رفع خطای CredSSP Encryption Oracle Remediation

مشکلات جدید پس از به روز رسانی ویندوز 10 امری بسیار رایج است. در ویندوز 10، کاربران مجاز به ایجاد یک پروتکل ریموت دسکتاپ (RDP) با یک سیستم ویندوز دیگر (یا یک سرور مجازی ویندوز) هستند تا بتوانند از راه دور این سیستم‌ها را کنترل کنند. اما پس از آپدیت اخیر، برخی کاربران هنگام اتصال به vps خود یا یک رایانه دیگر با استفاده از ریموت دسکتاپ یک پیغام خطا را در رایانه خود مشاهده می‌کنند: «An authentication error has occurred. This could be due to Oracle modifying the CredSSP encryption.»

این عبارت خطا می‌تواند به دلیل تنظیمات policy اشتباه یا مشکلات رجیستری ظاهر شود که به مهاجم اجازه می دهد تا به اتصال کاربر رخنه کند و از اطلاعات کاربر سوء استفاده کند. در این مقاله قصد داریم تا به بررسی 2 روش رفع خطای CredSSP Encryption Oracle Remediation بپردازیم:

1. با استفاده از Registry Editor یا Regedit
2. از طریق تنظیمات Local Group Policy Editor

رایج‌ترین سناریو در بروز این خطا این است که کلاینت به‌روزرسانی CredSSP را نصب کرده است، و تنظیمات Encryption Oracle Remediation به سروری که به‌روزرسانی CredSSP را نصب نکرده است، اجازه اتصال ریموت دسکتاپ ناامن را نمی‌دهد.

بنابراین قبل از این که نسبت به رفع خطای CredSSP Encryption Oracle Remediation بپردازید، ابتدا باید مطمئن شوید که هم دستگاه کلاینت (شما) و هم دستگاه ریموت (دستگاه یا سرور مجازی ویندوز که می‌خواهید به آن وصل شوید) به آخرین نسخه RDP به‌روز‌رسانی شده‌اند. 

رفع خطای CredSSP Encryption Oracle Remediation

بسته به علت بوجود آمدن این مشکل، چندین روش برای رفع خطای CredSSP Encryption Oracle Remediation وجود دارد. در این بخش به بررسی روش‌های رفع خطای CredSSP Encryption Oracle Remediation خواهیم پرداخت.

روش 1: از طریق Registry Editor

خطاهای CredSSP Encryption Oracle Remediation در نسخه Home Windows 10 با استفاده از Local Group Policy Editor امکان پذیر نیست. از آنجایی که ویندوز ۱۰ Home Edition ویرایشگر Local Group Policy Editor را ندارند، می توانید تنظیمات را با استفاده از ویرایشگر رجیستری تغییر دهید.

روش استفاده از Regedit:

cmd را در سرچ ویندوز تایپ کنید.

روی cmd کلیک راست کرده و Run as administrator را انتخاب کنید.

خط فرمان زیر را کپی و در CMD پیست کنید:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

اگر این روش کار نکرد یک راه حل دیگر نیز برای رفع این خطا به صورت دستی وجود دارد:

۱- با استفاده از کلیدهای ترکیبی Win+R پنجره Run را در ویندوز باز کنید و سپس در کادر Run کلمه regedit را تایپ کنید.

۲- از پنل کناری صفحه HKEY_LOCAL_MACHINE را انتخاب کنید.

۳- اکنون فولدر‌هایی که در خط زیر برایتان مشخص کرده ایم را به ترتیب باز کنید:

Software> Microsoft> Windows> Current version> Policies> System

اکنون در System روی بخش خالی پنل سمت راست صفحه کلیک راست کنید، ماوس را روی گزینه New نگه دارید و سپس key را انتخاب کنید. نام key جدید را CredSSP قرار دهید(به بزرگ و کوچک بودن حروف دقت شود).

