РЕАКЦИЯ ПРИ ПОДКЛЮЧЕНИИ ПО RDP CREED S SP ENCRYSTAL REMEDIATION

Причины ошибки шифрования CredSSP

В марте 2018 года, компания Microsoft выпустила обновление безопасности для устранения уязвимостей для протокола поставщика поддержки безопасности учетных данных (CredSSP) под именем CVE-2018–0886 (https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018), используемого подключениями по протоколу удаленного рабочего стола (RDP) для клиентов Windows и Windows Server. Как только пользователи и системные администраторы произвели установку апдейтов, то по всему миру начались массовые жалобы, что люди не могут подключаться по протоколу RDP к серверам, компьютерам, получая ошибку, что причиной ошибки может быть шифрование CredSSP.

К сожалению 99% людей и администраторов совершают одну и туже ошибку, они сразу ставят обновления, не дождавшись пары дней после их выхода. Обычно этого времени хватает, чтобы вендор определил проблемы и отозвал глючное обновление.

Уязвимость в протоколе Credential Security Support Provider (CredSSP — провайдер поддержки безопасности учетных данных) допускала удаленный запуск произвольного кода на уязвимой системе и 8 мая 2018 г. Microsoft изменила уровень безопасности подключения с  Vulnerable
 на  Mitigated
 и начались проблемы подключения к удаленному рабочему столу по RDP. 
Ранее вы могли удаленно подключаться с обновленной машины к машинам без обновления безопасности, так сказать в мягком режиме. Однако с последним обновлением, Microsoft усилила безопасность, и вы больше не можете подключаться к компьютерам без обновления закрывающего брешь CVE-2018–0886.

Под раздачу попали буквально все, клиентские ОС Windows 7, Windows 8.1, Windows 10 с которых были попытки подключиться к RDS ферме или RemoteApp приложениям работающим на Windows Server 2008 R2 и выше. Если бы вы читали ветки обсуждений в эти дни, то вы бы поняли все негодование людей, особенно с запада.

  REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2  

  REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0  

  Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
"AllowEncryptionOracle"=dword:00000002
  

После установки обновлений безопасности Windows, которые вышли после мая 2018 года, вы можете столкнуться с ошибкой CredSSP encryption oracle remediation
при RDP подключении к удаленному серверу и компьютеру Windows в следующих случаях:

• Вы подключаетесь к удаленному рабочему столу компьютера с недавно установленной старой (например, RTM) версией Windows (например, Windows 10 ниже билда 1803, Windows Server 2012 R2, Windows Server 2016), на котором не установлены последние обновления безопасности Windows;
• Вы пытаетесь подключиться к RDP компьютеру, на который давно не устанавливали обновления Microsoft;
• RDP подключение блокирует удаленный компьютер, т.к. нет нужных обновлений безопасности на вашем клиентском компьютере.

Попробуем разобраться с тем, что означает RDP ошибка CredSSP encryption oracle remediation
и как ее можно исправить.

Итак, при попытке подключения к приложению RemoteApp на RDS серверах под Windows Server 2016 / 2012 R2 / 2008 R2, или к удаленным рабочим столам других пользователей по протоколу RDP (на Windows 10, 8.1 или 7), появляется ошибка:

Remote Desktop connection

An authentication error has occurred.

The function is not supported.

Remote Computer: hostname

This could be due to CredSSP encryption oracle remediation.

Подключение к удаленному рабочему столу

Произошла ошибка при проверке подлинности.

Указанная функция не поддерживается.

Причиной ошибки может быть исправление шифрования CredSSP.

Данная ошибка связана с тем, что на Windows Server или на обычной десктопной версии Windows, к которой вы пытаетесь подключится по RDP, не устанавлены обновления безопасности Windows (как минимум с марта 2018 года).

