一、组网图

二、问题描述

在Windows7上打开远程桌面连接，输入Windows2012R2的IP及管理员用户，点击“连接”，输入密码后，出现下图错误。

三、过程分析

原因是本地组策略配置错误。

四、解决方法

1、打开cmd应用程序，进入Windows命令行，输入“gpedit.msc”。

2、在弹出的“本地组策略编辑器”中，选择:计算机配置>管理模板>系统>凭据分配>加密Oracle修正,如下图。

3、选中后鼠标右键进行编辑,启用加密修正,保护等级设为易受攻击:

五、风险提示

加密 Oracle 修复

此策略设置适用于使用 CredSSP 组件的应用程序(例如: 远程桌面连接)。

CredSSP 协议的某些版本容易受到针对客户端的加密 oracle 攻击。此策略控制与易受攻击的客户端和服务器的兼容性。此策略允许你设置加密 oracle 漏洞所需的保护级别。

如果启用此策略设置，将根据以下选项选择 CredSSP 版本支持:

强制更新的客户端: 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本，使用 CredSSP 的服务将不接受未修补的客户端。注意: 在所有远程主机支持最新版本之前，不应部署此设置。

已缓解: 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本，但使用 CredSSP 的服务将接受未修补的客户端。有关剩余未修补客户端所造成的风险的重要信息，请参见下面的链接。

易受攻击: 如果使用 CredSSP 的客户端应用程序支持回退到不安全的版本，远程服务器将容易遭受攻击，使用 CredSSP 的服务将接受未修补的客户端。

有关保护的漏洞和服务要求的详细信息，请参阅 https://go.microsoft.com/fwlink/?linkid=866660