MENU
  1. ホーム
  2. Windows
  3. RDP
  4. Errore “CredSSP encryption oracle remediation” in Desktop Remoto: guida completa alla soluzione rapida e sicura

Errore “CredSSP encryption oracle remediation” in Desktop Remoto: guida completa alla soluzione rapida e sicura

RDP

Stai tentando di connetterti in Desktop Remoto da Windows 10 22H2 a un PC con Windows 11 24H2 e vedi l’errore “CredSSP encryption oracle remediation”? Qui trovi una guida pratica, completa e aggiornata: perché si presenta, come risolverlo in pochi secondi e come prevenirlo in modo sicuro.

Indice

Panoramica del problema

L’errore nasce da uno squilibrio tra le patch di sicurezza che, dal maggio 2018, hanno irrigidito il protocollo CredSSP. Quando client e server non sono allineati, l’Autenticazione a Livello di Rete (NLA) blocca la connessione per evitare possibili downgrade di cifratura o attacchi “man‑in‑the‑middle”.

  • Scenario tipico: notebook con Windows 10 22H2 (aggiornato a metà 2025) che tenta un collegamento RDP verso workstation Windows 11 24H2.
  • Sintomo: popup con il messaggio “An authentication error has occurred. The function requested is not supported. CredSSP encryption oracle remediation”.
  • Tentativi falliti: modifica manuale del criterio di gruppo Encryption Oracle Remediation su Varianti Vulnerable, Mitigated, Force Updated Clients – sia lato client sia lato server – senza ottenere successo.

Soluzione immediata che funziona (workaround)

  1. Accedi localmente al PC che riceve la connessione (Windows 11, ma vale anche per Windows 10 o Windows Server).
  2. Premi Win + R, digita sysdm.cpl e premi Invio.
  3. Nella finestra Proprietà del sistema seleziona la scheda Remote.
  4. Nella sezione “Remote Desktop” dis‑seleziona la casella:
    Consenti connessioni solo dai computer che eseguono Desktop remoto con Autenticazione a livello di rete (consigliata)
  5. Conferma con Apply/OK.
    In alcuni casi è necessario riavviare per applicare la modifica.
  6. Riprova la connessione RDP dal client: l’errore scompare e la sessione si apre correttamente.

Nota: se gestisci una LAN domestica o un laboratorio isolato hai finito qui. Chiuderai il PC a fine test e potrai riattivare NLA in seguito. Se invece operi in rete aziendale continua a leggere per una correzione definitiva e sicura.

Perché accade: spiegazione tecnica

CredSSP fornisce un canale sicuro in cui il client passa le proprie credenziali al server durante la fase di NLA. Nel maggio 2018 Microsoft ha rilasciato l’aggiornamento cumulativo KB4103721 (e pacchetti gemelli per le altre versioni di Windows) che obbliga i sistemi a rifiutare handshake CredSSP con controparti “più vecchie” o configurate in modo meno sicuro.
Di default, il criterio di gruppo Encryption Oracle Remediation rimane impostato su “Mitigated”, valore che:

  • permette solo connessioni provenienti da client patchati verso server patchati;
  • rifiuta ogni altra combinazione.

Se uno dei due endpoint non ha ricevuto la patch (o un aggiornamento non è andato a buon fine) si crea un mismatch di versione che porta all’errore. Disabilitando NLA si bypassa il controllo CredSSP perché il server non convalida più le credenziali prima di aprire il canale grafico, sacrificando però parte della sicurezza end‑to‑end.

Effetti collaterali della disattivazione di NLA

Con NLA disattivata:

  • l’autenticazione avviene dopo l’apertura della sessione RDP, rendendo possibile un attacco a forza bruta;
  • i sistemi non possono sfruttare Device Guard, Credential Guard o Smart Card Authentication;
  • l’audit centrale di accesso (Event ID 4625, 4624) non registra più correttamente i tentativi di login falliti.

Soluzioni permanenti e livello di sicurezza

OpzioneLivello di sicurezzaQuando preferirla
Aggiornare entrambi i PC e lasciare NLA attivo (Mitigated)★★★★☆Reti aziendali o domestiche con buona manutenzione
Sul client forzare Encryption Oracle Remediation = Vulnerable★★☆☆☆Server legacy non patchabile, ma accesso urgente richiesto
Disabilitare NLA (workaround descritto)★☆☆☆☆Ambienti di test o LAN isolate, attività temporanee

Come applicare la soluzione raccomandata passo‑per‑passo

  1. Verifica stato patch CredSSP sui due sistemi
    Apri Windows PowerShell come amministratore ed esegui sul client e sul server:
    Get-HotFix -Id KB4103721, KB4103718, KB4103727, KB4103712, KB4103723
    Se nessuno dei pacchetti compare, il sistema non è allineato.
  2. Esegui Windows Update
    • Su Windows 10 22H2 installa cumulativa di luglio 2025 o successiva.
    • Su Windows 11 24H2 installa cumulativa di luglio 2025 o successiva.
  3. Ripristina il criterio a Non configurato
    Se in precedenza hai modificato il criterio Encryption Oracle Remediation (localmente o via dominio):
    gpedit.msc › Computer Configuration › Administrative Templates › System › Credentials Delegation › Encryption Oracle Remediation
    Imposta su Not Configured e applica.
  4. Riattiva NLA
    Rientra in sysdm.cpl, scheda Remote e seleziona di nuovo la casella “Consenti connessioni solo…”.
  5. Riavvia entrambi i computer per assicurarti che GPO e aggiornamenti siano applicati.

Ulteriori strategie di protezione

1) Credential Guard con Virtualization‑Based Security

Se usi Windows Pro o Enterprise, abilita Credential Guard per isolare segreti di autenticazione dai processi a basso privilegio. Riduce il rischio di attacchi Pass‑the‑Hash o estrazione di credenziali da LSASS.

2) RD Gateway o VPN always‑on

Esporre la porta 3389 in Internet è fortemente sconsigliato. Se non puoi usare una VPN site‑to‑site:

  • installa Remote Desktop Gateway su un server DMZ;
  • richiedi cert TLS validi (Let’s Encrypt o PKI interna);
  • obbliga la MFA tramite NPS Extension di Azure AD.

3) Firewall e brute‑force throttling

Configura il firewall per limitare gli IP sorgente (es. regola che consenta la porta 3389 solo dalla subnet dell’ufficio o dall’indirizzo IP statico di casa). Abilita inoltre il criterio di blocco account dopo X tentativi.

FAQ

Posso risolvere con il registro anziché con GPO?

Sì. Crea o modifica il valore DWORD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle. Imposta:

  • 0 (Force Updated Clients)
  • 1 (Mitigated)
  • 2 (Vulnerable)

Riavvia il sistema per applicare.
Disattivare NLA riduce la performance?

No, l’impatto è trascurabile. Il rischio è puramente di sicurezza.
Il problema può riapparire dopo un aggiornamento?

Può succedere se uno dei due PC riceve nuove patch e l’altro no. Integra sempre Windows Update nelle politiche di manutenzione periodica.

Best practice riassuntive

  • Applica regolarmente le patch cumulative (Windows Update o WSUS).
  • Mantieni NLA attivo e limita l’accesso RDP tramite firewall o VPN.
  • Implementa MFA e, dove possibile, Credential Guard.
  • Esegui audit periodici delle porte esposte su Internet e degli account con diritti di login RDP.

Conclusioni

L’errore “CredSSP encryption oracle remediation” non è un bug vero e proprio ma un meccanismo di protezione che impedisce la connessione quando client e server non condividono lo stesso livello di patch. Il workaround più rapido consiste nel disabilitare NLA, ma la strada raccomandata rimane:

  1. patchare entrambi i sistemi;
  2. reimpostare il criterio di sicurezza su Mitigated o Not Configured;
  3. riattivare NLA per garantire autenticazione pre‑sessione.

Così facendo unisci semplicità operativa e tutela dei dati, evitando di aprire porte a potenziali attacchi di rete.

RDP
CredSSP RDP Troubleshooting Windows 10 Windows 11
Indice