名稱加密預示修復
GPOComputer Settings
類別系統管理範本\系統\認證委派
描述▪ 此項原則設定適用於使用 CredSSP 元件之應用程式 (例如遠端桌面連線)
▪ CredSSP 通訊協定的某些版本有弱點,容易受到針對用戶端的加密 Oracle 攻擊所威脅。此項原則會控制易受攻擊的用戶端與伺服器的相容性,可設定加密預示弱點所需的保護層級
▪ 如果啟用此項原則設定,就會依據下列選項來選取 CredSSP 版本支援:
- 強制使用更新的用戶端:使用 CredSSP 的用戶端應用程式將無法回復成不安全的版本,並且使用 CredSSP 的服務將不會接受未修補的用戶端。注意:除非所有遠端主機都已支援最新的版本,否則不應該部署此項設定
- 已降低影響:使用 CredSSP 的用戶端應用程式將無法回復成不安全的版本,但使用 CredSSP 的服務可接受未修補的用戶端
- 易受攻擊:使用 CredSSP 的用戶端應用程式可支援回復成不安全的版本,且使用 CredSSP 的服務可接受未修補的用戶端,進而導致遠端伺服器容易遭受攻擊
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\系統管理範本\系統\認證委派]
3. 在右邊窗點擊 "加密預示修復".
4. 選擇 "已啟用,保護層級:強制使用更新的用戶端", 點擊 "確定". (GCB 設定值為 啟用:強制使用更新的用戶端)