Дело в том, что еще в марте 2018 Microsoft выпустила обновление, закрывающее возможность удаленного выполнения кода с помощью уязвимости в протоколе CredSSP (Credential Security Support Provider). Подробно проблема описана в бюллетене CVE-2018-0886. В мае 2018 было опубликовано дополнительное обновление, в котором по-умолчанию клиентам Windows запрещается подключаться к удаленным RDP серверам с уязвимой (непропатченной) версией протокола CredSSP.

Таким образом, если вы на RDS/RDP серверах (компьютерах) Windows с марта 2018 года не устанавливались накопительные обновления безопасности, а на RDP клиентах установлены майские обновления (или более новые), то на них при попытке подключится к RDS серверам с непропатченной версией CredSSP будет появляется ошибка о невозможности подключения:
This could be due to CredSSP encryption oracle remediation

.

Ошибка RDP клиента появляется после установки следующих обновлений безопасности:

• Windows 7 / Windows Server 2008 R2 — KB4103718
• Windows 8.1 / Windows Server 2012 R2 — KB4103725
• Windows Server 2016 — KB4103723
• Windows 10 1803 — KB4103721
• Windows 10 1709 — KB4103727
• Windows 10 1703 — KB4103731
• Windows 10 1609 — KB4103723

Для восстановления удаленного подключения к рабочему столу можно удалить обновления безопасности на клиенте, с которого выполняется RDP подключение (но это крайне
не рекомендуется
, т.е. есть более безопасное и правильное решение).

Для решения проблемы вы можете временно
на компьютере, с которого вы подключаетесь по RDP, отключить проверку версии CredSSP на удаленном компьютере. Это можно сделать через редактор локальных групповых политик. Для этого:

1. Запустите редактор локальных GPO — gpedit.msc;
2. Перейдите в раздел политик Computer Configuration -> Administrative Templates -> System -> Credentials Delegation
   (Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных);
   
   
3. Найдите политику с именем Encryption Oracle Remediation
   (Исправление уязвимости шифрующего оракула). Включите политику ( Enabled
   / Включено), а в качестве параметра в выпадающем списке выберите Vulnerable
   / Оставить уязвимость;
   
4. Осталось обновить политики на вашем компьютере (команда
   gpupdate /force

   ) и попробовать подключится по RDP к удаленному компьютеру. При включенной политике Encryption
   Oracle
   Remediation
   со значением Vulnerable
   ваши терминальные приложения с поддержкой CredSSP смогут подключаться даже к RDS/RDP серверам и компьютерам Windows, на которых отсутствуют актуальные обновления безопасности.

Политика Encryption Oracle Remediation предлагает 3 доступных значения защиты от CredSSP уязвимости:

• Force
  Updated
  Clients
  — самый высокий уровень защиты, когда RDP сервер запрещает подключение не обновлённым клиентам. Обычно эту политику стоит включать после полного обновления всей инфраструктуры и интеграции актуальных обновлений безопасности в установочные образы Windows
  для серверов и рабочих станций;
• Mitigated
  – в этом режиме блокируется исходящее удаленное RDP подключение к RDP серверам с уязвимой версией CredSSP. Однако другие службы, использующие CredSSP работаю нормально;
• Vulnerable
  –самый низкий уровень зашиты, когда разрешается подключение к RDP сервера с уязвимой версией CredSSP.

Если у вас отсутствует редактор локальных GPO
(например, в Home редакциях Windows), вы можете внести изменение, разрешающее RDP подключение к серверам с непропатченной версия CredSSP, напрямую в реестр с помощью команды:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Вы можете изменить этот параметр в реестре сразу на множестве компьютеров в AD с помощью доменной GPO (консоль gpmc.msc) или таким PowerShell скриптом (список компьютеров в домене можно получить с помощью командлета Get-ADComputer
из модуля RSAT-AD-PowerShell
):

Import-Module ActiveDirectory
$PSs = (Get-ADComputer -Filter *).DNSHostName


Для Windows XP/ Windows Server 2003, которые сняты с поддержки нужно установить обновления для Windows Embedded POSReady 2009. Например, https://support.microsoft.com/en-us/help/4056564

После установки обновлений и перезагрузки сервера, не забудьте отключить политику на клиентах (либо выставить ее на Force Updated Clients), или вернуть значение 0
для ключа реестра AllowEncryptionOracle. В этом случае, ваш компьютер не будет подвержен риску подключения к незащищенным хостам с CredSSP и эксплуатации уязвимости.

