Windows11-24h2远程桌面旧系统时出现“身份验证错误，要求的函数不受支持”

Windows11-24h2远程桌面旧系统时出现“身份验证错误，要求的函数不受支持”

在Windows远程桌面连接时遇到“身份验证错误，要求的函数不受支持”的问题，通常与CredSSP协议加密策略不匹配有关。以下是分步解决方案：

---

方法1：远程机,安装系统更新

参考 CVE-2018-0886 的 CredSSP 更新

CredSSP 远程执行代码漏洞 CVE-2018-0886

确保本地和远程计算机均安装最新Windows更新，尤其是与CredSSP相关的安全补丁：

1. 打开 设置 > 更新和安全 > Windows 更新。
2. 点击 检查更新，安装所有可用更新。
3. 重启计算机后重试远程连接。

---

**方法2：本地机,调整组策略设置 **

通过修改本地组策略允许旧版加密方式（需管理员权限）：

1. 按 Win + R，输入 gpedit.msc 打开组策略编辑器。
2. 导航至：

   计算机配置 > 管理模板 > 系统 > 凭据分配 > 加密Oracle修正
   

3. 双击右侧 加密Oracle修正，选择 已启用，并在下方选项中选择 易受攻击。
4. 点击 确定，关闭组策略编辑器。
5. 按 Win + R，输入 gpupdate /force 刷新策略。
6. 重新尝试远程连接。

---

方法3：修改注册表（无组策略时适用）

若无法使用组策略（如Windows家庭版），可手动修改注册表：

1. 按 Win + R，输入 regedit 打开注册表编辑器。
2. 导航至：

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
   

   • 若路径不存在，手动创建缺失的项（如CredSSP和Parameters）。
3. 在 Parameters 项中，右键新建 DWORD (32位) 值，命名为 AllowEncryptionOracle。
4. 双击该值，设置数据为 1，点击 确定。
5. 重启计算机后重试连接。

---

方法4：禁用网络级别身份验证（NLA）

在远程计算机上临时禁用NLA（需远程计算机操作权限）：

1. 右键 此电脑 > 属性 > 高级系统设置。
2. 切换到 远程 选项卡，取消勾选 仅允许使用网络级别身份验证的远程桌面连接。
3. 点击 确定 保存设置。
4. 尝试重新连接（注意：此操作降低安全性，建议完成后恢复）。

---

方法5：更新远程桌面客户端

确保使用最新版本的远程桌面连接工具：

1. 从微软官网下载最新版 Remote Desktop Client。
2. 或通过Microsoft Store更新应用。

---

注意事项

• 安全性警告：方法2和方法3会降低系统安全性，建议仅在确认环境安全后临时使用，并在问题解决后恢复默认设置。
• 协调更新：若远程计算机由他人管理，需确保双方系统补丁级别一致，避免单方面调整策略。

通过上述步骤，大多数情况下可解决该错误。如问题持续，建议检查系统日志或联系IT支持进一步排查。

---

CredSSP 远程执行代码漏洞 CVE-2018-0886

CVE-2018-0886 是一个与 Windows CredSSP（Credential Security Support Provider）协议相关的远程代码执行漏洞。攻击者可以利用此漏洞在目标系统上执行任意代码，尤其是在远程桌面协议（RDP）或 Windows 远程管理（WinRM）等使用 CredSSP 进行身份验证的场景中。

---

漏洞背景

• CredSSP 协议：用于在远程连接中传递用户凭据，常见于 RDP 和 WinRM。
• 漏洞原因：CredSSP 在加密 Oracle 的实现中存在缺陷，攻击者可以通过中间人攻击（MITM）利用此漏洞执行恶意代码。
• 影响范围：Windows 7、Windows 8.1、Windows 10、Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2016 等系统。

---

修复方法

微软已发布安全更新修复此漏洞。以下是修复步骤：

1. 安装安全更新

确保系统已安装以下补丁：

• 2018年3月13日 或之后发布的 Windows 安全更新。
• 具体补丁编号：
  • Windows 10: KB4088776
  • Windows 8.1 / Server 2012 R2: KB4088878
  • Windows 7 / Server 2008 R2: KB4088875
  • Windows Server 2016: KB4088787

操作步骤：

1. 打开 设置 > 更新和安全 > Windows 更新。
2. 点击 检查更新，安装所有可用更新。
3. 重启系统。

---

2. 调整 CredSSP 加密策略

安装补丁后，需通过组策略或注册表配置 CredSSP 加密策略，以完全修复漏洞。

方法1：通过组策略配置

1. 按 Win + R，输入 gpedit.msc 打开组策略编辑器。
2. 导航至：

   计算机配置 > 管理模板 > 系统 > 凭据分配 > 加密Oracle修正
   

3. 双击右侧 加密Oracle修正，选择 已启用，并在下方选项中选择 强制更新的客户端。
4. 点击 确定，关闭组策略编辑器。
5. 按 Win + R，输入 gpupdate /force 刷新策略。

方法2：通过注册表配置

1. 按 Win + R，输入 regedit 打开注册表编辑器。
2. 导航至：

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
   

   • 若路径不存在，手动创建缺失的项（如 CredSSP 和 Parameters）。
3. 在 Parameters 项中，右键新建 DWORD (32位) 值，命名为 AllowEncryptionOracle。
4. 双击该值，设置数据为 2（表示强制更新的客户端），点击 确定。
5. 重启系统。

---

3. 禁用 CredSSP（临时措施）

如果无法立即安装补丁，可以临时禁用 CredSSP 以缓解漏洞风险（但会影响部分功能，如远程桌面连接）：

1. 打开 PowerShell（管理员权限）。
2. 运行以下命令：

   Disable-WSManCredSSP -Role Server
   Disable-WSManCredSSP -Role Client
   

3. 重启系统。

---

验证修复

1. 确保系统已安装最新补丁。
2. 检查组策略或注册表设置是否正确配置。
3. 使用漏洞扫描工具（如 Nessus、OpenVAS）验证系统是否仍存在漏洞。

---

注意事项

• 兼容性问题：调整 CredSSP 加密策略后，未安装补丁的客户端可能无法连接到已修复的系统。确保所有客户端和服务器均已更新。
• 安全性建议：在修复漏洞后，建议重新启用 CredSSP 以恢复远程连接功能，但需确保所有设备均已更新。

通过以上步骤，可以有效修复 CVE-2018-0886 漏洞并提升系统安全性。