اکنون روی یک فضای خالی در CredSSP کلیک راست کنید و مانند قبل  New و سپس Key را انتخاب کنید و نام آن را Parameters بگذارید.

در صفحه Parameters در قسمت خالی از صفحه کلیک راست کرده و ماوس را روی گزینه New نگه دارید و مقدار DWORD (32-bit) را انتخاب کنید و نام آن را AllowEncryptionOracle بگذارید.

سپس برروی AllowEncryptionOracle کلیک راست و گزینه Modify را انتخاب کنید. (یا برروی آن دابل کلیک کنید)

در منوی پاپ آپ Edit DWORD (32-bit)، مقدار Value data را ۲ قرار دهید و برای بخش Base گزینه Decimal را  انتخاب کنید.

برروی OK کلیک کنید و از برنامه خارج شوید.

سیستم خود را ریبوت کنید و تغییرات شما اعمال می‌شوند.

روش 2: از طریق Group Policy Editor

هنگام به روز رسانی های جدید سیستم، این احتمال وجود دارد که تنظیمات CredSSP به مقادیر پیش فرض بازنشانی شود. یکی از نمونه ها به روز رسانی KB4094392 است که توسط مایکروسافت در 8 می 2018 منتشر شد که تنظیمات CredSSP را از Vulnerable به Mitigated تغییر داد. برای رفع مشکلاتی از این دست لازم است از طریق gpedit اقدام کنید.

با فشردن کلیدهای ترکیبی Windows + R پنجره Run را باز کنید و عبارت gpedit.msc را وارد کنید تا پنجره Group Policy Editor باز شود.

زمانی که پنجره Local Group Policy Editor باز شد، در پنل سمت چپ صفحه به آدرس زیر بروید:

User Configuration > Administrative Templates > System > Credentials Delegation 

در بخش سمت راست صفحه به پایین صفحه بروید و سپس روی Encryption Oracle Remediation دابل کلیک کنید تا بتوانید فایل را تغییر دهید.

 

اکنون تنظیمات آن را روی Enabled قرار دهید تا این خط مشی یا policy را فعال کنید.

به همین ترتیب در بخش options مقدار Protection Level را به Vulnerable تغییر دهید.

در نهایت بر روی دکمه “Apply” و سپس “OK” کلیک کنید تا تغییرات در کامپیوتر شما ذخیره شود.

پنجره Group Policy Editor را ببندید و مجددا نسبت به برقراری ارتباط با RDP اقدام کنید.

بررسی وضعیت Windows Server Update Services

گاهی اوقات سرویس‌های به‌روزرسانی سرور ویندوز (WSUS) به درستی کار نمی‌کند و باعث می‌شود که به‌روزرسانی‌ها را رد شوند. همانطور که قبلاً گفته شد CredSSP به روز نشده می تواند منجر به بروز خطای CredSSP Encryption Oracle Remediation شود. 

لیستی که در این قسمت به شما نمایش داده می‌شود آخرین به روز رسانی سیستم را نشان می‌دهد. می‌توانید آن را با لیست موجود در اینترنت مقایسه و از دریافت آخرین به روزرسانی‌ها اطمینان حاصل کنید. اگر وب‌سایت مایکروسافت به‌روزرسانی‌های تازه منتشر شده‌ای را نشان می‌دهد که در سیستم شما موجود نیست، باید WSUS را مجدداً پیکربندی کنید. این احتمال وجود دارد که با همین روش مشکل شما حل شود.

از کجا بفهمیم که CredSSP به‌روزرسانی شده است؟

تاریخچه به روزرسانی‌های ویندوز را بررسی کنید و ببینید که آیا به روزررسانی‌های زیر نصب شده‌اند یا نه و یا این که نسخه TSpkg.dll را بررسی کنید.

