Ошибка при удаленном подключении “… Указанная функция не поддерживается … исправление шифрования CredSSP …”

В одно прекрасное утро у некоторых клиентов возникла такая ошибка:

Произошла ошибка при проверке подлинности

Указанная функция не поддерживается

 

Удаленный компьютер: …

Причиной ошибки может быть исправление шифрования CredSSP.

Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?linkid=866660

Возникает она при попытке подключиться по RDP (mstsc.exe) к серверу с 8 мая. По ссылке можно прочесть, что это связано с обновлением безопасности. Ошибка появляется потому, как на клиентском компьютере автоматически установилось обновление 4103725 (windows 8.1), 4103727 или 4103721 (windows 10), 4103718 (win 7) и т.п., а на хосте, к которому идет попытка подключения, соответствующее обновление не установлено (Server 2008 – 4056564, 2008R2 – 4103718, 2012 – 4103730, 2012R2 – 4103725, 2016 – 4103723) Номера пакетов для серверов  – ссылки на соответствующие статьи и загрузки оффлайн пакетов.

3 варианта решения проблемы CredSSP:

1. Правильный. Установка соответствующего пакета обновлений на хостовой машине (чаще всего – сервер), ссылки см. в пред. абзаце.
2. Не правильный. Если по какой-то причине Вы не можете установить на хостовой машине обновление, придётся удалять соответствующее обновление на клиентском компьютере. Для этого надо обладать правами Администратора. И учтите, что обновление установиться снова при следующем автоматическом или ручном поиске обновлений. Если процесс актуализации серверной части затянется – нужно будет удалять обновление снова или “скрыть” этот пакет из предлагаемых автоматически.
3. Не правильный. Вы можете на время просто отключить на компьютере, с которого пытаетесь подключаться, данное блокирующее уведомление о проблеме безопасности:
   1. Откройте редактор групповых политик, для этого в командной строке или в PowerShell наберите «gpedit.msc» или найдите его через поиск на вашем ПК по фразе «Edit group policy» или «Изменение групповой политики» если вы работаете в русскоязычном интерфейсе.2. В папках настроек дерева слева вам необходимо открыть:

   Computer Configuration -> Administrative Templates -> System -> Credentials Delegation

   если ваша ОС русифицирована, то:

   Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных

   

   3. В папке «Credentials Delegation» («Передача учетных данных») найдите параметр «Encryption Oracle Remediation» («Исправление уязвимости шифрующего оракула»), откройте его, включите его использование, выбрав «Enabled» («Включено») и установите значение параметра в выпадающем списке на «Vulnerable» («Оставить уязвимость»)

   

   После выполнения этих действий на вашем ПК, вы сможете подключаться к серверу также, как и раньше, но это не решение проблемы безопасности.

   Как только вы подключились к серверу, установите обновления как это делается в любой десктопной версии Windows.

Подробнее о CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability в статье TechCenter Microsoft

Почему 8 мая?

В статье по самой первой ссылке описана история обновлений CredSSP для CVE-2018-0886 и там есть строки:

May 8, 2018

An update to change the default setting from Vulnerable to Mitigated.

Related Microsoft Knowledge Base numbers are listed in CVE-2018-0886.

Дословный перевод: “Обновление изменило настройку по умолчанию с уязвимый на умеренный. Подробности…”. Т.е. с 8  мая путем установки обновления меняется параметр, препятствующий подключению с компьютеров, на которых отсутствует обновление).

Всем добра.