經常使用window伺服器的朋友,最近會發現客戶端遠端桌面連線伺服器失敗,騰訊雲,阿里雲等等雲伺服器更加明顯。
原因在於最近 windows 10系統,悄悄進行了一次強制更新,然後部分電腦遠端登入出現這樣的錯誤提示:
出現身份驗證錯誤。
要求的函式不收支援。
遠端計算機:xxx.xxx.xxx.xxx
遠端計算機 這可能是由於CredSSP加密Oracle修正。
若要了解詳細資訊,請訪問
新手上雲( )總結:這類問題非常常見,然而新手往往很慌。實際不用緊張,有以下三種途徑解決這個問題,照做即可
方法一:(倒退型解決)
經過查詢,這是一個系統補丁導致的,解決此問題,其中一個辦法是卸掉這個補丁(KB4103727)。解除安裝補丁即可解決
可是,不能遠端登入怎麼解除安裝?
這時候就用上了阿里雲官網控制檯的“遠端連線”功能,這個遠端連線,相當於物理機直接連線顯示器的效果,因此不需要執行遠端登入的過程。可以直接輸入密碼進入伺服器。
最後解釋:解除安裝更新是個並不算合理的做法,只是偷懶有效。
細節解釋:
遠端桌面使用的是“憑據安全支援提供程式協議 (CredSSP) ”,這個協議在未修補的版本中是存在漏洞的。
於是微軟在 2018 年 3 月 13 日在補丁中解決了這個問題,但是預設並沒有強制使用新的協議,因為一旦強制使用,假如伺服器端和客戶端不匹配,將無法連線。所以使用者並不會感知到。
在 2018 年 5 月 8 日,微軟在補丁中將客戶端策略提嚴了一點,mstsc 登入就會有提示了,就會出現如上的錯誤了,使用者就會知道這事了。
方法二:(進步型解決)
客戶端下載微軟補丁解決,下載地址:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-0886 ,選擇配套自己的機器的補丁包進行下載,安裝後即可使用遠端桌面連線。
此方法屬於順應微軟處理漏洞的方式,服務端客戶端同時打補丁升級系統。因此取名進步型解決方法
方法三:(工程師模式)系統管理員請看下文:
(後續內容部分取自: )
關於微軟這次更新,有個配置,更改這個配置可以決定是使用以前的那種連線,還是修補過的連線。這個問題會影響到伺服器端和客戶端 ,所以這個配置在伺服器端和客戶端均可配置。
【針對伺服器端】
如果這個值是 0,那麼要求客戶端必須是修補了 CredSSP 的。
如果這個值是 1,那麼要求客戶端可以是沒修補 CredSSP 的。
如果這個值是 2,那麼要求客戶端可以是沒修補 CredSSP 的。(和 1 一樣)
2018 年 5 月 8 日,微軟將這個預設值修改為了 1。
【針對客戶端】
如果這個值是 0,那麼要求服務端必須是修補了 CredSSP 的。(和 1 一樣)
如果這個值是 1,那麼要求服務端必須是修補了 CredSSP 的。
如果這個值是 2,那麼要求服務端可以是沒修補 CredSSP 的。
2018 年 5 月 8 日,微軟將這個預設值修改為了 1。
也就是說:
0:伺服器端、客戶端都必須是修補了 CredSSP 的。
1:伺服器端沒要求客戶端、但是客戶端要求伺服器端是修補了 CredSSP 的。
2:伺服器端、客戶端都可以是沒修補 CredSSP 的。
怎麼處理?
根據需求,修改這個值,比如現在還沒準備好全部打補丁,那麼就都修改為 2。
方法一、在伺服器端、客戶端中執行 gpedit.msc 中:“計算機配置”->“管理模板”->“系統”->“憑據分配”,這裡面有個“加密 Oracle 修正”,改之。
方法二、如果是 Windows 10 家庭版,沒有 gpedit.msc,那麼就直接改登錄檔吧:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
新建一個 32 位的、DWORD 型別的 AllowEncryptionOracle,然後為其設定相應的值。
注意:
登錄檔中可能沒有相應的項,那就新建之。
還有我是 64 位系統,但是新建的 64 位值無效,我新建了 32 位值才生效。
最後需要重啟。
原文地址: 文章的更新編輯依此連結為準。歡迎關注源站原創文章!