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0 /f

Есть еще один сценарий, когда обновления отсутствуют на вашем компьютере. Например, RDP сервер обновлен, но на нем выставлена политика, блокирующая RDP подключения с компьютеров с уязвимой версией CredSSP ( Force
Updated
Clients
). В этом случае при RDP подключении вы также увидите ошибку “This could be due to CredSSP encryption oracle remediation”.

Проверьте последнюю дату установки обновлений Windows на вашем компьютере с помощью модуля PSWindowsUpdate
или через WMI команду в консоли PowerShell:

Живу в Китае , женат на китаянке — для тех кто не знает) В прошлом месяце, 7 сентября, у нас была пятая годовщина свадьбы. Решили поехать отметить в Гонконг, потому как там у нас вся романтика изначально зародилась.

Прибыв, я в тот же день, не теряя практически ни секунды, ушел от жены погулять в торговый центр Oriental 188 — там игрушки для Плейстейшн продают. Дело важное.

Оказалось что продают там не только игры, но еще и старые пленочные фотоаппараты, например) Небольшой магазинчик очень интересного китайца по имени Кевин. Познакомился, поболтали, почти сразу подружились. Ну и купил я у него старый пленочный Canon A-1 примерно так 1980-1984 года выпуска, точно неизвестно:

Кевин зарядил мне в него пленку из своих запасов. Я в жизни на такие штуки не снимал. Кевин меня быстренько научил.

Мой рассказ о Гонконге необычный — он состоит исключительно из этих самых фотографий. Получилось 33 из 36 кадров, что я считаю чудом, ведь опыта у меня было не то что ноль, а прямо минус сто.

Итак, Гонконг 2023 через объектив старого японского пленочного фотоаппарата.

Первая фотка — Кевин, продавец пленочных фотоаппаратов, объективов, пленок в ТЦ Oriental 188 на втором этаже:

Будете там — передавайте привет от Алекса)

В том же ТЦ нашел магазинчик антиквариата. Люблю необычные сувениры, наполненные смыслом, с историей. Купил древний бумажный пакет магазина товаров из Тайваня, повешу в рамочке на стену в офисе. Продавец как увидел что я снимаю на старый пленочный фотоаппарат сразу с удовольствием начал позировать:

А вот, там же, продавец доисторических игр для приставок:

Интересная атмосфера. Такое чувство что этот (уже пожилой) человек все еще живет в своем детстве. Ему не особо интересны покупатели. Он сидит и с улыбкой играет во что-то на своей древней нинтендо.

Теперь выходим на улицу.

В Гонконге одна из фишек, создающих атмосферу города — это такси. 99% из 18 000 машин — старые XS10 Toyota Comfort примерно 1995 года выпуска:

Машина на самом деле очень просторная внутри, удобная. Может быть и не все они 1995 года, может и чуть поновее, точно я не знаю. Факт в том что эти старые модели содержат в идеальном состоянии, значит есть запчасти, значит есть желание сохранить эти такси для поддержания атмосферы:

Кстати, кто не знает — движение в Гонконге левостороннее, как в Англии и Японии, машины все с правым рулем.

На этой фотографии я ем свежие горячие вафли и острые фрикадельки из говядины, купленные в уличной забегаловке:

Забегаловка не совсем простая, у нее есть рекомендация от Michelin. Чтобы эти вафли купить, нужно отстоять длинную очередь:

В Гонконге удивительно хорошо готовят. Это настоящий рай для гурманов. Как они умудряются это делать — для меня загадка. Простые ингредиенты, простой способ приготовления , однако на выходе — шедевр.

