Очень часто после обновления Windows 10 возникают проблемы при подключении по RDP. Речь идет о невозможности подключиться по RDP потому, что возникает ошибка CredSSP. Это довольно распространенное явление, связанное с обновлением безопасности протокола RDP. Соответственно, возникает различие в протоколе между вашей обновленной версией Windows и той версией, которая установлена на удаленном сервере.
В данной статье мы детально покажем, что нужно сделать, чтобы решить проблему подключения к RDP CredSSP. Будут показаны пути решения для двух версий Windows: Windows 10 HOME и Windows 10 PRO.
- 1 Решение для Windows 10 HOME
- 2 Решение CredSSP для Windows 10 PRO
Решение для Windows 10 HOME
Запустите на компьютере (с которого хотите подключиться к серверу) командную строку от имени администратора:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Эта команда вносит изменения в реестр Windows, разрешая Вашему компьютеру подключаться с протоколом шифрования CredSSP к ещё не обновлённому серверу.
Если в результате выполнения возникает ошибка «Отказано в доступе», значит Вы запустили командную строку НЕ от имени администратора (см. на скриншоте выше как запускается командная строка корректно).
Решение CredSSP для Windows 10 PRO
Нажмите Win+R
В появившемся окне наберите gpedit.msc. Если после нажатия Enter появляется ошибка, то скорее всего у Вас не Windows 10 PRO а HOME., в таком случае требуется смотреть инструкцию для конкретной версии.
Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных
В папке «Credentials Delegation» («Передача учетных данных») найдите параметр «Encryption Oracle Remediation» («Исправление уязвимости шифрующего оракула»), откройте его, включите использование, выбрав «Enabled» («Включено»), и установите значение параметра в выпадающем списке на «Vulnerable» («Оставить уязвимость»)
После чего, вы сможете подключиться к серверу по RDP. Ошибка CredSSP при проверке подлинности больше не возникнет.
Ошибка CredSSP encryption oracle remediation при RDP подключении к рабочему столу удаленного компьютера указывает, что на удаленном хосте (скорее всего) или на вашем компьютере отсутствует обновление безопасности, которое исправляет критическую уязвимость в протоколе CredSSP.
Remote Desktop connection An authentication error has occurred. The function is not supported. Remote Computer: hostname This could be due to CredSSP encryption oracle remediation.
Подключение к удаленному рабочему столу Произошла ошибка при проверке подлинности. Указанная функция не поддерживается. Причиной ошибки может быть исправление шифрования CredSSP.
Протокол Credential Security Support Provider (CredSSP), используются для пре-аутентификации пользователей, когда для RDP доступа включен протокол NLA (Network Level Authentication). Критическая уязвимость в протоколе CredSSP, позволяющая удаленно выполнить произвольный код в системе через открытый RDP порт, была обнаружена и исправлена в 2018 году (CVE-2018–0886 — CredSSP Remote Code Execution Vulnerability).
Если у вас такая ошибка, возможны два сценария:
- Ваш компьютер с установленным обновлением CredSSP блокирует подключение к непропатченному RDP хосту с уязвимой версией CredSSP. Это самый частый сценарий. Обычно вызван тем, что на удаленном RDP компьютере ОС развернута из старого дистрибутива (RTM версии Windows Server 2016/2012 R2/2008 R2, Windows 7, 8.1 или Windows 10 младше 1803).
- Пропатченный удаленный RDP (RDS) сервер блокирует подключение с необновлённого клиента. Обратный сценарий – когда на клиенте развернута старая версия Windows, а удаленный сервер переведен в принудительный режим блокирования уязвимых версий CredSSP
(Рекомендованный способ исправления ошибки подключения) – скачайте и установите последний накопительный пакет обновления безопасности для вашей версии Windows, выпущенный после мая 2018 года, на удаленный RDP хост (или на клиент, в зависимости от сценария). Проверьте последнюю дату установки обновлений Windows на компьютере с помощью модуля PSWindowsUpdate или через WMI команду в консоли PowerShell:
gwmi win32_quickfixengineering |sort installedon -desc
Если обновления после 2018 года отсутствуют, вы можете скачать обновление вручную через Microsoft Update Catalog, или установить его через Windows Update или сервер обновлений WSUS.
