Baru-baru ini seorang pembaca menghubungi saya mengenai masalah ini. Dia menerima pesan kesalahan “CredSSP encryption oracle remediation” saat mencoba menggunakan program Remote Desktop Connection.
Permasalahan
Daftar Isi
Setiap kali mencoba menggunakan Remote Desktop Connection (RDP) ke server dari local client, mendapatkan pesan seperti berikut:
Remote Desktop Connection
An authentication error has occurred.
The function requested is not supported.
Remote computer: Computer_Name or IP_Address
This could be due to CredSSP encryption oracle remediation.
For more information, see https://go.microsoft.com/fwlink/?linkid=866660
Jika Anda memeriksa Event Viewer, Anda akan menemukan ID 6041 dari sumber LSA (LsaSrv) yang berisi teks pesan kesalahan berikut:
A CredSSP authentication to failed to negotiate a common protocol version. The remote host offered version which is not permitted by Encryption Oracle Remediation.
Masalah ini dapat terjadi pada Windows 10, Windows 8/8.1, Windows 7, Windows Vista, Windows Server 2016, Server 2012 and Server 2008.
Jika Anda menggunakan remote desktop client atau server pihak ke-3, mungkin juga menghadapi masalah yang disebutkan di atas.
Penyebab
Masalah ini terjadi karena Patch CredSSP diinstal di server atau komputer klien. Sebenarnya RDP menggunakan CredSSP (Credential Security Support Provider Protocol) yang merupakan penyedia otentikasi yang memproses permintaan otentikasi untuk aplikasi.
Baru-baru ini Microsoft menemukan bahwa kerentanan eksekusi kode jauh (CVE-2018-0886: enkripsi oracle attack) ada di versi CredSSP. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menyampaikan kredensial pengguna untuk mengeksekusi kode pada sistem target. Jadi aplikasi apa pun yang bergantung pada CredSSP untuk otentikasi rentan terhadap jenis serangan ini.
Untuk mengatasi risiko keamanan ini, Microsoft merilis pembaruan keamanan untuk mengatasi kerentanan dengan mengoreksi bagaimana CredSSP memvalidasi permintaan selama proses otentikasi. Patch memperbarui protokol otentikasi CredSSP dan klien Remote Desktop untuk semua platform yang terpengaruh.
Setelah menginstal pembaruan, klien yang diatasi tidak dapat berkomunikasi dengan server yang belum diatasi. Dengan kata lain, jika komputer klien telah menginstal pembaruan keamanan tetapi komputer server tidak diperbarui dengan pembaruan keamanan (atau sebaliknya), koneksi jarak jauh tidak berhasil dan pengguna menerima pesan kesalahan yang disebutkan di atas.
Cara Mengatasi
Untuk mengatasi masalah ini, disarankan untuk menginstal patch keamanan di kedua komputer (server dan klien).
Setelah kedua komputer memiliki patch CredSSP diinstal, pesan kesalahan akan hilang.
Jika karena beberapa alasan, Anda tidak dapat menginstal pembaruan keamanan di server atau komputer klien, Anda dapat menggunakan solusi berikut untuk memperbaiki masalah dan menyingkirkan pesan kesalahan:
Microsoft menyediakan kebijakan untuk mengontrol kompatibilitas dengan klien dan server yang rentan. Dengan bantuan kebijakan ini, Anda dapat mengatur tingkat perlindungan yang Anda inginkan untuk kerentanan enkripsi.
Ada 2 cara untuk memperbaiki masalah pesan kesalahan enkripsi CredSSP oracle remediation yang disebabkan oleh patch:
METODE 1: Menggunakan Group Policy Editor (gpedit.msc)
METODE 2: Menggunakan Editor Registri (regedit.exe)
Mari kita bahas kedua metode secara rinci:
METODE 1: Menggunakan Group Policy Editor (gpedit.msc)
1. Tekan WIN + R bersamaan untuk meluncurkan kotak dialog RUN. Sekarang ketik gpedit.msc dan tekan Enter. Ini akan membuka Group Policy Editor.
2. Sekarang buka:
Computer Configuration -> Administrative Templates -> System -> Credentials Delegation
3. Di panel sisi kanan, cari opsi berikut:
Encryption Oracle Remediation
Opsi ini diatur ke Not Configured secara default. Klik dua kali pada opsi dan atur ke Enabled. Sekarang pilih “Vulnerable” dari kotak drop-down “Protection Level“.
Klik tombol Apply dan kemudian tombol OK untuk keluar.
Nyalakan kembali komputer Anda. Sekarang Anda dapat membuat koneksi jarak jauh antara server dan klien tanpa masalah.
Catatan: Jika Anda ingin mengembalikan pengaturan default di masa mendatang, cukup atur opsi di Group Policy Editor untuk “Not Configured” lagi.
METODE 2: Menggunakan Registry Editor (regedit.exe)
Jika Anda menggunakan Windows Home Edition, Anda tidak akan dapat menjalankan perintah gpedit.msc karena versi ini tidak dilengkapi dengan Group Policy Editor. Tetapi Anda dapat mengaktifkan Editor Kebijakan Grup dalam versi ini menggunakan tutorial ini.
Jika Anda tidak dapat menggunakan atau tidak ingin menggunakan Group Policy Editor, Anda dapat mengambil bantuan dari Registry Editor untuk tugas yang sama. Cukup ikuti langkah-langkah sederhana ini:
1. Tekan WIN + R bersamaan untuk meluncurkan kotak dialog RUN. Sekarang ketik regedit dan tekan Enter. Ini akan membuka Registry Editor.
2. Sekarang buka kunci:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
3. Buat kunci baru di bawah Kunci System dan tetapkan namanya sebagai CredSSP
4. Buat kunci baru lainnya di bawah kunci CredSSP dan tetapkan namanya sebagai Parameters.
5. Sekarang pilih kunci Parameters dan di panel sisi kanan buat DWORD AllowEncryptionOracle baru dan atur nilainya menjadi 2.
6. Nyalakan kembali komputer Anda.
Sekarang Anda akan dapat menggunakan koneksi jarak jauh antara server dan klien tanpa masalah.
Catatan: Di suatu saat jika Anda ingin mengembalikan pengaturan default, cukup hapus DWORD yang dibuat pada langkah-langkah di atas.