Причиною помилки може бути виправлення шифрування CredSSP – Рішення

Після того, як компанія Microsoft 08 травня 2018 року випустила апдейти безпеки, багато користувачів Windows зіткнулися з неможливістю підключення до віддаленого робочого столу. Якщо раніше здійснити це не представляло труднощі, то тепер з’являється повідомлення про те, що дана функція не здійсненна. Отже, сьогодні ми обговоримо, як вирішити проблеми підключення, якщо система повідомляє нам, що причиною помилки може бути виправлення шифрування CredSSP.

Виправляємо помилку перевірки автентичності протоколу CredSSP

Чому з’являється ця помилка

Давайте детально розберемося, чому ж виникає ця помилка. Справа в тому, що березень 2018 року відзначився випуском Microsoft апдейта, який заборонив підключення до віддалених робочих столів (RDP-серверам), тому що в протоколі CredSSP були виявлені вразливі місця. І, якщо на ОС Windows, встановлену на нашому комп’ютері, автоматично НЕ інсталювалися березневі поновлення, то з травня 2018 року підключення по RDP виявилося зовсім неможливим. Причиною цього став повну заборону за замовчуванням, внаслідок якого користувачі не можуть підключитися до віддаленого робочого столу зі старою версією протоколу CredSSP. На екрані з’являється таке повідомлення.

Повідомлення про помилку в протоколі CredSSP

Отже, що ж потрібно зробити, щоб виправити цю помилку?

Як вирішити помилку в протоколі CredSSP

Ті, хто вже зіткнувся з наслідками впровадження актуальних оновлень від Microsoft, радять зробити в такий спосіб. потрібно:

  1. Інсталювати з офіційного сайту потрібну версію поновлення CVE-2018-0886, підібравши її під свою ОС Windows.
  2. Якщо не виходить пропатчити протокол CredSSP, то просто відключити повідомлення про помилку шифрування.

Другий метод не рекомендується, тому що проблему «Причиною помилки може бути виправлення шифрування CredSSP» не вирішує, але може допомогти тимчасово не отримувати повідомлення про помилку і тому набирає популярність в середовищі користувачів.

Перше, що потрібно зробити – включити ручний режим в установці оновлень. Потім, що б ви не робили, щоб на час відключити повідомлення про помилку, апдейти все ж потрібно інсталювати, інакше так і не вийде підключитися до віддаленого робочого столу.

установка оновлень

Під кожну версію ОС Windows випущено своє оновлення, яке і потрібно встановити з каталогу ЦО Microsoft. Нижче знаходимо потрібну версію CVE-2018-0886 для своєї операційної системи:

– Windows 10 1803, Server 2016 1803.
– Windows 10 1709, Server 2016 1709.
– Windows 10 1703 Server 2016 1703.
– Windows 10 1607, Server 2016 1607, Server 2016.
– Windows 10 1511, Server 2016 1511.
– Windows 10.
– Windows 8.1, Server 2012 R2, Server 2012.
– Windows 7, Server 2008 R2.

Кількома на назву своєї ОС і викачуємо потрібний патч.

Відключення повідомлень через редактор локальної групової політики

Відкриваємо редактор локальної групової політики через введення в рядку “Виконати” команди gpedit.msc. Перед нами з’являється таке вікно.

Вікно редактора локальної групової політики

  1. Далі проходимо шлях “Конфігурація комп’ютера” -> “Адміністративні шаблони” -> “Система” -> “Передача облікових даних”.
  2. Шукаємо параметр “Виправлення вразливості шифрувального оракула” і переводимо його в стан “ВКЛ”.
  3. Задаємо рівень захисту “Залишити вразливість”.
  4. Все, перезавантажуємо пристрій і пробуємо підключитися до віддаленого робочого столу.

Що робити, якщо в ОС немає параметра “Виправлення вразливості шифрувального оракула”?

  1. В цьому випадку в реєстрі прописуємо потрібні параметри вручну.
  2. У рядку “Виконати” набираємо команду regedit.
  3. У відкритому редакторі реєстру проходимо по шляху HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters.
  4. Тут шукаємо параметр DWORD під ім’ям AllowEncryptionOracle і присвоюємо йому значення 2.
  5. Якщо цього параметра немає в нашій Windows, то створюємо його.
  6. Обов’язково перезавантажуємо пристрій і продовжуємо роботу.

Можна піти іншим шляхом:

  1. Відкрити командний рядок від імені адміністратора.
  2. Ввести REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2.
  3. Підтвердити дію.
  4. Поставити комп’ютер на перезавантаження.

За допомогою даної команди ми вносимо зміни до реєстру, що дозволяє нашому пристрою підключатися по протоколу CredSSP.

Як контролювати установку оновлень на підприємстві

Для того, щоб інсталювати актуальні поновлення відразу на всіх локальних пристроях підприємства, на сервері необхідно мати програму WSUS. З її допомогою відбувається контроль за встановленими апдейтами, коректна інсталяція яких відбивається в одержуваних звітах.

Хоч би якими були шляхи обходу блокування підключення до віддаленого робочого столу, цей захід тимчасовий. Для безперебійної роботи підприємства потрібно постійно стежити за випуском оновлень і вчасно їх встановлювати.

Ссылка на основную публикацию