Как отключить CredSSP в Windows — подробно и без потери нервов

Если при подключении по RDP вы встречаете свирепое сообщение «An authentication error has occurred… CredSSP encryption oracle remediation», знайте: Windows пытается защитить ваши пароли, а вы пытаетесь попасть на сервер. Иногда эти цели оказываются несовместимы. Сегодня разберёмся, как — и главное, зачем — отключать CredSSP, чтобы вернуть себе доступ и при этом не устроить из сети решето.

1. Что такое CredSSP и почему он портит вам вечер

CredSSP (Credential Security Support Provider) — это механизм, который передаёт ваши учётные данные на удалённые серверы для аутентификации. В 2018-м году уязвимость CVE-2018-0886 заставила Microsoft усилить проверки: система стала блокировать незащищённые подключения, что моментально породило море ошибок типа «Encryption Oracle Remediation» .

С тех пор у админа есть три пути:

• Обновить все машины (идеальный, но не всегда выполнимый).
• Разрешить подключение, но снизить уровень защиты.
• Полностью отключить CredSSP (самый радикальный).

Ниже рассмотрим все легальные методы, как временно (или насовсем) выключить CredSSP на клиенте и/или сервере.

2. Когда имеет смысл отключать CredSSP

Давайте сразу честно: «Отключу всё, потому что так быстрее» — плохой план. Ниже короткий чек-лист, когда радикальное отключение хоть как-то оправдано:

1. Старый терминальный сервер без патчей, но его нужно срочно «достучать» для обновления.
2. Тестовая среда, отрезанная от боевой сети, где безопасность пока вторична.
3. У вас локальный стенд без чувствительных данных, и нужно быстро проверить гипотезу.
4. Сервер в изолированной сети лаборатории (air-gap), где угрозы минимальны.

Во всех остальных случаях лучше настроить минимальный уровень защиты («Mitigated») или обновить ОС.

3. Способ №1. Локальная или доменная групповая политика

Классика жанра: открываем gpedit.msc (или групповой объект в AD) и идём по пути:

Computer Configuration → Administrative Templates → System → Credentials Delegation

3.1. Изменяем политику Encryption Oracle Remediation

Двойной щелчок по параметру и далее три сценария:

• Enable + Vulnerable — позволяет любые, даже небезопасные подключения. Фактически это выключение CredSSP.
• Enable + Mitigated — компромисс: клиент шифрует запрос, сервер — нет. Ошибки исчезают, но риски ниже.
• Disable — политика не применяется, Windows использует настройки «по умолчанию» (чаще всего строгие).

После изменения не забываем:

gpupdate /force

или просто перезагрузку, если лень.

⚠️ Помните: в доменах политика «выше» перезатрёт локальную. Если у вас AD, редактируйте объект на уровне OU или домена, иначе толку ноль.

4. Способ №2. Реестр Windows

Метод «вшит наглухо»: подойдёт, если на Home-редакции нет gpedit.msc, или нужно быстро скриптом изменить пару десятков ПК.

4.1. Правка вручную

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" ^
 /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

• 0 — Force Updated Clients (строгая проверка)
• 1 — Mitigated
• 2 — Vulnerable (полное снятие защиты)

Аналогичную команду можно запихнуть в .reg-файл — пригодится для «массового врачевания».

4.2. Возврат к безопасности

Чтобы вернуть всё «как было», или ставим 0, или удаляем параметр полностью:

reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" ^
 /v AllowEncryptionOracle /f

5. Способ №3. PowerShell: Disable-WSManCredSSP

Для тех, кто дружит с консолью (и любит IaC-манеру). Cmdlet доступен из модуля Microsoft.WSMan.Management:

# Отключаем CredSSP на клиенте
Disable-WSManCredSSP -Role Client

# Отключаем на сервере
Disable-WSManCredSSP -Role Server

Работает в PowerShell 5.1+, включая Core 7.x, но только под Windows. Для автоматизации можно добавить -Force, чтобы не ловить запрос подтверждения.

5.1. Как проверить статус

Get-WSManCredSSP

Команда вернёт Client None и Server None, если всё действительно отключено.

6. Последствия и риски

Безопасники не зря качают головой: передача паролей без CredSSP делает вас уязвимым для атаки «man-in-the-middle». Особенно опасно:

• Публичные RDP-шлюзы, торчащие в Интернет.
• Wi-Fi сети без шифрования (отель, кафе).
• Неизвестные «подопытные» сервера, где нельзя доверять админу.

Если отключение — вынужденный временный шаг, зафиксируйте задачу «вернуть защиту» и обновите машины при первой возможности. С 2022 года даже Windows 8.1/Server 2012 R2 получили патчи, так что «не можем обновить» — всё чаще миф.

7. Типичные ошибки и лайфхаки

• Изменил политику, но ошибка осталась. Проверьте, нет ли конфликта между локальной и доменной GPO. У доменной всегда приоритет выше.
• Клиент Windows 11, сервер 2012 R2 — обновлены оба, но коннект не идёт. На новизне Microsoft включила более строгие шифры TLS 1.2+, а старый сервер может «не уметь». Проверьте SecurityProtocol на обоих.
• Домашняя редакция Windows, где нет gpedit. Используйте метод реестра или импортируйте готовый .reg-файл.
• Нужен массовый деплой. Заводим скрипт PowerShell (Disable-WSManCredSSP + Invoke-Command) или GPO с шаблоном ADM-X.

Полезные ссылки

• Документация по настройке CredSSP через GPO :
• Cmdlet Disable-WSManCredSSP
• Разбор ошибки Encryption Oracle Remediation

8. Итоги

Отключение CredSSP — это не «волшебная таблетка», а скорее пластырь до похода к врачу. Да, иногда без него нельзя залогиниться, но злоупотреблять им — значит приглашать злоумышленников на вечеринку. Используйте методы из статьи, но держите в голове план: обновиться и вернуть защиту.