RDP 인증 오류:CredSSP 암호화 Oracle 수정

2018년 5월 이후에 발행된 Windows 보안 업데이트를 설치한 후 CredSSP 암호화 오라클 수정에 직면할 수 있습니다. 다음과 같은 경우 원격 Windows 서버 또는 컴퓨터에 RDP 연결 중 오류:

• 최근에 설치된 이전 Windows 버전(예:Windows 10 RTM 또는 빌드 1709 이하, Windows Server 2012 R2, Windows Server 2016)이 설치된 컴퓨터의 원격 데스크톱에 연결하려고 합니다. Windows 보안 업데이트가 설치되지 않았습니다.
• RDP를 통해 Microsoft 업데이트가 오랫동안 설치되지 않은 컴퓨터에 연결하려고 합니다.
• 컴퓨터에 필요한 보안 업데이트가 없기 때문에 원격 컴퓨터에서 RDP 연결을 차단했습니다.

RDP 오류 CredSSP 암호화 오라클 수정이 무엇인지 알아보겠습니다. 수단과 해결 방법.

따라서 Windows Server 2016/2012 R2/2008 R2를 실행하는 RDS 서버의 RemoteApp에 연결하거나 RDP 프로토콜(Windows 10, 8.1 또는 7)을 사용하는 다른 사용자의 원격 데스크톱에 연결하려고 하면 오류가 나타납니다. 원격 데스크톱 연결
인증 오류가 발생했습니다.
지원되지 않는 기능입니다.
원격 컴퓨터:호스트 이름
CredSSP 암호화 Oracle 수정으로 인한 것일 수 있습니다.

이 오류는 RDP를 통해 연결하려는 원격 Windows 인스턴스에 Windows 보안 업데이트(최소 2018년 3월 이후)가 설치되지 않았기 때문에 발생합니다.

2018년 3월, Microsoft는 CredSSP(Credential Security Support Provider) 프로토콜의 취약점을 사용하여 원격 코드 실행을 차단하는 업데이트를 출시했습니다(게시판 CVE-2018-0886). 2018년 5월에 Windows 클라이언트가 취약한(패치되지 않은) 버전의 CredSSP 프로토콜을 사용하여 원격 RDP 서버에 연결하는 것을 기본적으로 방지하는 추가 업데이트가 게시되었습니다.

따라서 2018년 3월 이후 Windows RDS/RDP 서버(컴퓨터)에 누적 보안 업데이트를 설치하지 않았고 2018년 5월 업데이트(또는 그 이상)가 RDP 클라이언트에 설치된 경우 패치가 적용되지 않은 RDS 서버에 연결하려고 할 때 CredSSP 버전 오류가 나타납니다. CredSSP 암호화 Oracle 수정으로 인한 것일 수 있음 .

다음 보안 업데이트가 설치된 후 클라이언트의 RDP 오류가 나타납니다.

• Windows 7/Windows Server 2008 R2 — KB4103718
• Windows 8.1 / Windows Server 2012 R2 — KB4103725
• Windows 서버 2016 — KB4103723
• Windows 10 1803 — KB4103721
• 윈도우 10 1709 — KB4103727
• 윈도우 10 1703 — KB4103731
• Windows 10 1609 — KB4103723

원격 데스크톱 연결을 복원하기 위해 원격 컴퓨터에서 지정된 보안 업데이트를 제거할 수 있습니다(그러나 권장하지 않음 더 안전하고 정확한 솔루션이 있습니다.)

연결 문제를 해결하려면 일시적으로 RDP를 통해 연결하는 컴퓨터에서 CredSSP 버전 확인을 비활성화합니다. 로컬 그룹 정책 편집기를 사용하여 수행할 수 있습니다.