سیستم عامل	نسخه TSpkg.dll با به روز رسانی CredSSP	به روز رسانی CredSSP
ویندوز ۷ سرویس پک ۱ /  ویندوز ۲۰۰۸ R2 سرویس پک ۱	6.1.7601.24117	KB4103718 (Monthly Rollup) KB4103712 (Security-only update)
ویندوز سرور 2012	6.2.9200.22432	KB4103730 (Monthly Rollup) KB4103726 (Security-only update)
ویندوز 8.1 / ویندوز سرور 2012 R2	6.3.9600.18999	KB4103725 (Monthly Rollup) KB4103715 (Security-only update)
RS1- ویندوز 10 ورژن 1607 / ویندوز سرور 2016	10.0.14393.2248	KB4103723
RS2- ویندوز 10 ورژن 1703	10.0.15063.1088	KB4103731
RS3- ویندوز 10 ورژن 1709	10.0.16299.431	KB4103727

SSPI و CredSSP

SSPI یک ارائه دهنده خدمات امنیتی به نام پروتکل Credential Security Support Provider یا CredSSP را پیاده سازی می کند. رابط پشتیبانی امنیتی یا SSPI به برنامه کمک می کند تا از مدل های امنیتی موجود در شبکه یا رایانه استفاده کند. مزیت SSPI این است که می تواند این کار را بدون تغییر رابط سیستم امنیتی انجام دهد.

CredSSP وظیفه تضمین انتقال ایمن اعتبارنامه ها از سیستم کاربر به سیستم گیرنده را در طول احراز هویت اتصال ریموت بر عهده دارد. تنظیمات و policyهای داخلی برنامه از این که اعتبارنامه ها به یک سرور غیرمجاز منتقل نشوند اطمینان حاصل می‌کند. 

CredSSP ترکیبی از چندین پروتکل است و از آن‌ها در مراحل انتقال داده استفاده می‌کند. مراحل انتقال داده به طور خلاصه به شرح زیر است:

• ایجاد یک مجوز عبور رمزگذاری شده با پروتکل TLS (Transport Layer Security).
• احراز هویت موجودیت ها با SPNEGO (مکانیسم مذاکره ساده و محافظت شده GSS و API)
• اتصال باس TLS با کلید رمزگذاری SPNEGO
• رمزگذاری کلید عمومی و و ارسال آن از کاربر به سرور
• ارسال تایید کلید به کاربر
• در نهایت، ارسال اعتبارنامه SPNEGO رمزگذاری شده به سرور

علت به وجود آمدن خطای CredSSP Encryption Oracle Remediation

خطای CredSSP Encryption Oracle Remediation هنگام وصل شدن به ریموت دسکتاپ هنگام ایجاد ارتباط با یک سرور ناامن رخ می دهد. تنظیمات خط مشی Encryption Oracle Remediation چنین اتصلاتی را مسدود می‌کند. همچنین این امکان وجود دارد که هر یک از سیستم های درگیر دارای CredSSP به روز رسانی شده نباشد. دلایل دیگر این خطا می تواند تنظیمات نادرست خط مشی یا خرابی مقادیری در رجیستری باشد.

خطای CredSSP Encryption Oracle Remediation زمانی ظاهر می‌شود که به‌روزرسانی‌های جدید CredSSP را برای یکی از سیستم‌ها نصب می‌کنید یا سیستم‌ها را از طریق RDP به هم متصل می‌کنید. در طی این فرایند، یک پیام خطای RemoteApp با عبارات زیر ظاهر می شود:

An authentication error has occurred.

The function requested is not supported.

Remote computer: <IP or name of computer>.

This could be due to CredSSP encryption oracle remediation.

For more information, see https://go.microsoft.com/fwlink/?linkid=866660.

بهتر است خطای CredSSP Encryption Oracle Remediation را نادیده نگیرید. این پیغام سعی دارد به شما هشدار دهد که اطلاعات شما در معرض خطر است و هر شخصی با یک دانش اولیه کدنویسی می‌تواند به کانال اتصال شما رخنه کرده و از اطلاعات شما سو استفاده کند.