Вот смотрите как они эти вафли пекут, ну страшно выглядит. Хозяйка только и успевает открывать/закрывать формы, подливая туда заготовленную заранее смесь:

Но вкусно. Очень. Прямо очень сильно вкусно)

В Гонконге абсолютно ненормальное количество заведений со звездами Michelin, причем часто ими награждены именно такие уличные точки. Обычно это семейный бизнес, где по своим рецептам , переданным от прабабушки к бабушке, а от нее к маме готовят нечто вкуснейшее. А рядом бегает дочка, которая тоже с детства учится стать Мега шефом.

Про еду в Гонконге можно рассказывать долго и многословно. Но на моей пленке всего 36 кадров) Поэтому я покажу то, что нравится мне.

Вот — простейшие с виду сэндвичи. Убить за них готов. Пробовал сделать дома — вкус не тот и всё. Хотя ничего такого в них нет — хлеб без корочки, свинина, яйцо. Всё!

Или вот французский тост. Это хлеб обжаренный с яйцом, подается с маслом и сгущенкой:

Зато сфоткал Макдональдс:

Помню раньше, когда я был молодым и бедным, приезжал в Гонконг, жил в хостеле и питался только в Макдональдсе. Гонконг безумно дорогой город, возможно самый дорогой в мире. А вот в Макдональдсе у них все дешево, это реально заведение для нищих, так сказать)

Хотя мне кажется что и в Макдональдсе в Гонконге еда вкуснее чем в Макдональдсах в других странах.

Вечером вышли из отеля за фруктами, фруктовая лавка:

Вот фрукты в Гонконге дешевые. По крайней мере по мнению нас, «китайцев». На материковом Китае все эти манго и дурианы стоят горааааздо дороже.

Обидно что арбузы продают только целиком. Мы как-то уже привыкли что на материке в любой фруктовой лавке тебе холодный арбуз быстро порежут на маленькие кусочки, которые удобно есть. Здесь же — сделай сам. Но это мы просто зажрались, я знаю)

Цель номер один для поездки в Гонконг для китайцев — шопинг. В городе сотни магазинов всякой «качественной» всячины, которую на материковом Китае не достать.

Пример — рыбий жир made in USA — американский флаг нужно покрупнее, ПОКРУПНЕЕ сделать, чтобы издалека было понятно:

Не сказать что в Китае рыбий жир тот же не продают, нет, продают конечно, куча брендов. Просто сами китайцы во-первых все еще не доверяют своему китайскому качеству, им кажется что американские, европейские, корейские, японские товары гораздо лучше.

Во-вторых, даже если полный аналог и есть на материке — он там стоит дороже. Гонконг оффшор, налог там не платится, на импортные товары цена получается ниже.

Ну и вообще, такого выбора всяких штук со всего мира нигде в Китае нет, глаза разбегаются. Вот моя жена тоже набрала ништяков:

В этой куче также мой креатин и глутамин мэйд ин юэсэй затесались)

Годовщину свадьбы решили отметить покупкой новых колец. Вот они:

Золото на юге Китая, особенно в Гонконге, играет большую роль в жизни людей. На свадьбу невесте здесь принято дарить огромные тяжелые золотые браслеты, вот как на этой витрине, например:

Золотые изделия здесь 999 пробы, отсюда такой цвет. В России с 585 пробой все уже забыли цвет настоящего золота. Мне тоже раньше золото в Китае казалось странным, не настоящим как будто бы.

Золото покупают как инвестицию в виде слитков, монеток, изделий типа золотых палочек для еды. Покупают на свадьбы, на дни рождения, другие важные события, да и просто в подарок родителям. Еще одна скромная витрина:

Недвижимость в Гонконге безумно дорогая. Именно отсюда все эти видео про «дома-клетки», скученность, крохотные квартирки. На материковом Китае этого безобразия нет.

У меня не было особой цели фоткать трущобы Гонконга, но некоторые дома, улицы попали в кадр:

В городе постоянно идет ремонт, он как будто никогда не останавливается. Ограждения можно встретить повсеместно.