1. 로컬 GPO 편집기 실행:gpedit.msc;
2. GPO 섹션으로 이동 컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> 자격 증명 위임;
   
3. Encryption Oracle Remediation이라는 이름의 정책을 찾습니다. , 정책을 활성화하고 보호 수준을 취약함으로 설정합니다.;
4. 컴퓨터의 정책 설정 업데이트(gpupdate /force 실행 명령)을 실행하고 RDP를 통해 원격 서버에 연결을 시도합니다. Oracle Remediation Encryption 정책을 Vulnerable로 설정하면 CredSSP를 지원하는 클라이언트 애플리케이션이 패치되지 않은 RDS/RDP 엔드포인트에도 연결할 수 있습니다.

• 강제 업데이트된 클라이언트 — RDP 서버가 패치되지 않은 클라이언트의 연결을 차단할 때 가장 높은 보호 수준입니다. 일반적으로 이 정책은 전체 인프라를 완전히 업데이트하고 서버 및 워크스테이션용 Windows 설치 이미지에 최신 보안 업데이트를 추가한 후에 활성화해야 합니다.
• 완화됨 — 이 모드에서는 취약한 버전의 CredSSP가 있는 RDP 서버로 나가는 원격 RDP 연결이 차단됩니다. 그러나 CredSSP를 사용하는 다른 서비스는 잘 작동합니다.
• 취약함 — 취약한 버전의 CredSSP로 RDP 서버에 연결할 때 가장 낮은 수준의 보호가 허용됩니다.

로컬 GPO 편집기(예:Windows Home 버전)가 없는 경우 패치되지 않은 버전의 CredSSP가 있는 서버에 RDP 연결을 허용하도록 레지스트리를 직접 변경할 수 있습니다.

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

도메인 GPO 또는 이러한 PowerShell 스크립트를 사용하여 AD의 여러 컴퓨터에서 AllowEncryptionOracle 레지스트리 매개변수를 변경할 수 있습니다(RSAT-AD-PowerShell 모듈에서 Get-ADComputer cmdlet를 사용하여 도메인의 컴퓨터 목록을 가져올 수 있음).

$computers = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $computers) {
Invoke-Command -ComputerName $computer -ScriptBlock {
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
}
}

원격 RDP 서버(컴퓨터)에 성공적으로 연결한 후 Windows 업데이트를 통해 최신 보안 업데이트를 설치해야 합니다(wuauserv 서비스가 활성화됨) 또는 수동으로. 위와 같이 Microsoft 업데이트 카탈로그 웹 사이트에서 최신 누적 Windows 업데이트를 다운로드하여 설치합니다. MSU 업데이트를 설치할 때 "업데이트를 컴퓨터에 적용할 수 없습니다." 오류가 나타나면 위의 링크를 사용하여 기사를 읽어보세요.

업데이트를 설치하고 서버를 재부팅한 후 클라이언트에서 정책을 비활성화하는 것을 잊지 마십시오(강제 업데이트된 클라이언트로 전환하거나 ) 또는 AllowEncryptionOracle 레지스트리 매개변수의 값을 0으로 반환합니다. 이 경우 컴퓨터는 CredSSP 보호되지 않는 호스트에 연결하고 취약점을 악용할 위험이 없습니다.

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

컴퓨터에 업데이트가 설치되지 않은 또 다른 시나리오가 있습니다. 예를 들어, RDP 서버가 업데이트되었지만 취약한 버전의 CredSSP(강제 업데이트된 클라이언트)가 있는 컴퓨터의 RDP 연결을 차단하는 정책이 있습니다. 정책 설정). 이 경우 "CredSSP 암호화 Oracle 수정으로 인한 것일 수 있음" RDP 연결 오류도 표시됩니다.

PSWindowsUpdate 모듈을 사용하거나 PowerShell 콘솔의 WMI 명령을 통해 컴퓨터의 Windows 업데이트 마지막 설치 날짜를 확인하십시오.

gwmi win32_quickfixengineering |sort installedon -desc

이 예는 최신 Windows 보안 업데이트가 2018년 6월 17일에 설치되었음을 보여줍니다. 다운로드 및 Windows 버전에 대한 최신 MSU 누적 업데이트 파일을 설치합니다(위 참조).