遠程桌面報錯：因爲CredSSP加密Oracle修正

在使用windows進行遠程桌面時，出現如下報錯：

根據官方提供信息可知：此問題由Windows於2018年5月8日的更新所致使（CVE-2018-0886 的 CredSSP 更新）。此前已修復在CredSSP 的未修補版本中存在的遠程代碼執行漏洞，但在5月8日發佈的更新中則將"加密Oracle修正"默認設置從「易受***」更改成「緩解」的更新。

所以在安裝此更新後， 默認狀況下已修補的客戶端沒法與未修補的服務端進行通訊，並彈出如上圖的錯誤提示。

常見的解決方法：

一、針對已修補的客戶端

經過組策略（較爲便捷）： 運行 gpedit.msc 本地組策略，選擇"計算機配置">"管理模板">"系統">"憑據分配">"加密Oracle修正"，選擇"啓用"並選擇"易受***"便可。若組策略沒有出現"加密Oracle修正"，則說明此計算機還沒有修補更新。

經過註冊表（針對無組策略功能的家庭版Windows）：運行 regedit 註冊表，跳轉到路徑：HKLM(縮寫)\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters，若無相應表項則需自行建立，在Parameters項的右側欄新建類型爲 DWORD (32)位、名稱爲"AllowEncryptionOracle"的數據，最後重啓計算機。

二、針對未修補的服務端

修改遠程設置（不建議）：運行 sysdm.cpl 系統屬性，選擇"遠程"，並將"僅容許運行使用網絡基自己份驗證的遠程桌面的計算機鏈接(建議)"去掉打勾。

安裝更新補丁（推薦）：網上提供的方法多爲在客戶端上修改組策略，但實際上這種方法下降了計算機的安全性，並不符合微軟官方指望，不建議做長期設置。最佳的作法應該是在未修補的計算機上安裝相應的安全更新包，特別是在企業服務器上。可查詢微軟各操做系統於2018年5月8日的安全更新包進行下載和安裝，如下列舉常見系統版本對應的更新包，分別是：

Windows 10 1703版 —— KB4103731

Windows 8.1 和 Windows Server 2012 R2 —— KB4103715

Windows 7 SP1 和 Windows Server 2008 R2 SP1 —— KB4103712

客戶端和服務器都須要更新，不然，Windows 和第三方 CredSSP 客戶端可能沒法鏈接到 Windows 或第三方主機。 有關致使操做失敗的狀況，請參閱如下的互操做性矩陣。

CredSSP 協議		服務端
客 戶 端		未修補	強制更新的客戶端	緩解	易受***
	未修補	容許	阻止	容許	容許
	強制更新的客戶端	阻止	容許	容許	容許
	緩解	阻止	容許	容許	容許
	易受***	容許	容許	容許	容許

---

文章參考：

CVE-2018-0886 的 CredSSP 更新

Windows 官方補丁下載中心

KB4103731 - 2018年5月8日 - Windows 10 歷史更新記錄

Windows 8.1 和 Windows Server 2012 R2 更新歷史記錄