远程桌面报错：因为CredSSP加密Oracle修正

在使用windows进行远程桌面时，出现如下报错：

根据官方提供信息可知：此问题由Windows于2018年5月8日的更新所致使（CVE-2018-0886 的 CredSSP 更新）。此前已修复在CredSSP 的未修补版本中存在的远程代码执行漏洞，但在5月8日发布的更新中则将"加密Oracle修正"默认设置从“易受***”更改成“缓解”的更新。

所以在安装此更新后， 默认状况下已修补的客户端没法与未修补的服务端进行通讯，并弹出如上图的错误提示。

常见的解决方法：

一、针对已修补的客户端

经过组策略（较为便捷）： 运行 gpedit.msc 本地组策略，选择"计算机配置">"管理模板">"系统">"凭据分配">"加密Oracle修正"，选择"启用"并选择"易受***"便可。若组策略没有出现"加密Oracle修正"，则说明此计算机还没有修补更新。

经过注册表（针对无组策略功能的家庭版Windows）：运行 regedit 注册表，跳转到路径：HKLM(缩写)\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters，若无相应表项则需自行建立，在Parameters项的右侧栏新建类型为 DWORD (32)位、名称为"AllowEncryptionOracle"的数据，最后重启计算机。

二、针对未修补的服务端

修改远程设置（不建议）：运行 sysdm.cpl 系统属性，选择"远程"，并将"仅容许运行使用网络基自己份验证的远程桌面的计算机链接(建议)"去掉打勾。

安装更新补丁（推荐）：网上提供的方法多为在客户端上修改组策略，但实际上这种方法下降了计算机的安全性，并不符合微软官方指望，不建议做长期设置。最佳的作法应该是在未修补的计算机上安装相应的安全更新包，特别是在企业服务器上。可查询微软各操做系统于2018年5月8日的安全更新包进行下载和安装，如下列举常见系统版本对应的更新包，分别是：

Windows 10 1703版 —— KB4103731

Windows 8.1 和 Windows Server 2012 R2 —— KB4103715

Windows 7 SP1 和 Windows Server 2008 R2 SP1 —— KB4103712

客户端和服务器都须要更新，不然，Windows 和第三方 CredSSP 客户端可能没法链接到 Windows 或第三方主机。 有关致使操做失败的状况，请参阅如下的互操做性矩阵。

CredSSP 协议		服务端
客 户 端		未修补	强制更新的客户端	缓解	易受***
	未修补	容许	阻止	容许	容许
	强制更新的客户端	阻止	容许	容许	容许
	缓解	阻止	容许	容许	容许
	易受***	容许	容许	容许	容许

---

文章参考：

CVE-2018-0886 的 CredSSP 更新

Windows 官方补丁下载中心

KB4103731 - 2018年5月8日 - Windows 10 历史更新记录

Windows 8.1 和 Windows Server 2012 R2 更新历史记录