リモートデスクトップ接続で認証エラー(CredSSP 暗号化オラクルの修復)への対処方法
5月9日のWindows Update後、一部のサーバーにリモートデスクトップでアクセスできなくなった。
認証エラーが発生しました。
要求された関数はサポートされていません
リモート コンピューター: <コンピュータ名>
原因は CredSSP 暗号化オラクルの修復である可能性があります。
詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください
原因
CredSSPという認証プロトコルの脆弱性対策で、クライアント側に2018年5月9日公開のWindows Updateのパッチが適用されると、セキュリティの要求レベルがあがるため。3月にリリースされたパッチがサーバー側で未適用の場合、リモートデスクトップ接続ができなくなる。
解決方法
1. サーバーとクライアントのWindows Updateを両方最新にする
これが一番理想。少なくともサーバー側に2018年3月の更新プログラムが適用されていればよい。
2. ローカルセキュリティポリシーで回避
クライアント側で下記の設定を行うことでも回避できる。しかし、セキュリティリスクは高まるので注意。
ローカルグループポリシー エディター(gpedit.msc)で、次の設定を行う。
[コンピューターの構成]
- [管理用テンプレート]
- [システム]
- [資格情報の委任]
- [暗号化オラクルの修復] を開く
→「有効」にチェックを入れて「保護レベル : 脆弱」にして「適用」
3. レジストリ変更で回避
これもクライアント側で下記の設定を行うことでも回避できる。
セキュリティリスクは高まるのは2と同じ。
クライアント側で下記レジストリもしくは REG ADD コマンドで追加する。
●レジストリ
レジストリパス : HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
値 : AllowEncryptionOracle
データの種類 : DWORD
値 : 2
●コマンド
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
※ レジストリ変更後に再起動は必要なし。
他にも、リモートデスクトップ接続先で NLA (Network Level Authentication) を強制しないようにすることで接続可能となる方法もあるが、Microsoftが推奨していないので割愛。