Как временное решение (не рекомендуется использовать постоянно), можно разрешить клиенту подключаться к компьютерам с уязвимой версией RDP CredSSP.
- Откройте редактор локальных групповых политик (
gpedit.msc
) на клиентском компьютере (с которого вы выполняете RDP подключение); - Перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Credentials Delegation (Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных);
- Включите политику Encryption Oracle Remediation (Исправление уязвимости шифрующего оракула), и измените ее значение на Vulnerable / Оставить уязвимость;
- Обновите настройки политик на вашем компьютере (команда
gpupdate /force
) - Попробуйте подключится по RDP к удаленному компьютеру.
Политика Encryption Oracle Remediation предлагает 3 доступных значения защиты от CredSSP уязвимости:
- Force Updated Clients — самый высокий уровень защиты, когда подключение уязвимых компьютеров блокируется. Если на RDP сервере включена эта политика, он будет блокировать RDP подключения с компьютеров с уязвимой версией CredSSP.
- Mitigated – (режим по-умолчанию) в этом режиме блокируется исходящие удаленные RDP подключения к RDP хостам с уязвимой версией CredSSP. Однако другие службы, использующие CredSSP работаю нормально;
- Vulnerable – (небезопасный режим)разрешены подключения к RDP серверам с уязвимой версией CredSSP.
Если у вас отсутствует редактор локальных GPO (например, в Home редакциях Windows), можно разрешить подключение к хостам с непропатченной версия CredSSP с помощью команды:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
После успешного подключения к удаленному RDP компьютеру, нужно установить на нем актуальные обновления безопасности. После отключить политику Encryption Oracle Remediation на клиенте, или верните значение 0 для ключа реестра AllowEncryptionOracle.
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0 /f
Provide feedback
Saved searches
Use saved searches to filter your results more quickly
Sign up
May 2018 update for Windows 10 changed the CredSSP authentication protocol and updated default settings from Vulnerable to Mitigated. This caused issues in Remote Desktop connection with unpatched systems. While connecting to an unpatched system, Windows 10 or Windows 11 users may get the CredSSP Encryption Oracle Remediation error.
An authentication error has occurred. The function requested is not supported. Remote computer: <computer name or IP>. This could be due to CredSSP encryption oracle remediation. For more information, see https://go.microsoft.com/fwlink/?linkid=866660.
You see the above error when an insecure RDP connection is blocked by an Encryption Oracle Remediation policy setting on the server or client. This setting decides how to establish an RDP session by using CredSSP.
SEE ALSO: How to Disable Microsoft Defender (Windows Security) in Windows 10 and 11?
A better and recommended solution for this problem is to patch all systems with the latest Windows patch. However, it may not be possible for you to patch the remote system in every case.
There is a good workaround available to fix the CredSSP Encryption error in the Remote Desktop connection. This fix can be done by using Group Policy Editor and Registry Editor both.
A) Group Policy Method to Fix CredSSP Encryption Error in RDP Connection
The Group Policy Editor is not enabled on Windows 10 Home by default. So, if you are using Windows 10 Home, you can try the Registry Editor method as well. Just make sure Remote Desktop Connection is enabled on the computer you are taking remote control of. Let’s start with the Group Policy Editor method first.
Step 1: Open Local Group Policy Editor
First of all, you need to open Group Policy Editor on your computer. So, go to RUN, type gpedit.msc and press Enter.
The Local Group Policy Editor window will open. Here, you can configure local policies for your computer.
Step 2: Go to Credentials Delegation in Group Policy Editor
In Local Group Policy Editor, go this path:
Computer Configuration\Administrative Templates\System\Credentials Delegation
You will find the Encryption Oracle Remediation policy setting on the right side. We will use this setting to fix the “CredSSP Encryption Oracle Remediation” error in the RDP connection.
Step 3: Change Policy Setting to Fix CredSSP Encryption Oracle Remediation Error
On the right pane, double-click the Encryption Oracle Remediation policy setting. Now, change the Encryption Oracle Remediation policy to Enabled. After that, set Protection Level to Vulnerable and click Apply then OK.
Now, you can close the Group Policy Editor window. You can now connect to an un-patched system without any CredSSP encryption Oracle remediation errors.
