リモートデスクトップで接続しようとすると認証エラーが発生する。

2018年6月5日2018年10月30日

リモートデスクトップ接続しようとすると「認証エラーが発生しました。要求された関数はサポートされていません。」と表示されて接続できない

２０１８年６月４日（月）にリモートデスクトップでいつものサーバにログインしようとするとエラーメッセージが表示されて接続できませんでした。
心当たりは２０１８年６月１日（金）に「更新プログラムをインストールしてシャットダウンする」を実行したこと。接続先のサーバはWindowsUpdateを適用していないこと。くらいです。

1. 結論
2. 環境
3. 現象
4. 対処

結論

接続元となるクライアントPCのグループポリシー：[コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [資格情報の委任]の「暗号化オラクルの修復」を「有効：脆弱」に設定することで解消する。

2018 年 5 月の更新プログラム適用によるリモートデスクトップ接続への影響 | Micros

2018 年 5 月の更新プログラム適用によるリモートデスクトップ接続への影響 | Microsoft Learn Skip t ...

https://blogs.technet.microsoft.com/askcorejp/2018/05/02/201...

環境

クライアントPC（接続元）：Windows １０
サーバ（接続先）：Windows Server ２０１２R２（２０１６年から更新プログラムを適用していません。）

現象

クライアントPC上の「リモートデスクトップ接続」を起動
対象サーバのIPアドレスを入力して「接続」
Windowsセキュリティーのダイヤログでユーザ名とパスワードを入力
すると下記のダイヤログが表示されて「リモートデスクトップ接続」画面に戻ります。

[Window Title]
リモート デスクトップ接続

[Content]
認証エラーが発生しました。
要求された関数はサポートされていません

リモート コンピューター: 10.239.102.104
原因は CredSSP 暗号化オラクルの修復である可能性があります。
詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください

[OK]

対処

素直に＜https://go.microsoft.com/fwlink/?linkid=866660＞にアクセスしてみる。

CredSSP updates for CVE-2018-0886 - Microsoft Support

Describes details for the CredSSP updates for CVE-2018-0886.

https://go.microsoft.com/fwlink/?linkid=866660

2018 年 5 月 9 日

既定の設定を [Vulnerable] から [Mitigated] に変更する更新プログラムです。

関連するマイクロソフトサポート技術情報番号については、CVE-2018-0886 を参照してください。

既定では、この更新プログラムをインストールした後に、パッチが適用されたクライアントはパッチが適用されていないサーバーと通信できなくなります。 “許可した” 構成を有効にするには、この資料に記載されている相互運用性一覧とグループポリシーの設定を使用してください。

２０１８年５月９日に公開された更新プログラムの適用により既定の設定（たぶん”既定の動作”が正確な表現ですね）が変更になった模様

サーバのグループポリシーを変更するのはいろいろ手続きが大変になるのでクライアントPCのグループポリシーの変更のみで対応する方針

ポリシーのパス: [コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [資格情報の委任]

設定名: Encryption Oracle Remediation

日本語の設定名は「暗号化オラクルの修復」でした。

①　グループポリシーを「未構成」⇒「有効」に変更
②　オプションの保護レベルを「緩和」・「更新済みクライアントの強制」・「脆弱」から選択

ヘルプ

暗号化オラクル対策

このポリシー設定は、CredSSP コンポーネント (例: リモートデスクトップ接続) を使用するアプリケーションに適用されます。

一部のバージョンの CredSSP プロトコルには、クライアントに対する暗号化オラクル攻撃を受けやすい脆弱性があります。このポリシーは、攻撃を受けやすいクライアントおよびサーバーとの互換性を制御します。このポリシーを使用すると、暗号化オラクル攻撃に対する脆弱性について、望ましい保護レベルを設定できます

このポリシー設定を有効にした場合、サポート対象の CredSSP バージョンは、以下のオプションに基づいて選択されます。

クライアントの強制更新: CredSSP を使用するクライアントアプリケーションは、安全でないバージョンにフォールバックすることができなくなります。CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否します。注: この設定は、すべてのリモートホストが最新バージョンに対応するまで展開しないでください。

軽減: CredSSP を使用するアプリケーションは、安全でないバージョンにフォールバックすることができなくなります。ただし、CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否しません。パッチ未適用のクライアントが原因で生じるリスクに関する重要な情報については、以下のリンクを参照してください。

脆弱: CredSSP を使用するクライアントアプリケーションが安全でないバージョンにフォールバックできるようになり、リモートサーバーが攻撃に対して無防備な状態になります。CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否しません。

脆弱性と保護のサービス処理要件について詳しくは、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください。

保護レベル値を「緩和」にして「> gpupdate /force」⇒解消せず
保護レベル値を「脆弱」にして「> gpupdate /force」⇒接続できた。
グループポリシーを無効にする。⇒解消せず。

「Microsoftサポート｜CVE-2018-0886 の CredSSP の更新プログラム」記事ではレジストリの変更によって対応する方法も記載されていましたが試していません。

以上

Windows Server,Windowsリモートデスクトップ,更新プログラム,認証エラー,暗号化オラクル