Windows远程桌面连接报错CredSSP 加密数据库修正 解决方法
前言
远程桌面连接报错CredSSP 加密数据库修正,这是一个在 Windows 更新后常见的远程桌面连接错误。根本原因是微软为了提高安全性,更新了 CredSSP 的加密方式,导致新(客户端)旧(服务器端)系统之间不兼容。
简单来说,就是连接的一方(客户端或服务器)的加密标准太高,而另一方不支持。解决思路就是让双方使用兼容的加密方式。
核心解决方法(两种思路)
重要提示:
- 如果您能访问远程计算机(服务器),请在服务器端进行修改(方法一),这是最推荐的、一劳永逸的方法。
- 如果您只能控制本地计算机(客户端),请在客户端进行修改(方法二),但安全性会有所降低。
- 修改后需要重启计算机才能生效。
方法一:在远程计算机(服务器)上修改(推荐)
此方法通过组策略编辑器修改,适用于 Windows 10/11 专业版、企业版、教育版。
打开组策略编辑器:
- 在远程计算机上,按
Win + R键,输入gpedit.msc,回车。
- 在远程计算机上,按
导航到目标策略:
- 依次展开:
计算机配置->管理模板->系统->凭据分配。 - 在右侧找到 “加密数据库修正” 策略。
- 依次展开:
设置策略:
- 双击“加密数据库修正”,选择 “已启用”。
- 在“保护级别”下拉菜单中,选择 “易受攻击”。
- 易受攻击:允许使用旧的、安全性较低的加密方式。选择此项可以让旧版本客户端(如未更新的Win7)也能连接。
- 已缓解:这是默认的更新后状态,会导致本问题。
- 强制更新的客户端:安全性最高,要求双方都是最新版本。
- 点击“应用” -> “确定”。
更新本地策略:
- 按
Win + R,输入cmd打开命令提示符。 - 输入命令
gpupdate /force并回车,强制更新组策略。
- 按
- 重启远程计算机,然后尝试从客户端重新连接。
方法二:在本地计算机(客户端)上修改
如果您无法修改服务器,可以在自己的电脑上降低安全要求以建立连接。
方式A:使用组策略编辑器(同样需要专业版及以上)
步骤与方法一完全相同,只是这次操作是在你自己的电脑(客户端)上执行。将“保护级别”设置为 “易受攻击”。
方式B:修改注册表(适用于所有Windows版本,包括家庭版)
警告:修改注册表有风险,请先备份或创建系统还原点。
- 在客户端电脑上,按
Win + R,输入regedit,回车。 导航到以下路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters- 如果
CredSSP或Parameters文件夹不存在,请手动新建项(文件夹)。
- 如果
- 在
Parameters项右侧空白处右键,选择新建->DWORD (32位) 值,命名为AllowEncryptionOracle。 - 双击
AllowEncryptionOracle,将其“数值数据”修改为2。2对应“易受攻击”。1对应“已缓解”。0对应“强制更新的客户端”。
- 点击“确定”,重启电脑,然后尝试连接。
方法三:通过控制面板(临时或一次性方案)
此方法修改的是当前用户的远程桌面连接设置,有时可以解决问题。
- 在客户端电脑,按
Win + R,输入control打开控制面板。 - 进入 “用户账户” -> “凭据管理器” -> “管理 Windows 凭据”。
- 找到你为远程计算机添加的凭据,点击 “编辑”。
- 在编辑页面,你会发现一个 “高级设置” 区域(可能需要向下滚动),里面有一个选项是 “需要身份验证的协议”。
- 尝试将协议从默认选项改为 “使用旧版身份验证协议(如NTLM)” 或类似的选项(不同版本系统描述可能不同)。
- 保存后重试连接。
总结与建议
| 操作位置 | 方法 | 推荐度 | 说明 |
|---|---|---|---|
| 远程计算机 | 组策略 -> 启用“加密数据库修正” -> 级别“易受攻击” | ★★★★★ | 最推荐,从根本上解决问题,允许各种客户端连接。 |
| 本地计算机 | 组策略(同上) | ★★★★ | 有效,但只解决本机问题,安全性略降。 |
| 本地计算机 | 注册表添加 AllowEncryptionOracle=2 |
★★★★ | 家庭版用户唯一可用的永久性方案。 |
| 本地计算机 | 控制面板凭据管理器 | ★★ | 可能无效,可作为临时尝试。 |
最佳安全实践:
长期来看,最安全的方法是确保连接双方(客户端和服务器)的Windows系统都更新到最新版本,然后将策略级别设置为 “强制更新的客户端”,这样既能连接又保证了最高安全性。