リモートデスクトップで接続しようとすると認証エラーが発生する。
リモートデスクトップ接続しようとすると「認証エラーが発生しました。要求された関数はサポートされていません。」と表示されて接続できない
2018年6月4日(月)にリモートデスクトップでいつものサーバにログインしようとするとエラーメッセージが表示されて接続できませんでした。
心当たりは2018年6月1日(金)に「更新プログラムをインストールしてシャットダウンする」を実行したこと。接続先のサーバはWindowsUpdateを適用していないこと。くらいです。
結論
接続元となるクライアントPCのグループポリシー:[コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [資格情報の委任]の「暗号化オラクルの修復」を「有効:脆弱」に設定することで解消する。
環境
- クライアントPC(接続元):Windows 10
- サーバ(接続先):Windows Server 2012R2(2016年から更新プログラムを適用していません。)
現象
- クライアントPC上の「リモートデスクトップ接続」を起動
- 対象サーバのIPアドレスを入力して「接続」
- Windowsセキュリティーのダイヤログでユーザ名とパスワードを入力
- すると下記のダイヤログが表示されて「リモートデスクトップ接続」画面に戻ります。
[Window Title]
リモート デスクトップ接続
[Content]
認証エラーが発生しました。
要求された関数はサポートされていません
リモート コンピューター: 10.239.102.104
原因は CredSSP 暗号化オラクルの修復である可能性があります。
詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください
[OK]
対処
素直に<https://go.microsoft.com/fwlink/?linkid=866660>にアクセスしてみる。
2018 年 5 月 9 日
既定の設定を [Vulnerable] から [Mitigated] に変更する更新プログラムです。
関連するマイクロソフト サポート技術情報番号については、CVE-2018-0886 を参照してください。
既定では、この更新プログラムをインストールした後に、パッチが適用されたクライアントはパッチが適用されていないサーバーと通信できなくなります。 “許可した” 構成を有効にするには、この資料に記載されている相互運用性一覧とグループ ポリシーの設定を使用してください。
2018年5月9日に公開された更新プログラムの適用により既定の設定(たぶん”既定の動作”が正確な表現ですね)が変更になった模様
サーバのグループポリシーを変更するのはいろいろ手続きが大変になるのでクライアントPCのグループポリシーの変更のみで対応する方針
ポリシーのパス: [コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [資格情報の委任]
設定名: Encryption Oracle Remediation
日本語の設定名は「暗号化オラクルの修復」でした。
① グループポリシーを「未構成」⇒「有効」に変更
② オプションの保護レベルを「緩和」・「更新済みクライアントの強制」・「脆弱」から選択
ヘルプ
暗号化オラクル対策
このポリシー設定は、CredSSP コンポーネント (例: リモート デスクトップ接続) を使用するアプリケーションに適用されます。
一部のバージョンの CredSSP プロトコルには、クライアントに対する暗号化オラクル攻撃を受けやすい脆弱性があります。このポリシーは、攻撃を受けやすいクライアントおよびサーバーとの互換性を制御します。このポリシーを使用すると、暗号化オラクル攻撃に対する脆弱性について、望ましい保護レベルを設定できます
このポリシー設定を有効にした場合、サポート対象の CredSSP バージョンは、以下のオプションに基づいて選択されます。
クライアントの強制更新: CredSSP を使用するクライアント アプリケーションは、安全でないバージョンにフォールバックすることができなくなります。CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否します。注: この設定は、すべてのリモート ホストが最新バージョンに対応するまで展開しないでください。
軽減: CredSSP を使用するアプリケーションは、安全でないバージョンにフォールバックすることができなくなります。ただし、CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否しません。パッチ未適用のクライアントが原因で生じるリスクに関する重要な情報については、以下のリンクを参照してください。
脆弱: CredSSP を使用するクライアント アプリケーションが安全でないバージョンにフォールバックできるようになり、リモート サーバーが攻撃に対して無防備な状態になります。CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否しません。
脆弱性と保護のサービス処理要件について詳しくは、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください。
- 保護レベル値を「緩和」にして「> gpupdate /force」⇒解消せず
- 保護レベル値を「脆弱」にして「> gpupdate /force」⇒接続できた。
- グループポリシーを無効にする。⇒解消せず。
「Microsoftサポート|CVE-2018-0886 の CredSSP の更新プログラム」記事ではレジストリの変更によって対応する方法も記載されていましたが試していません。
以上