リモートデスクトップ接続で認証エラー(CredSSP 暗号化オラクルの修復)への対処方法

5月9日のWindows Update後、一部のサーバーにリモートデスクトップでアクセスできなくなった。

 

認証エラーが発生しました。
要求された関数はサポートされていません

リモート コンピューター: <コンピュータ名>
原因は CredSSP 暗号化オラクルの修復である可能性があります。
詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください

 

原因

CredSSPという認証プロトコルの脆弱性対策で、クライアント側に2018年5月9日公開のWindows Updateのパッチが適用されると、セキュリティの要求レベルがあがるため。3月にリリースされたパッチがサーバー側で未適用の場合、リモートデスクトップ接続ができなくなる。

 

解決方法

1. サーバーとクライアントのWindows Updateを両方最新にする

これが一番理想。少なくともサーバー側に2018年3月の更新プログラムが適用されていればよい。
 

2. ローカルセキュリティポリシーで回避

クライアント側で下記の設定を行うことでも回避できる。しかし、セキュリティリスクは高まるので注意。

ローカルグループポリシー エディター(gpedit.msc)で、次の設定を行う。

[コンピューターの構成]
- [管理用テンプレート]
 - [システム]
  - [資格情報の委任]
   - [暗号化オラクルの修復] を開く
    →「有効」にチェックを入れて「保護レベル : 脆弱」にして「適用」

 

3. レジストリ変更で回避

これもクライアント側で下記の設定を行うことでも回避できる。
セキュリティリスクは高まるのは2と同じ。
クライアント側で下記レジストリもしくは REG ADD コマンドで追加する。

●レジストリ
 レジストリパス : HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
 値 : AllowEncryptionOracle
 データの種類 : DWORD
 値 : 2

●コマンド
 REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t  REG_DWORD /d 2

※ レジストリ変更後に再起動は必要なし。

 
他にも、リモートデスクトップ接続先で NLA (Network Level Authentication) を強制しないようにすることで接続可能となる方法もあるが、Microsoftが推奨していないので割愛。

 

参考

2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響