現(xiàn)象描述
通過微軟的 RDP 協(xié)議客戶端 遠程連接 Windows 實例時報錯:出現(xiàn)身份驗證錯誤,要求的函數(shù)不受支持����。
原因分析
微軟官方 2018 年 5 月更新了憑據(jù)安全支持提供程序協(xié)議(CredSSP)相關補丁和身份驗證請求方式��。當出現(xiàn)以下任一配置策略時會出現(xiàn)該連接錯誤:
-
配置策略一:客戶端的策略為未修補����,服務器端策略為強制更新的客戶端���。
-
配置策略二:客戶端策略為強制更新的客戶端���,服務器端策略為未修補。
-
配置策略三:客戶端的策略為緩解����,服務器端策略為未修補。
解決方法
(推薦)方法一. 下載安全更新
在所有的客戶端和 Windows 實例上更新最新的 5 月份累積更新�����。
說明:通過 遠程連接功能 登錄 Windows 實例�����。
您可以從 Windows Update 檢查并安裝安全更新,也可以訪問微軟官網(wǎng) CVE-2018-0886 CredSSP 遠程執(zhí)行代碼漏洞 下載對應操作系統(tǒng)的 Security Update����。
方法二. 修改注冊表
您可以選擇手動修改注冊表,也可以選擇運行我們?yōu)槟鷾蕚涞?PowerShell 腳本�����。
警告:使用注冊表編輯器或其他方法修改注冊表不當���,可能會出現(xiàn)嚴重問題�����。這些問題可能需要您重新安裝操作系統(tǒng)�����。方法二會降低您本地計算機或?qū)嵗陌踩?,您需要自行承擔修改注冊表風險�����。因此���,我們建議您使用 方法一����。
說明:
- 當原因為策略配置一時��,您需要通過 遠程連接功能 登錄并修復目標實例����。當原因為策略配置二和三時,您需要修復本地計算機�����。
- 在修改注冊表之前���,建議您先通過 創(chuàng)建快照 備份數(shù)據(jù)�,以免數(shù)據(jù)丟失���。
手動修改
-
登錄實例或者本地計算機�����。
-
單擊 開始 > 運行�,輸入 regedit,單擊 確定���。
-
定位到 HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters 鍵��。如果 CredSSP 或者 Parameters 鍵不存在�����,請新建 CredSSP 或者 Parameters 鍵�。
-
在 Parameters 鍵下新建 DWORD 值 AllowEncryptionOracle��,并設置數(shù)據(jù)為 2��。
-
重啟實例或者本地計算機�。
腳本修改
-
登錄實例或者本地計算機。
-
以管理員身份運行以下 PowerShell 腳本��。
New-Item -Path HKLM:SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem -Name CredSSP -ForceNew-Item -Path HKLM:SoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSP -Name Parameters -ForceGet-Item -Path HKLM:SoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters | New-ItemProperty -Name AllowEncryptionOracle -Value 2 -PropertyType DWORD -Force
-
重啟實例或者本地計算機���。
說明:若您優(yōu)先使用方法二修改了注冊表��,隨后又更新了客戶端和ECS實例安全補丁����,我們建議您將 AllowEncryptionOracle 的數(shù)據(jù)設為 0 或者 1 以獲得更高的安全性��。
參考鏈接
