Windows Server 2012 R2 遠端桌面連線 出現身份錯誤 要求的函式不受支援
阿新 • • 發佈:2019-02-02
解決方法win + R(如果沒有找到加密 Oracle修正,建議Windows更新)
輸入 gpedit.msc
本地組策略編輯器>計算機配置>管理模板>系統>憑據分配>編輯加密 Oracle修正
將保護級別從 已緩解 修改為 易受攻擊
組策略
| 策略路徑和設定名稱 | 說明 |
|---|---|
| 策略路徑:“計算機配置”->“管理模板”->“系統”->“憑據分配” | 加密 oracle 修正 設定可應用於使用 CredSSP 元件(例如,遠端桌面連線)的應用程式。 CredSSP 協議的某些版本容易受到針對客戶端的加密 oracle 攻擊。 此策略控制與易受攻擊的客戶端和伺服器的相容性。 此策略允許你設定針對加密 oracle 漏洞的防護級別。 如果啟用此策略設定,將會基於以下選項選擇 CredSSP 版本支援: 強制更新的客戶端– 緩解– 使用 CredSSP 的客戶端應用程式將無法回退到不安全的版本,但使用 CredSSP 的服務將接受未修補的客戶端。 易受攻擊– 使用 CredSSP 的客戶端應用程式將通過支援回退到不安全的版本使遠端伺服器遭受攻擊,但使用 CredSSP 的服務將接受未修補的客戶端。 |
“加密 Oracle 修正組策略”支援以下三個選項,應將這些選項應用於客戶端和伺服器:
| 策略設定 | 登錄檔值 | 客戶端行為 | 伺服器行為 |
|---|---|---|---|
| 強制更新的客戶端 | 0 | 使用 CredSSP 的客戶端應用程式將無法回退到不安全的版本。 | 使用 CredSSP 的服務將不接受未修補的客戶端。注意 |
| 緩解 | 1 | 使用 CredSSP 的客戶端應用程式將無法回退到不安全的版本。 | 使用 CredSSP 的服務將接受未修補的客戶端。 |
| 易受攻擊 | 2 | 使用 CredSSP 的客戶端應用程式將通過支援回退到不安全的版本使遠端伺服器遭受攻擊。 | 使用 CredSSP 的服務將接受未修補的客戶端。 |
第二次更新(於 2018 年 5 月 8 日釋出)會將預設行為更改為“緩解”選項。
注意 對加密 Oracle 修正的任何更改都需要重啟。
登錄檔值
警告 如果使用登錄檔編輯器或其他方法修改登錄檔不當,可能會出現嚴重問題。 這些問題可能需要您重新安裝作業系統。 Microsoft 不能保證可解決這些問題。 請自行承擔修改登錄檔的風險。
此更新引入了以下注冊表設定:
| 登錄檔路徑 | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|---|---|
| 值 | AllowEncryptionOracle |
| 資料型別 | DWORD |
| 是否需要重啟? | 是 |
互操作性矩陣
客戶端和伺服器都需要更新,否則,Windows 和第三方 CredSSP 客戶端可能無法連線到 Windows 或第三方主機。 有關易受攻擊或導致操作失敗的情況,請參閱以下互操作性矩陣。
| 伺服器 | |||||
|---|---|---|---|---|---|
| 未修補 | 強制更新的客戶端 | 緩解 | 易受攻擊 | ||
| 客戶端 | 未修補 | 允許 | 阻止 | 允許 | 允許 |
| 強制更新的客戶端 | 阻止 | 允許 | 允許 | 允許 | |
| 緩解 | 阻止 | 允許 | 允許 | 允許 | |
| 易受攻擊 | 允許 | 允許 | 允許 | 允許 |
| 客戶端設定 | CVE-2018-0886 修補程式狀態 |
|---|---|
| 未修補 | 易受攻擊 |
| 強制更新的客戶端 | 安全 |
| 緩解 | 安全 |
| 易受攻擊 | 易受攻擊 |