Hướng dẫn Sửa lỗi “CredSSP Encryption Oracle Remediation” Khi Remote Desktop

Nếu bạn là một quản trị viên hệ thống hoặc người dùng thường xuyên sử dụng Remote Desktop Protocol (RDP), có lẽ bạn đã từng đối mặt với thông báo lỗi khó chịu: “An authentication error has occurred. The function requested is not supported,” kèm theo chi tiết “CredSSP Encryption Oracle Remediation“.

Đây là một lỗi remote desktop phổ biến, thường xuất hiện đột ngột sau khi một trong hai máy tính (máy khách hoặc máy chủ) được cập nhật Windows. Nó không phải là một lỗi ngẫu nhiên, mà là một cơ chế bảo vệ có chủ đích của Microsoft, nhưng lại gây ra không ít phiền toái cho người dùng.

Trong bài viết chuyên sâu này của TruongIT.NET, chúng tôi sẽ là cẩm nang toàn diện giúp bạn không chỉ sửa lỗi CredSSP một cách nhanh chóng, mà còn hiểu rõ nguyên nhân sâu xa đằng sau nó. Chúng tôi sẽ hướng dẫn chi tiết hai phương pháp an toàn bằng Group Policy và Registry, đồng thời giải thích giải pháp lâu dài và đúng đắn nhất cho vấn đề này.

Tìm hiểu nguyên nhân trước khi sửa lỗi CredSSP

Để khắc phục hiệu quả, trước tiên chúng ta cần hiểu rõ bản chất của lỗi. Đây không phải là lỗi kết nối mạng thông thường, mà là một vấn đề liên quan đến giao thức bảo mật.

CredSSP là gì?

CredSSP, viết tắt của Credential Security Support Provider Protocol, là một giao thức xác thực được Windows sử dụng. Nhiệm vụ chính của nó là chuyển tiếp thông tin đăng nhập (tên người dùng và mật khẩu) của bạn từ máy tính khách (client) đến máy chủ (server) một cách an toàn trong quá trình kết nối Remote Desktop.

Nguyên nhân gốc rễ: Lỗ hổng CVE-2018-0886

Nguồn cơn của lỗi này bắt nguồn từ một lỗ hổng bảo mật nghiêm trọng được phát hiện vào tháng 3 năm 2018, có mã là CVE-2018-0886. Lỗ hổng này cho phép kẻ tấn công có thể thực thi mã từ xa trên máy chủ nếu họ lừa được người dùng kết nối đến một máy chủ độc hại.

Để vá lỗ hổng này, Microsoft đã tung ra các bản cập nhật bảo mật, thay đổi cách CredSSP xác thực các phiên kết nối. Bạn có thể đọc thông tin chi tiết về lỗ hổng này tại trang chính thức của Microsoft: Microsoft Security Vulnerability CVE-2018-0886.

Tại sao lỗi lại xảy ra?

Lỗi “CredSSP Encryption Oracle Remediation” xảy ra khi có sự “lệch pha” về cấp độ bảo mật giữa máy khách và máy chủ. Cụ thể:

• Kịch bản 1: Máy tính của bạn (Client) đã được cài đặt bản vá bảo mật mới, nhưng máy chủ bạn đang cố kết nối đến (Server) thì chưa. Máy tính của bạn sẽ từ chối kết nối đến một máy chủ “yếu”, không an toàn.
• Kịch bản 2: Máy chủ đã được vá lỗi, nhưng máy tính của bạn thì chưa. Máy chủ sẽ từ chối yêu cầu kết nối từ một máy khách “yếu”.

Tóm lại, lỗi này là một tính năng an toàn, ngăn chặn một kết nối RDP không an toàn có thể xảy ra.

Cảnh báo quan trọng trước khi sửa lỗi

Các phương pháp được trình bày dưới đây về cơ bản là hạ thấp mức độ bảo mật trên máy tính của bạn để cho phép kết nối được thực hiện.

• Đây là giải pháp tạm thời: Chúng chỉ nên được xem là một giải pháp tình thế để bạn có thể kết nối và làm việc ngay lập tức.
• Rủi ro: Bằng cách cho phép các kết nối “yếu”, bạn đang tự đặt mình vào rủi ro nếu kết nối đến một máy chủ không đáng tin cậy.
• Giải pháp tốt nhất: Giải pháp đúng đắn và an toàn nhất về lâu dài là cập nhật Windows cho cả máy khách và máy chủ lên phiên bản mới nhất. Khi cả hai máy đều được vá lỗi đầy đủ, lỗi này sẽ tự động biến mất.

Cách 1: Sửa lỗi CredSSP bằng Group Policy (Khuyên dùng)

Đây là phương pháp “sạch sẽ” và được khuyến nghị nhất nếu bạn đang sử dụng Windows phiên bản Pro, Enterprise, hoặc Education.

