リモートデスクトップ接続で、認証エラー(要求された関数はサポートされません)が発生した場合の対処
事象
2018年5月のWindows Update以後、リモートデスクトップ利用時に、以下のようなエラーメッセージが表示され、接続できない
認証エラーが発生しました。
要求された関数はサポートされていません
リモート コンピューター: remotehostname
原因は CredSSP 暗号化オラクルの修復である可能性があります。
詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください
原因
リモートデスクトップのクライアント、サーバそれぞれで利用できる認証プロバイダ(CredSSP)のバージョンに差が生じたため。
リモートデスクトップの脆弱性に関わり、Windows Updateでは次のような動きがあった。
- 2018年3月のWindows Updateで、CredSSPの更新プログラムをリリースCVE-2018-0886
(但し、古いバージョンの利用はデフォルト許可とした状態でリリース) - 2018年5月以後のWindows Updateで、CredSSPで利用するバージョンを強化(古いバージョンを切り捨て)した
(Encryption Oracle Remediationの既定値をVulnerableからMitigateにした)
クライアント、サーバともに最新のWindows Updateであれば問題は無い。
但し、クライアントは最新のWindows Updateで、サーバは遅れているというような場合、利用できるCredSSPのバージョンに差が生じて、
接続できない原因となっている
詳細
2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響
https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/
回避策
※ セキュリティレベルを下げているので、あくまで回避策。根本対処をするの適切。
ローカルグループポリシー エディター(gpedit.msc)で、次の設定を行う
[コンピューターの構成]
-> [管理用テンプレート]
-> [システム]
-> [資格情報の委任]
ポリシー名 : Encryption Oracle Remediation (暗号化オラクルの修復)
設定 : Vulnerable (脆弱)
※ クライアント側は2018/05以後のWindows Updateを実行済みだが、サーバ側が2018/03より古い場合の回避策。
根本対処
クライアント側も、サーバ側も2018年5月以後のWindows Updateを実施する
影響範囲
リモートデスクトップを利用している環境で、Windows Updateを適用している環境ではほぼ影響を受ける。
※ NLAを意図的に無効化していたり、Windows Updateを実施していない、
サポート切れOSを利用している場合は、影響を受けないが、別レベルの問題がある。
KBページを読むための用語のざっくり説明
NLA(Network Level Authentication)
→ リモートデスクトップ接続などで、RDPセッションを確立する(リモートの画面を表示する)前に、認証ダイアログで認証を行う仕組み。(Vista/Windows server 2008以後はこちらが既定)
→ NLAを利用しないと、RDPセッションが確立された(リモート画面を表示した)のち、ユーザ名・パスワードを入力する。(XP/Windows Server 2003まではこちらが既定。画像は、2012にNLAを無効にした状態で接続したもの)
CredSSP(Credential Security Support Provider)
NLAで利用される認証プロバイダー
暗号化Oracleの修復(Encryption Oracle Remediation)
ここでいうOracleは、RDBMSのOracleではなくって、ソフトウエア工学で用いるテストメカニズムの模様。
恐らく、この仕組みを利用した攻撃手法があり、CredSSPがその影響をうけるため、
その脆弱性に対するケアをどのレベルでやるかが、「暗号化Oracleの修復」という設定と思われる。
(自信がないので、詳しい方の指摘まち)
Test_oracle,Oracle_attack