Попробуйте прочувствовать эту атмосферу — жарко, душно, куча народа, на улице микс людей со всего мира, дорогие машины, красивые девушки, красные фонари, неоновые огни, золото отгружают килограммами рядом с трущобами, где люди живут на 1 кв.м жилья:

Море. Запах моря. Беговые дорожки вдоль моря, бежишь утром, пока еще не жарко, и вдыхаешь морской соленый воздух. Порты. Контрабанда. Яхты, контейнеровозы, катера, баржи.

Я попытался сфоткать море из окна номера в отеле. Тут суть снимка была в том что в правом верхнем углу летит самолет — получилось как получилось)

Все путешествия когда-нибудь заканчиваются. Пора и мне ехать домой, в Иу. Сейчас между Гонконгом и материковым Китаем ходят скоростные поезда до 350 км/ч, Гонконг полноценно включен в систему скоростных железных дорог Китая, это очень удобно и круто.

Последняя фотография на пленке — мой поезд перед посадкой:

Спасибо что досмотрели и дочитали до конца)

Мой канал в Телеграм: Китай Наизнанку

Рабочий канал (занимаюсь закупкой и доставкой из Китая): Синамакс

Отключаем шифрование credssp через GPO

Если у вас большая инфраструктура, в которой сотни компьютеров и сотни серверов, то вы можете до установки нужных обновлений в вечернее время, временно отключить новый уровень шифрования CredSSP и убрать ошибку «Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP». Для этого мы можем воспользоваться всеми плюсами доменной инфраструктуры Active Directory
. Тут два варианта, вы можете создать массовую политику для распространения ее на нужные OU
или если у вас требование для одного или двух локальных компьютеров
, то на них можно запустить локальный редактор групповых политик, тем самым внеся изменения только на них.

Напоминаю, что оснастку управление групповой политикой вы можете найти на контроллере домена или компьютере с установленным пакетом RSAT
, открыть ее можно через команду в окне «Выполнить» gpmc.msc
. Если нужно открыть локальный редактор групповых политик, то в окне «Выполнить» введите gpedit.msc
.

Вам необходимо перейти в ветку:

Открываем настройку «Исправление уязвимости шифрующего оракула (Encryption Oracle Remediation)». Включаем политику, у вас активируется опция «Уровень защиты», на выбор будет три варианта:

• Принудительно применять обновленные клиенты (Force Updated Clients) — она будет стоять по умолчанию из-за максимального уровня защиты, вам данную опцию нужно сменить. Это так сказать максимально безопасный уровень взаимодействия клиент, он должен быть в идеале, после установки обновлений на все сервера и компьютеры.
• Оставить уязвимость (Vulnerable) – клиенты могут подключаться на уязвимые машины.
• Уменьшить риск (Mitigated) – клиенты не могут подключаться к уязвимым серверам, но серверы могут принимать уязвимые клиенты.

Выбираем на время пункт «Оставить уязвимость (Vulnerable)». Сохраняем настройки.

После чего вам нужно обновить политику, для этого откройте командную строку
и введите gpupdate /forc
e
. Если у вас не доменный компьютер, да и еще Windows 10 Home, которая не имеет встроенного локального редактора политик, то вам как я описывал выше, нужно производить правку реестра

REG ADD HKLM\Software\Microsoft\Windows\ CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2 (0 вернет все как было)

На просторах интернета ходит скрипт PowerShell, который поможет включить данную политику на всех компьютерах в Active Directory

Варианты исправления ошибки CredSSP

На самом деле вариантов много, есть правильные, есть и временные и обходные, которые нужно сделать быстро, чтобы хоть как-то работало, так как бизнес может в этот момент простаивать и терять деньги.

• Вы можете удалить новое обновление безопасности, самый плохой вариант, но в ответственные моменты, иногда используется, чтобы перенести работы на вечер или ночь
• Если нужно быстро получить доступ к серверу и избежать проверку подлинности credssp, то я вам советую отключить на принимающем подключении сервере галку NLA (Network Level Authentication) в русском варианте «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол  с проверкой подлинности на уровне сети»
• То же быстрый метод и на массовое применение, это использование групповой политики, которая изменит  шифрование Oracle Remediation
• Ну и самый правильный метод
  ,  это установка обновлений на все ваши системы

Как выглядит ошибка credssp

An authentication error has occurred. The function requested is not supported. Remote computer name. This coild be to CredSSP encryption oracle remediation.