Bước 1: Mở Group Policy Editor

Nhấn phím Windows + R để mở hộp thoại Run, gõ gpedit.msc và nhấn Enter. Lưu ý: Nếu bạn dùng Windows bản Home, gpedit.msc sẽ không có sẵn. Bạn cần kích hoạt nó trước.

Bước 2: Tìm đến Policy “Encryption Oracle Remediation”

Trong cửa sổ Local Group Policy Editor, hãy điều hướng theo đường dẫn sau: Computer Configuration -> Administrative Templates -> System -> Credentials Delegation

Ở khung bên phải, bạn sẽ thấy một chính sách có tên là Encryption Oracle Remediation.

Bước 3: Cấu hình Policy

Nhấp đúp vào chính sách Encryption Oracle Remediation để mở cửa sổ cấu hình.

1. Chọn Enabled.
2. Trong phần Options, bạn sẽ thấy một mục Protection Level. Hãy nhấp vào danh sách thả xuống và chọn Vulnerable.
3. Nhấn Apply, sau đó nhấn OK.

Giải thích các mức độ bảo vệ:

• Force Updated Clients: Mức cao nhất, yêu cầu tất cả các máy phải được vá lỗi.
• Mitigated: Mức trung bình, chặn các kết nối không an toàn nhưng cho phép một số trường hợp.
• Vulnerable: Mức thấp nhất, cho phép kết nối đến các máy chủ chưa được vá lỗi. Đây chính là mức chúng ta cần để khắc phục sự cố.

Bước 4: Cập nhật Group Policy

Để thay đổi có hiệu lực ngay lập tức, hãy mở Command Prompt với quyền Administrator và gõ lệnh gpupdate /force. Hoặc đơn giản là khởi động lại máy tính của bạn. Việc này hoàn tất quá trình sửa lỗi CredSSP bằng Group Policy.

Cách 2: Sửa lỗi CredSSP bằng Registry Editor (Dành cho mọi phiên bản Windows)

Nếu bạn đang dùng Windows bản Home hoặc không muốn dùng Group Policy, sửa lỗi registry là phương pháp thay thế.

Bước 0: Sửa nhanh với file registry

Bước 1: Mở Registry Editor

Nhấn Windows + R, gõ regedit và Enter.

Bước 2: Tìm đến khóa CredSSP

Sao chép và dán đường dẫn sau vào thanh địa chỉ của Registry Editor và nhấn Enter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Tại đây, bạn cần tìm một khóa (thư mục) tên là CredSSP. Nếu không thấy, hãy tạo nó:

1. Nhấp chuột phải vào khóa System.
2. Chọn New > Key.
3. Đặt tên cho khóa mới là CredSSP.

Tiếp theo, nhấp vào khóa CredSSP vừa tạo. Bạn cần một khóa con tên là Parameters. Nếu không có, hãy tạo nó tương tự.

Bước 3: Tạo giá trị “AllowEncryptionOracle”

1. Nhấp vào khóa Parameters.
2. Ở khung bên phải, nhấp chuột phải vào khoảng trống, chọn New > DWORD (32-bit) Value.
3. Đặt tên cho giá trị mới là AllowEncryptionOracle.
4. Nhấp đúp vào AllowEncryptionOracle vừa tạo.
5. Trong ô Value data, nhập số 2.
6. Đảm bảo Base được chọn là Hexadecimal.
7. Nhấn OK.

Bước 4: Khởi động lại máy tính

Khởi động lại máy tính của bạn để thay đổi có hiệu lực. Bây giờ, bạn có thể kết nối Remote Desktop mà không gặp lỗi nữa. Đây là cách sửa lỗi CredSSP hiệu quả cho mọi phiên bản Windows.

Giải pháp lâu dài sau khi đã sửa lỗi CredSSP tạm thời

Việc sửa lỗi CredSSP Encryption Oracle Remediation bằng Group Policy hay Registry chỉ là giải pháp tình thế. Nó giúp bạn giải quyết công việc ngay lập tức nhưng lại làm giảm mức độ bảo mật của máy tính.

Giải pháp đúng đắn và bền vững nhất là đảm bảo cả máy tính của bạn và máy chủ bạn kết nối đến đều được cập nhật đầy đủ các bản vá Windows mới nhất. Khi cả hai bên đều “khỏe mạnh”, sự “lệch pha” về bảo mật sẽ không còn và lỗi này sẽ tự động biến mất. Sau khi đã cập nhật máy chủ, bạn nên quay lại và đặt lại chính sách Encryption Oracle Remediation về Not Configured hoặc Mitigated để có được mức bảo mật tốt nhất.

Đây là một trong nhiều lỗi người dùng có thể gặp. Để tìm hiểu các giải pháp khác, hãy ghé thăm chuyên mục Sửa lỗi Windows của chúng tôi. Các trang tin tức công nghệ như Bleeping Computer cũng là một nguồn thông tin tuyệt vời để theo dõi các lỗi phát sinh từ các bản cập nhật Windows.