雲伺服器不能遠端登入-CredSSP，解決方案：解除安裝KB4103727補丁

經常使用window伺服器的朋友，最近會發現客戶端遠端桌面連線伺服器失敗，騰訊雲，阿里雲等等雲伺服器更加明顯。

原因在於最近 windows 10系統，悄悄進行了一次強制更新，然後部分電腦遠端登入出現這樣的錯誤提示：

出現身份驗證錯誤。
要求的函式不收支援。
遠端計算機：xxx.xxx.xxx.xxx
遠端計算機 這可能是由於CredSSP加密Oracle修正。
若要了解詳細資訊，請訪問 

新手上雲（  ）總結：這類問題非常常見，然而新手往往很慌。實際不用緊張，有以下三種途徑解決這個問題，照做即可

方法一：（倒退型解決）

經過查詢，這是一個系統補丁導致的，解決此問題，其中一個辦法是卸掉這個補丁（KB4103727）。解除安裝補丁即可解決

可是，不能遠端登入怎麼解除安裝？

這時候就用上了阿里雲官網控制檯的“遠端連線”功能，這個遠端連線，相當於物理機直接連線顯示器的效果，因此不需要執行遠端登入的過程。可以直接輸入密碼進入伺服器。

最後解釋：解除安裝更新是個並不算合理的做法，只是偷懶有效。

細節解釋：

遠端桌面使用的是“憑據安全支援提供程式協議 (CredSSP) ”，這個協議在未修補的版本中是存在漏洞的。

於是微軟在 2018 年 3 月 13 日在補丁中解決了這個問題，但是預設並沒有強制使用新的協議，因為一旦強制使用，假如伺服器端和客戶端不匹配，將無法連線。所以使用者並不會感知到。

在 2018 年 5 月 8 日，微軟在補丁中將客戶端策略提嚴了一點，mstsc 登入就會有提示了，就會出現如上的錯誤了，使用者就會知道這事了。

方法二：（進步型解決）

客戶端下載微軟補丁解決，下載地址：https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-0886 ，選擇配套自己的機器的補丁包進行下載，安裝後即可使用遠端桌面連線。

此方法屬於順應微軟處理漏洞的方式，服務端客戶端同時打補丁升級系統。因此取名進步型解決方法

方法三：（工程師模式）系統管理員請看下文：

（後續內容部分取自： ）

關於微軟這次更新，有個配置，更改這個配置可以決定是使用以前的那種連線，還是修補過的連線。這個問題會影響到伺服器端和客戶端 ，所以這個配置在伺服器端和客戶端均可配置。

【針對伺服器端】

如果這個值是 0，那麼要求客戶端必須是修補了 CredSSP 的。

如果這個值是 1，那麼要求客戶端可以是沒修補 CredSSP 的。

如果這個值是 2，那麼要求客戶端可以是沒修補 CredSSP 的。（和 1 一樣）

2018 年 5 月 8 日，微軟將這個預設值修改為了 1。

【針對客戶端】

如果這個值是 0，那麼要求服務端必須是修補了 CredSSP 的。（和 1 一樣）

如果這個值是 1，那麼要求服務端必須是修補了 CredSSP 的。

如果這個值是 2，那麼要求服務端可以是沒修補 CredSSP 的。

2018 年 5 月 8 日，微軟將這個預設值修改為了 1。

也就是說：

0：伺服器端、客戶端都必須是修補了 CredSSP 的。

1：伺服器端沒要求客戶端、但是客戶端要求伺服器端是修補了 CredSSP 的。 

2：伺服器端、客戶端都可以是沒修補 CredSSP 的。

怎麼處理？

根據需求，修改這個值，比如現在還沒準備好全部打補丁，那麼就都修改為 2。

方法一、在伺服器端、客戶端中執行 gpedit.msc 中：“計算機配置”->“管理模板”->“系統”->“憑據分配”，這裡面有個“加密 Oracle 修正”，改之。

方法二、如果是 Windows 10 家庭版，沒有 gpedit.msc，那麼就直接改登錄檔吧：

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

新建一個 32 位的、DWORD 型別的 AllowEncryptionOracle，然後為其設定相應的值。

注意：

登錄檔中可能沒有相應的項，那就新建之。

還有我是 64 位系統，但是新建的 64 位值無效，我新建了 32 位值才生效。

最後需要重啟。