应用程序将无法回退到不安全的版本。	使用 CredSSP 的服务将接受未修补的客户端。
易受攻击	2	使用 CredSSP 的客户端应用程序将通过支持回退到不安全的版本使远程服务器遭受攻击。	使用 CredSSP 的服务将接受未修补的客户端。

 

第二次更新（于 2018 年 5 月 8 日发布）会将默认行为更改为“缓解”选项。

注意 对加密 Oracle 修正的任何更改都需要重启。

注册表值

---

警告 如果使用注册表编辑器或其他方法修改注册表不当，可能会出现严重问题。 这些问题可能需要您重新安装操作系统。 Microsoft 不能保证可解决这些问题。 请自行承担修改注册表的风险。

此更新引入了以下注册表设置：

注册表路径	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
值	AllowEncryptionOracle
数据类型	DWORD
是否需要重启？	是

互操作性矩阵

---

客户端和服务器都需要更新，否则，Windows 和第三方 CredSSP 客户端可能无法连接到 Windows 或第三方主机。 有关易受攻击或导致操作失败的情况，请参阅以下互操作性矩阵。

		服务器
		未修补	强制更新的客户端	缓解	易受攻击
客户端	未修补	允许	阻止	允许	允许
	强制更新的客户端	阻止	允许	允许	允许
	缓解	阻止	允许	允许	允许
	易受攻击	允许	允许	允许	允许

 

客户端设置	CVE-2018-0886 修补程序状态
未修补	易受攻击
强制更新的客户端	安全
缓解	安全
易受攻击	易受攻击

Windows 事件日志错误

---

如果在阻止的配置中配置客户端和远程主机，将在已修补的 Windows 客户端上记录事件 ID 6041。

事件日志	系统
事件源	LSA (LsaSrv)
事件 ID	6041
事件消息文本	对 <主机名> 的 CredSSP 身份验证无法协商通用协议版本。 远程主机提供了加密 Oracle 修正不允许的版本 <协议版本>。

由未修补的 Windows RDP 客户端通过 CredSSP 阻止的配置对生成的错误

---

由没有 2018 年 4 月 17 日修补程序 (KB 4093120) 的远程桌面客户端提供的错误

与配置了“强制更新的客户端”的服务器配对的未修补的 Windows 8.1 之前的客户端和 Windows Server 2012 R2 客户端	由未修补的 Windows 8.1/Windows Server 2012 R2 和更高版本的 RDP 客户端通过 CredSSP 阻止的配置对生成的错误
发生了身份验证错误。 提供给函数的令牌无效	发生了身份验证错误。 不支持请求的函数。

由具有 2018 年 4 月 17 日修补程序 (KB 4093120) 的远程桌面客户端提供的错误

与配置了“强制更新的客户端”的服务器配对的未修补的 Windows 8.1 之前的客户端和 Windows Server 2012 R2 客户端	这些错误是由未修补的 Windows 8.1/Windows Server 2012 R2 和更高版本的 RDP 客户端通过 CredSSP 阻止的配置对生成的。
发生了身份验证错误。 提供给函数的令牌无效。	发生了身份验证错误。 不支持请求的函数。 远程计算机： <主机名> 这可能由 CredSSP 加密 oracle 修正引起的。 有关更多信息，请参阅 https://go.microsoft.com/fwlink/?linkid=866660

第三方远程桌面客户端和服务器

---

所有第三方客户端或服务器必须使用最新版本的 CredSSP 协议。 请联系供应商以确定其软件是否与最新的 CredSSP 协议兼容。

可在 Windows 协议文档网站中找到协议更新。

文件变更

---

此更新中更新了以下系统文件。

• tspkg.dll

credssp.dll 文件保持不变。 有关更多信息，请查看相关文章以了解文件版本信息。

-- ---- 解决方法：

方法一、在本地电脑运行 gpedit.msc 中：“计算机配置”->“管理模板”->“系统”->“凭据分配”，这里面有个“加密 Oracle 修正”，改之。
方法二、如果是 Windows 10 家庭版，没有 gpedit.msc，那么就直接修改本地电脑的注册表，在本地“运行”输入： regedit   按以下目录进入：
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
新建一个 32 位的、DWORD 类型的记录，名为："AllowEncryptionOracle"，十进制数值改为 2 即可，如果连接远程仍然提示，那么重启下本地电脑即可。