Help us understand the problem. What is going on with this article?

リモートデスクトップでの認証エラー(要求された関数はサポートされません , CredSSP)への対処

More than 1 year has passed since last update.

リモートデスクトップ接続で、認証エラー(要求された関数はサポートされません)が発生した場合の対処

事象

2018年5月のWindows Update以後、リモートデスクトップ利用時に、以下のようなエラーメッセージが表示され、接続できない
image.png

認証エラーが発生しました。
要求された関数はサポートされていません

リモート コンピューター: remotehostname
原因は CredSSP 暗号化オラクルの修復である可能性があります。
詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください

原因

リモートデスクトップのクライアント、サーバそれぞれで利用できる認証プロバイダ(CredSSP)のバージョンに差が生じたため。

リモートデスクトップの脆弱性に関わり、Windows Updateでは次のような動きがあった。

  • 2018年3月のWindows Updateで、CredSSPの更新プログラムをリリースCVE-2018-0886
    (但し、古いバージョンの利用はデフォルト許可とした状態でリリース)
  • 2018年5月以後のWindows Updateで、CredSSPで利用するバージョンを強化(古いバージョンを切り捨て)した
    (Encryption Oracle Remediationの既定値をVulnerableからMitigateにした)

クライアント、サーバともに最新のWindows Updateであれば問題は無い。
但し、クライアントは最新のWindows Updateで、サーバは遅れているというような場合、利用できるCredSSPのバージョンに差が生じて、
接続できない原因となっている

詳細

2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響
https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/

回避策

セキュリティレベルを下げているので、あくまで回避策。根本対処をするの適切。
ローカルグループポリシー エディター(gpedit.msc)で、次の設定を行う

[コンピューターの構成]
-> [管理用テンプレート]
-> [システム]
-> [資格情報の委任]
ポリシー名 : Encryption Oracle Remediation (暗号化オラクルの修復)
設定 : Vulnerable (脆弱)
image.png

※ クライアント側は2018/05以後のWindows Updateを実行済みだが、サーバ側が2018/03より古い場合の回避策。

根本対処

クライアント側も、サーバ側も2018年5月以後のWindows Updateを実施する

影響範囲

リモートデスクトップを利用している環境で、Windows Updateを適用している環境ではほぼ影響を受ける。
※ NLAを意図的に無効化していたり、Windows Updateを実施していない、

 サポート切れOSを利用している場合は、影響を受けないが、別レベルの問題がある。

KBページを読むための用語のざっくり説明

NLA(Network Level Authentication)

→ リモートデスクトップ接続などで、RDPセッションを確立する(リモートの画面を表示する)前に、認証ダイアログで認証を行う仕組み。(Vista/Windows server 2008以後はこちらが既定)
image.png

→ NLAを利用しないと、RDPセッションが確立された(リモート画面を表示した)のち、ユーザ名・パスワードを入力する。(XP/Windows Server 2003まではこちらが既定。画像は、2012にNLAを無効にした状態で接続したもの)
image.png

CredSSP(Credential Security Support Provider)

NLAで利用される認証プロバイダー

暗号化Oracleの修復(Encryption Oracle Remediation)

ここでいうOracleは、RDBMSのOracleではなくって、ソフトウエア工学で用いるテストメカニズムの模様。
恐らく、この仕組みを利用した攻撃手法があり、CredSSPがその影響をうけるため、
その脆弱性に対するケアをどのレベルでやるかが、「暗号化Oracleの修復」という設定と思われる。
(自信がないので、詳しい方の指摘まち)
Test_oracle,Oracle_attack

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした