Come disabilitare CredSSP in Windows 10

Contenuti

• Metodo 1: Configurazione dei criteri locali
• Metodo 2: Applicazione di una modifica del registro di sistema
  • Applicazione di una modifica in “Windows PowerShell
• FAQ

La disabilitazione del controllo della versione di CredSSP è solo una soluzione temporanea al problema della connessione a un server remoto tramite il protocollo RDP.

Metodo 1: Configurare i criteri locali

Il modo più ovvio per disabilitare questa API di sicurezza è modificare il rispettivo criterio nell’editor GPO integrato. La disattivazione di CredSSP avviene sul computer che si connette al server remoto.

Le istruzioni sono valide solo per Windows 10 Pro e versioni successive. Poiché l’edizione Home non dispone di questo snap-in, utilizzate l’alternativa diretta: il Metodo 2.

1. Aprire la finestra dei comandi rapidi premendo Win + R ed eseguire gpedit.msc per aprire il “Local Group Policy Editor”.



2. Nella colonna di sinistra, espandere Configurazione computer → Modelli amministrativi → Sistema → Trasferimento delle credenziali. Sul lato destro, individuare il criterio Encryption Oracle Vulnerability Repair, fare clic con il pulsante destro del mouse e selezionare Edit. È anche possibile aprire le proprietà del criterio facendo doppio clic su di esso.



3. Una volta abilitato il criterio, selezionare l’opzione “Lascia vulnerabilità” dal menu a discesa delle impostazioni di sicurezza e salvare le impostazioni.



4. Riavviare il computer o eseguire il comando gpupdate /force policy update nella finestra di dialogo dei comandi rapidi.

Successivamente si può provare a connettersi al computer remoto tramite RDP.

Metodo 2: Applicare un tweak del registro di sistema

È anche possibile disabilitare CredSSP modificando la relativa chiave di registro. Si tratta di un metodo meno comodo, a cui si può ricorrere se l’“Editor criteri di gruppo locali” non è disponibile per qualche motivo, ad esempio nel caso di Windows 10 Home.

1. Aprire l’Editor del Registro di sistema eseguendo regedit nella finestra di dialogo dei collegamenti.



2. Nella colonna di sinistra, espandere HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters o semplicemente incollare questa chiave nella barra degli indirizzi dell’editor e premere invio.
   Sulla destra dovrebbe essere presente un parametro denominato “AllowEncryptionOracle “: fare doppio clic su di esso per aprire la finestra di modifica del valore.



3. Modificare l’impostazione su “2”, salvare le impostazioni e riavviare il computer.

Applicazione della modifica in Windows PowerShell

Se manca l’elemento di percorso CredSSP\Parameters, è necessario crearlo manualmente. Questa operazione è più facile da eseguire utilizzando la console.

1. Come amministratore, aprire “PowerShell” dal menu contestuale del pulsante Start.



2. Eseguire il comando REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2.



3. Riavviare il computer.

Come detto, questa soluzione è ad hoc. Se non si desidera disabilitare CredSSP, è sufficiente installare i service pack aggiornati sui computer client e remoti.