Начиная с 8 мая 2018 года, после установки обновлений на свой персональный компьютер, многие пользователи серверов под управлением ОС Windows Server при попытке подключения к удалённому рабочему столу, столкнулись с ошибкой CredSSP encryption oracle remediation:
На самом деле это не ошибка, а уведомление о проблеме безопасности вашего сервера.
13 марта 2018 года вышло исправление уязвимости в протоколе CredSSP. Эта уязвимость позволяет в обход проверки выполнять на самом сервере от имени передаваемых учётных записей различные команды, включая установку и удаление произвольного программного обеспечения, изменение и удаление данных на сервере, создание учётных записей с произвольными правами.
С этой проблемой не столкнулись те, кто своевременно устанавливал накопительные обновления на свой сервер. В марте они вышли для серверных операционных систем, для десктопных ОС они автоматически установились с прочими обновлениями в мае.
Для решения проблемы первым делом нужно к нему все-таки к серверу подключиться. Проще всего это сделать через авариный режим работы в вашем личном кабинете (просто кликните на скриншот сервера).
Или же вы можете на время просто отключить на вашем компьютере (с которого пытаетесь подключаться) данное блокирующее уведомление о проблеме безопасности:
Инструкция для тех, кто пользуется редакцией Windows HOME:
-
Запустите на вашем компьютере (том, с которого хотите подключиться к серверу) командную строку от имени администратора
-
Наберите следующий текст в командной строке (можно скопировать и вставить):
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Эта команда вносит изменения в реестр Windows, разрешая вашему компьютеру подключаться с протоколом шифрования CredSSP к ещё необновлённому серверу.
Если в результате выполнения вы получили ошибку «Отказано в доступе», значит вы запустили командную строку НЕ от имени администратора (см. на скриншоте выше как запускается командная строка корректно).
Инструкция для тех, кто пользуется редакцией Windows PRO:
-
Откройте редактор групповых политик, для этого в командной строке или в PowerShell наберите gpedit.msc или найдите его через поиск на вашем ПК по фразе Edit group policy или Изменение групповой политики если вы работаете в русскоязычном интерфейсе.
Если после выполнения этой команды вы получили ошибку о том, что команда не найдена или не является внутренней или внешней командой, значит у вас Windows не версии PRO, а скорее всего HOME и вам нужно смотреть инструкцию выше.
-
В папках настроек дерева слева вам необходимо открыть:
Computer Configuration -> Administrative Templates -> System -> Credentials Delegation
если ваша ОС русифицирована, то:
Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных
-
В папке Credentials Delegation («Передача учетных данных») найдите параметр Encryption Oracle Remediation («Исправление уязвимости шифрующего оракула»), откройте его, включите его использование, выбрав Enabled («Включено») и установите значение параметра в выпадающем списке на Vulnerable («Оставить уязвимость»)
После выполнения этих действий на вашем ПК, вы сможете подключаться к серверу также, как и раньше, но это не решение проблемы безопасности.
Как только вы подключились к серверу, установите обновления, как это делается в любой десктопной версии Windows.
Если при попытке установки возникает ошибка, поверьте запущена ли служба Windows Update («Центр обновления Windows»). Открыть список служб можно по пути:
Start -> Windows Administrative Tools -> Services
если ваша ОС русифицирована, то:
Пуск -> Средства администрирования Windows -> Службы
Если служба не запускается, проверьте, разрешен ли ее запуск: статус не должен быть Disabled («Отключена»).
Если вы используете Windows Server 2012 R2 или Windows Server 2008 R2 SP1, то вы можете не установить все обновления, а установить только одно, исправляющее эту уязвимость и тем самым значительно быстрее решить проблему подключения к серверу.
Если, прочитав всё описанное выше, вам так и не удалось понять, что нужно сделать или если ничего не получилось, вы всегда можете пересоздать сервер в личном кабинете – эта функция создана для получения сервера чистого, как будто вы только что его заказали, он будет пустым, все ваши данных будут потеряны! Прибегаете к ней только в крайней необходимости и в случае если на вашем сервере не хранится и не работает ничего важного или требующего долгой последующей настройки.
Все наши образы ОС Windows Server по умолчанию содержат все последние обновления и после пересоздания сервера проблем с ошибкой CredSSP encryption oracle remediation при подключении к нему уже не будет.