Windows Serverに対してリモートデスクトップ接続をしようとしたところエラーが発生し、ログオンできませんでした。
その対処法です。
環境
事象が発生した環境を記載します。
- クライアントPC
Windows 10 Pro 64bit (バージョン20H2)
- サーバー
Windows Server 2012 R2 Standard
エラー内容
発生したエラー内容は次の通りです。
|
リモートコンピューター: |
なるほど、わからん。
対処法
調べてみるとローカルグループポリシーを編集することで接続可能となることが分かりました。
以下はその手順。
- ローカルグループポリシーを起動する
Winキー + Rで『ファイル名を指定して実行』をのウィンドウを開き、『gpedit.msc』を入力します。
- 『暗号化オラクルの修復』の項目に移動する
ローカルグループポリシーエディターの画面左のツリーを下って『暗号化オラクルの修復』の項目に移動します。
コンピューターの構成 > 管理用テンプレート > システム > 資格情報の委任 と進みます。
資格情報の委任の中に『暗号化オラクルの修復』の項目があります。
- 『暗号化オラクルの修復』を有効にする
現在”未構成”となっている暗号化オラクルの修復を開いて、『有効(E)』を選択します。
保護レベルが選択できるようになるので、『脆弱』を選択し、『適用(A)』⇒『OK』とクリックします。
未構成から有効に状態が遷移しました。
以上の手順で接続できるようになりました。
原因はWindowsアップデートみたいです。
確かにアップデート以前は問題なく接続できたのでアップデートが原因なのでしょう。
セキュリティがより強固になったということなのかな。
オラクルの修復の項目を見るといろいろ書いてあります。
このポリシー設定は、CredSSP コンポーネント (例: リモート デスクトップ接続) を使用するアプリケーションに適用されます。
一部のバージョンの CredSSP プロトコルには、クライアントに対する暗号化オラクル攻撃を受けやすい脆弱性があります。このポリシーは、攻撃を受けやすいクライアントおよびサーバーとの互換性を制御します。このポリシーを使用すると、暗号化オラクル攻撃に対する脆弱性について、望ましい保護レベルを設定できます
このポリシー設定を有効にした場合、サポート対象の CredSSP バージョンは、以下のオプションに基づいて選択されます。
クライアントの強制更新: CredSSP を使用するクライアント アプリケーションは、安全でないバージョンにフォールバックすることができなくなります。CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否します。注: この設定は、すべてのリモート ホストが最新バージョンに対応するまで展開しないでください。
軽減: CredSSP を使用するアプリケーションは、安全でないバージョンにフォールバックすることができなくなります。ただし、CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否しません。パッチ未適用のクライアントが原因で生じるリスクに関する重要な情報については、以下のリンクを参照してください。
脆弱: CredSSP を使用するクライアント アプリケーションが安全でないバージョンにフォールバックできるようになり、リモート サーバーが攻撃に対して無防備な状態になります。CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否しません。
脆弱性と保護のサービス処理要件について詳しくは、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください。
リモートデスクトップ接続するためとはいえ”脆弱”のワードを見るとあまり気乗りするものではありませんね。
コメント