SEE ALSO: How to Share Printer on LAN Network in Windows?
Let’s check the Registry Editor method as well. You can also make the same changes by using the Registry Editor. But we will have to create a few Registry Keys to do that. Let’s check the steps.
Step 1: Open Registry Editor
First of all, open Registry Editor. In order to open Registry Editor, go to RUN, type regedit and press Enter.
Registry Editor windows will open.
Step 2: Create the required CredSSP Keys in the Registry
Go to the following location in Registry Editor:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
Here, you have to create two Keys named CredSSP and Parameters under System. To do that, right-click on the System key and select New Key.
Name this new key as CredSSP as shown below.
Similarly, create a new key under CredSSP. Simply, right-click on the newly created CredSSP key and select New Key. Name this new key as Parameters.
Step 3: Create DWORD to Fix CredSSP Encryption Oracle Remediation Error
After creating the Parameters Key, select it. Now, right-click in the blank space on the right side and select New > DWORD (32-bit) Value.
Name this new DWORD as AllowEncryptionOracle.
AllowEncryptionOracleNow Modify the value of this DWORD to 2 to fix the CredSSP encryption oracle remediation error.
Alternate Method:
You can also use the command prompt to modify registry settings and make required changes. Open the Command Prompt window as Administrator and run the following command to add a registry value:
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2
SEE ALSO: 10 Cool Command Prompt Tricks for you.
Now you have successfully bypassed the Encryption Oracle Remediation security. You can now connect to unpatched systems without the CredSSP Encryption authentication error. However, we recommend you patch all your servers and client systems with the latest security patches.
You can check this link for more details on the CredSSP error on the Microsoft website. Share your thoughts and queries in the comment section below.
Unexpected automatic login in the Windows RDP client usually means credentials are being pulled from an unknown storage location, which can pose security risks or complicate troubleshooting. Locating the exact source of these credentials allows you to control access and prevent unauthorized connections.
Check Windows Credential Manager
Step 1: Open the Credential Manager by pressing Windows + R, typing control /name Microsoft.CredentialManager, and pressing Enter. This tool stores web and Windows credentials, including those used by RDP.
Step 2: Select the Windows Credentials tab. Look for entries labeled as TERMSRV/hostname or TERMSRV/IP address. These entries store saved RDP credentials for specific hosts.
Step 3: Expand any relevant entries to view details. If you find the credentials being used, you can remove them by clicking Remove. This forces the RDP client to prompt for credentials on the next connection.
Review Group Policy Settings
Step 1: Press Windows + R, type gpedit.msc, and hit Enter to open the Local Group Policy Editor.
Step 2: Navigate to Computer Configuration > Administrative Templates > System > Credentials Delegation. Check if policies such as Allow delegating saved credentials or Allow delegating saved credentials with NTLM-only server authentication are enabled. These settings can direct the RDP client to use stored credentials automatically.
Step 3: Double-click on each policy to review its settings. If the policy is enabled and lists your target server, consider setting it to Not Configured or Disabled to prevent credential delegation.
Investigate RDP File Configurations
Step 1: If you use .rdp files to connect, open the relevant .rdp file in a text editor such as Notepad. Look for lines like username:s: or password 51:b:.
Step 2: Remove any saved username or password lines to prevent the client from auto-filling credentials. Save the file and reconnect to confirm the change.
Clear Cached Credentials from Windows Security Dialog
Step 1: When connecting via RDP, if the Windows Security dialog appears with a pre-filled username, click More choices and then Use a different account. This allows you to enter new credentials and optionally avoid saving them for future sessions.
Step 2: Uncheck any option labeled Remember me or similar to prevent the client from storing credentials again.
Check for Third-Party Credential Providers
Step 1: Some organizations deploy credential providers or password managers that integrate with Windows authentication. Check for installed software in Control Panel > Programs and Features or by reviewing running processes in Task Manager.
Step 2: If you find such software, consult its documentation or settings to locate and manage stored credentials related to RDP connections.
Tracking down the source of RDP credentials in Windows often starts with Credential Manager but can involve group policies, .rdp files, and third-party tools. Regularly reviewing these locations keeps your system secure and ensures you stay in control of remote access.
