現(xiàn)象描述
通過(guò)微軟的 RDP 協(xié)議客戶端 遠(yuǎn)程連接 Windows 實(shí)例時(shí)報(bào)錯(cuò):出現(xiàn)身份驗(yàn)證錯(cuò)誤���,要求的函數(shù)不受支持�����。
原因分析
微軟官方 2018 年 5 月更新了憑據(jù)安全支持提供程序協(xié)議(CredSSP)相關(guān)補(bǔ)丁和身份驗(yàn)證請(qǐng)求方式���。當(dāng)出現(xiàn)以下任一配置策略時(shí)會(huì)出現(xiàn)該連接錯(cuò)誤:
-
配置策略一:客戶端的策略為未修補(bǔ),服務(wù)器端策略為強(qiáng)制更新的客戶端���。
-
配置策略二:客戶端策略為強(qiáng)制更新的客戶端�,服務(wù)器端策略為未修補(bǔ)����。
-
配置策略三:客戶端的策略為緩解,服務(wù)器端策略為未修補(bǔ)���。
解決方法
(推薦)方法一. 下載安全更新
在所有的客戶端和 Windows 實(shí)例上更新最新的 5 月份累積更新���。
說(shuō)明:通過(guò) 遠(yuǎn)程連接功能 登錄 Windows 實(shí)例。
您可以從 Windows Update 檢查并安裝安全更新����,也可以訪問(wèn)微軟官網(wǎng) CVE-2018-0886 CredSSP 遠(yuǎn)程執(zhí)行代碼漏洞 下載對(duì)應(yīng)操作系統(tǒng)的 Security Update。
方法二. 修改注冊(cè)表
您可以選擇手動(dòng)修改注冊(cè)表�,也可以選擇運(yùn)行我們?yōu)槟鷾?zhǔn)備的 PowerShell 腳本。
警告:使用注冊(cè)表編輯器或其他方法修改注冊(cè)表不當(dāng)���,可能會(huì)出現(xiàn)嚴(yán)重問(wèn)題�。這些問(wèn)題可能需要您重新安裝操作系統(tǒng)��。方法二會(huì)降低您本地計(jì)算機(jī)或?qū)嵗陌踩?���,您需要自行承?dān)修改注冊(cè)表風(fēng)險(xiǎn)。因此��,我們建議您使用 方法一�。
說(shuō)明:
- 當(dāng)原因?yàn)椴呗耘渲靡粫r(shí),您需要通過(guò) 遠(yuǎn)程連接功能 登錄并修復(fù)目標(biāo)實(shí)例�。當(dāng)原因?yàn)椴呗耘渲枚腿龝r(shí),您需要修復(fù)本地計(jì)算機(jī)�。
- 在修改注冊(cè)表之前,建議您先通過(guò) 創(chuàng)建快照 備份數(shù)據(jù)�,以免數(shù)據(jù)丟失。
手動(dòng)修改
-
登錄實(shí)例或者本地計(jì)算機(jī)�����。
-
單擊 開(kāi)始 > 運(yùn)行����,輸入 regedit��,單擊 確定��。
-
定位到 HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters 鍵��。如果 CredSSP 或者 Parameters 鍵不存在����,請(qǐng)新建 CredSSP 或者 Parameters 鍵��。
-
在 Parameters 鍵下新建 DWORD 值 AllowEncryptionOracle�,并設(shè)置數(shù)據(jù)為 2。
-
重啟實(shí)例或者本地計(jì)算機(jī)�。
腳本修改
-
登錄實(shí)例或者本地計(jì)算機(jī)。
-
以管理員身份運(yùn)行以下 PowerShell 腳本����。
New-Item -Path HKLM:SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem -Name CredSSP -ForceNew-Item -Path HKLM:SoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSP -Name Parameters -ForceGet-Item -Path HKLM:SoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters | New-ItemProperty -Name AllowEncryptionOracle -Value 2 -PropertyType DWORD -Force
-
重啟實(shí)例或者本地計(jì)算機(jī)。
說(shuō)明:若您優(yōu)先使用方法二修改了注冊(cè)表�����,隨后又更新了客戶端和ECS實(shí)例安全補(bǔ)丁�����,我們建議您將 AllowEncryptionOracle 的數(shù)據(jù)設(shè)為 0 或者 1 以獲得更高的安全性。
參考鏈接
