Windows uzak masaüstü bağlantılarında CredSSP hatası nasıl giderilir?

RDP ile bağlanırken “An authentication error has occurred”, “This could be due to CredSSP encryption oracle remediation” veya benzeri bir uyarı görüyorsanız, istemci (client) ve sunucu (server) arasında CredSSP tarafında uyumsuz bir güvenlik ilkesi ya da eksik güncelleme vardır. Aşağıdaki adımlar, hızlıca bağlanmanızı sağlar ve kalıcı çözümü de içerir.

Özet: En doğru yaklaşım

  • Kalıcı çözüm (önerilen): Hem istemci hem sunucuyu Windows Update’lerle güncelleyin, ardından varsayılan (güvenli) davranışa dönün.
  • Geçici çözüm (hemen bağlantı için): İstemci tarafta Encryption Oracle Remediation ilkesini Vulnerable yapın. Bağlantı sağlandıktan sonra güvenli moda geri alın.

1) Hızlı Geçici Çözüm (Client)

Güvenlik riski içerir; yalnızca kısa süreli kullanın. Bağlandıktan sonra geri almanız önerilir.

Yerel Grup İlkesi (gpedit.msc)

  1. Win + R → gpedit.msc çalıştırın.
  2. Bilgisayar Yapılandırması → Yönetim Şablonları → Sistem → Kimlik Bilgileri Yetkilendirmesi yoluna gidin.
  3. Encryption Oracle Remediation ilkesini Etkin yapın.
  4. Koruma Düzeyi (Protection Level) olarak Vulnerable seçin.
  5. gpupdate /force çalıştırın ve RDP ile tekrar deneyin.

Kayıt Defteri (PowerShell/Komut Satırı)

Aynı ilkeyi kayıt defterinden de uygulayabilirsiniz:

# PowerShell (Yönetici)
New-Item -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters' `
  -Name 'AllowEncryptionOracle' -PropertyType DWord -Value 2 -Force | Out-Null
gpupdate /force

Değer açıklamaları: 0=Force Updated Clients (en sıkı), 1=Mitigated (varsayılan güvenli), 2=Vulnerable (geçici, riskli).

2) Kalıcı ve Güvenli Çözüm

Asıl sorun genellikle sunucunun (veya istemcinin) CredSSP yamalarının eksik olmasıdır. Aşağıdaki adımları tamamlayın:

  • İstemci ve sunucuya bekleyen Windows Update’leri yükleyin.
  • Sunucuda yeniden başlatma gerekiyorsa planlayın.
  • İstemci tarafındaki geçici “Vulnerable” ayarı yaptıysanız güvenli moda geri dönün (aşağıda).

Geçici ayarı geri alma (güvenli moda dönüş)

# PowerShell (Yönetici) — güvenli varsayılan seviyeye çek
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters' `
  -Name 'AllowEncryptionOracle' -Value 1
gpupdate /force

Alternatif olarak Encryption Oracle Remediation ilkesini Etkin + Mitigated yapabilir veya ilkeyi Yapılandırılmadı’ya alarak Windows’un varsayılan güvenli davranışına dönmesini sağlayabilirsiniz.

3) Sunucu Tarafında Ek Kontroller

  • Sunucuda bekleyen Windows Update kaldı mı? Özellikle güvenlik güncellemelerini tamamlayın.
  • RDP hizmeti çalışıyor mu: TermService durumu ve Güvenlik Duvarı kuralları doğru mu?
  • Etki alanı ortamında GPO’lar çakışıyor mu? İstemci üzerinde yaptığınız ilkeyi domain GPO tersine çevirmesin.

4) Komutla hızlı tanı ve düzeltme (client)

Aşağıdaki tek seferlik akış, önce “bağlanabilmek için” geçici açar; sonra güncelleme sonrası güvenli moda döndürür.

# 1) Hemen bağlan (geçici, riskli)
New-Item -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters' `
  -Name 'AllowEncryptionOracle' -PropertyType DWord -Value 2 -Force | Out-Null
gpupdate /force

# 2) Sunucu/istemci güncellemelerini yükledikten sonra güvenli moda dön
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters' `
  -Name 'AllowEncryptionOracle' -Value 1
gpupdate /force

5) Linux/Mac istemcilerde (FreeRDP/Remmina) not

  • FreeRDP sürümünüzü güncelleyin; eski istemciler CredSSP/NLA’da hata verebilir.
  • Geçici test için /cert-ignore ve /sec:nla ile deneyebilir, başarısız olursa /sec:tls’e düşürebilirsiniz.
  • Kalıcı çözüm yine sunucuyu/istemciyi güncellemek ve varsayılan güvenli moda dönmektir.

6) Sık karşılaşılan durumlar

  • İstemci güncel, sunucu eski: İstemci “Mitigated” modda bağlanamaz. Geçici olarak “Vulnerable” açın, sunucuyu güncelleyin, sonra geri alın.
  • Etki alanı (GPO) baskın: Yerelde yaptığınız ayar GPO ile eziliyorsa domain GPO’da aynı ilkeyi düzenleyin.
  • Bağlantı yine de kurulmadı: RDP portu/port yönlendirme, NLA zorlaması, üçüncü taraf güvenlik yazılımları ve saat/dns uyuşmazlıklarını kontrol edin.

Önerilen Anahtar Kelimeler

credssp hatası çözümü, encryption oracle remediation, allowencryptionoracle 2, rdp kimlik doğrulama hatası, windows uzak masaüstü bağlanmıyor, gpedit credssp, registry credssp, mitigated vulnerable

Bu cevap yeterince yardımcı oldu mu? 0 Bu dökümanı faydalı bulan kullanıcılar: (0 Oy)

En Popüler

Uzak Masaüstü Bağlantısı Hatası: “Kullanıcı Hesabı Kilitlendi” Sorunu Nasıl Çözülür?

Uzak Masaüstü Bağlantısı Hatası: “Kullanıcı Hesabı Kilitlendi” Sorunu Nasıl Çözülür? VDS veya...