Ну и конечно в русском исполнении:

Произошла ошибка при проверке подлинности. Указанная функция не поддерживается. Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP

Получается двоякая ситуация, что RDP как бы работает, но вот по какой-то причине ваши учетные данные на принимающей стороне не соответствуют, каким-то критериям, давайте разбираться, что это за зверь CredSSP.

Отключаем credssp в Windows через NLA

Данный метод выхода из ситуации я бы рассматривал, как быстрое, временное решение, до того, как вы установите обновления безопасности. Чтобы разрешить удаленное подключение к серверу и избегать ситуации, что произошла ошибка при проверке подлинности credssp, сделайте вот что. Откройте свойства моего компьютера, попав в систему, так же можно нажать одновременно WIN+Pause Breake или как вариант в командной строке ввести  control /name Microsoft. System
. В окне «Система» находим пункт меню «Настройка удаленного доступа»

Снимите галку «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол  с проверкой подлинности на уровне сети»

После этого вы легко сможете подключиться к данному компьютеру или серверу, но как быть что вы не можете туда попасть и снять эту галку, тут нам на помощь придет реестр Windows. Вы можете удаленно создать нужные ключи реестра, которые отключат галку NLA или политику CredSSP. Для этого вы можете пойти двумя путями:

1. Использовать сетевой реестр Windows
2. Использовать удаленное управление компьютером, например PsExec.exe, я вам с помощью него уже показывал, как открывать порты в брандмауэре, удаленно
   .

Давайте попробуем через удаленный реестр, для этого открываем Regedit, через окно «Выполнить».

Из меню «Файл» выберите пункт «Подключить сетевой реестр», далее найдите нужный вам сервер.

У вас подключится дополнительный реестр с двумя кустами. Переходите по пути (Если у вас не будет CredSSP\Parameters, то нужно будет их создать):

Тут вам необходимо создать REG_DWORD ключ с именем  AllowEncryptionOracle
и значением 2
. В данном варианте политика CredSSP выставит  Уязвимый уровень —
 это самый низкий уровень защиты. Это позволит вам подключаться к серверам удаленно, используя RDP. Однако это подвергнет серверы атакам.

Или можно так же отключить NLA, для этого найдите ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Terminal Server\WinStations\RDP-Tcp

Найдите там ключ  SecurityLaye
r 
и выставите ему значение 0
, чтобы деактивировать Network Level Authentication.

Теперь то же самое вы можете выполнить и через PsExec.exe, выставив для CredSSP минимальный уровень защиты или же отключить NLA
, для этого находясь в cmd в режиме администратора
введите команду:

PsExec.exe \\w10-cl01 -u root\Администратор -p пароль cmd

w10-cl01 — это имя компьютера.

Далее имея запущенный сеанс cmd для удаленного компьютера, выполните команду:

REG ADD HKLM\Software\Microsoft\Windows\ CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2 (0 вернет все как было)

Аналогично можно сделать и для отключения Network Level Authentication, команда будет такой:

REG ADD «HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp» /v SecurityLayer
/t REG_DWORD /d 0

Еще раз обращаю ваше внимание, что данный метод временный и самый не безопасный, применяемый в случаях, когда уже ничего сделать нельзя или дольше, а нужно уже вчера, обязательно установите все нужные обновления.

Самый правильный метод, это установка обновлений

Раньше были вот такие KB, но они со временем могут меняться свой номер, поэтому пройдите по ссылке выше, так будет надежнее.

