CredSSP問題(2018/05 WindowsUpdate後にリモート接続ができなくなる件)への対処について

RDS環境のサーバに対して、急にリモート接続できなくなる件とどのような対処をしたのかメモ。

Contents

概要

RDS環境のサーバに対して、Windowsクライアントからリモートデスクトップ接続していた場合、双方のwindows updateの適用状態により、以下エラーが発生、リモート接続ができない状態になる。

認証エラーが発生しました。
要求された関数はサポートされていません。
原因は CredSSP 暗号化オラクルの修復である可能性があります。”
※出典元:Microsoft Technet

Microsoftから公式アナウンスが掲載されていて、エラー発生原因、環境毎の動作パターンなど一通りのことが載っている。
基本的にこちらの記載内容に従って、接続先サーバのWindows更新やグループポリシー・レジストリ等の編集を行えばOK。

2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響

管理人の対応内容

この件について、仕事上でダイレクトに影響が出た。

状況

会社で使ってる業務システムがRDS環境に乗っているので、全社員(約60名)の業務影響が起きる可能性があった。
この事に気づいたのがGW明けの2018年5月7日(月) 退社前…
※前述のMS公式アナウンスはGW前の5/2に公開されていて、その日は有給取って気づくのが遅れた。。

そして最速で5/9(水)にはWindowsUpdateの配布と更新⇛インストールが動作するとのこと(!)。
※実際に予告どおりに配布された

前提として、
1. 勤務先の環境はWSUS(WindowsServerUpdateService)で更新管理されてない = 勝手に更新かかる
2. リモート接続先の業務システムはパッケージ動作担保のためWindowsUpdate無効になっている
という環境だった。
よって、特に対応しなければ以下の状態になり、冒頭のエラーが発生する対象パターンとなる。


※出典元:Microsoft Technet

対応内容

自分の勤務先の状況と前提条件、準備期間の短さより、レジストリキー更新用ファイルを配布してPCごとに適用する事にした。
(セキュリティ上の懸念は残るが、サーバ側対応はパッケージ提供元動作検証等が含まれ間に合わない可能性が高いため)

細かくは先述のMS公式アナウンス内の以下に基づいてレジストリキー追加。エクスポートしたregファイルを各PCで実行するだけ。
一般的なWindowsクライアント機であれば、regファイルを実行するとRED ADDコマンドのようにキーを追加してくれる。
ちなみに、32bit/64bit OS共通で同じ位置のキー。

4-2. リモート デスクトップ接続元 (クライアント) での回避策 2

リモートデスクトップ接続元にて以下レジストリを手動もしくは REG ADD コマンドで追加いただくことでも回避策 1 と同様の効果が得られます。

レジストリ パス : HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
値 : AllowEncryptionOracle
データの種類 : DWORD
値 : 2

REG ADD コマンドで追加いただく場合には以下のコマンド ラインとなります。
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

※ レジストリ変更後に再起動は必要ございません。

対応の結果

Update配布前日の5/8中に動作検証を済ませ、全社員端末へ配布。キー追加を実施した。
結果、エラーは発生せずリモート動作に影響は出なかった。

※レジストリ調整の影響が出ないか心配だったが、今の現場では高尚なセキュリティ基盤の導入予定は無いため影響はでなさそう。

結論

Microsoft公式アナウンスの丁寧な案内ページに助けられた。
しかしここまで丁寧な説明をされるのは少し珍しく感じた。
※丁寧さ=影響範囲の大きさを示しているのかも

今後も丁寧なアナウンスは熟読して認識誤りが起きないよう注意したい

シェアする

  • このエントリーをはてなブックマークに追加

フォローする