• Windows Server 2012 R2 / Windows 8: KB4103715
• Windows Server 2008 R2 / Windows 7: KB4103712
• Windows Server 2016 / Windows 10 1607 — KB4103723
• Windows Server 2016 / Windows 10 1703 — KB4103731
• Windows Server 2016 / Windows 10 1709 — KB4103727
• Windows Server 2016 / Windows 10 1803 — KB4103721

На этом у меня все, надеюсь, что вы разобрались в работе CredSSP и научились ей управлять. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Назначение CredSSP

Что такое CredSSP
— это Win32 API, используемый системами Microsoft Windows для выполнения различных операций, связанных с безопасностью, таких как аутентификация. SSPI функционирует, как общий интерфейс для нескольких поставщиков поддержки безопасности (SSP). Поставщик поддержки безопасности — это библиотека динамической компоновки (DLL), которая делает один или несколько пакетов безопасности доступными для приложений.

C redSSP позволяет приложению делегировать учетные данные пользователя от клиента целевому серверу для удаленной аутентификации. 
CredSSP предоставляет зашифрованный канал протокола безопасности транспортного уровня  Клиент проходит проверку подлинности по зашифрованному каналу с использованием протокола SPNEGO (Simple and Protected Negotiate) с  Microsoft Kerberos
 или Microsoft NTLM.

После проверки подлинности клиента и сервера клиент передает учетные данные пользователя на сервер. 
Учетные данные дважды шифруются с использованием ключей сеанса SPNEGO и TLS. CredSSP поддерживает вход в систему на основе пароля, а также вход в систему с использованием смарт-карт на основе  X.509
 и PKINIT.

Подробнее на Microsoft https://docs.microsoft.com/en-us/windows/desktop/secauthn/credential-security-support-provider

Следующие поставщики общих служб устанавливаются вместе с Windows:

• NTLM (Представлено в Windows NT 3.51 ) (msv1_0.dll) — обеспечивает проверку подлинности NTLM с запросом/ответом для клиент-серверных доменов до Windows 2000 и для не доменной аутентификации (SMB /CIFS).
• Kerberos (Представлен в Windows 2000 и обновлен в Windows Vista для поддержки AES ) (kerberos.dll). Предпочтителен для взаимной аутентификации клиент-серверного домена в Windows 2000 и более поздних версиях. 
• Согласование (введено в Windows 2000) (secur32.dll) — выбирает Kerberos и, если не доступно, протокол NTLM. SSP обеспечивает возможность единого входа , иногда называемую встроенной аутентификацией Windows (особенно в контексте IIS
  ). В Windows 7 и более поздних версиях представлен NEGOExts, в котором согласовывается использование установленных пользовательских SSP, которые поддерживаются на клиенте и сервере для аутентификации.
• Безопасный канал (он же SChannel) — Представлен в Windows 2000 и обновлен в Windows Vista и выше для поддержки более надежного шифрования AES и ECC. Этот поставщик использует записи SSL/TLS
  для шифрования полезных данных. (Schannel.dll)
• PCT (устарел) реализация Microsoft TLS/SSL — криптография SSP с открытым ключом, которая обеспечивает шифрование и безопасную связь для аутентификации клиентов и серверов через Интернет. Обновлено в Windows 7 для поддержки TLS 1.2.
• Digest SSP (Представлено в Windows XP ) (wdigest.dll) — Обеспечивает проверку подлинности HTTP и SASL на основе запросов/ответов между системами Windows и не-Windows, где Kerberos недоступен.
• Учетные данные (CredSSP) (Представлено в Windows Vista и доступно в Windows XP с пакетом обновления 3 (SP3)) (credssp.dll) — обеспечивает SSO
  и проверку подлинности на уровне сети для служб удаленных рабочих столов.
• Аутентификация с распределенным паролем (DPA) — (Представлено в Windows 2000) (msapsspc.dll) — Обеспечивает аутентификацию через Интернет с использованием цифровых сертификатов.
• Криптография с открытым ключом «пользователь-пользователь» (PKU2U) (представлена ​​в Windows 7 ) (pku2u.dll) — обеспечивает одноранговую аутентификацию с использованием цифровых сертификатов между системами, которые не являются частью домена.