Solución al error de autenticación: no se permite la función solicitada, puede deberse a una corrección de oráculo de cifrado CredSSP. Este error se produce cuando se intenta conectar por Escritorio Remoto (RDP, mstsc) a un equipo Windows.

Causa y error que se produce al conectarse a un equipo con Escritorio Remoto activado

El error que se produce cuando intentamos conectarnos a un equipo Windows con Escritorio Remoto habilitado, desde otro equipo Windows:

Error que se produce al conectarse a un equipo con Escritorio Remoto activado

Con el texto:

RemoteApp
Error de autenticación.
No se permite la función solicitada
Equipo remoto: SBACKUP
Puede deberse a una corrección de oráculo de cifrado CredSSP.
Para obtener más información, consulte https://go.microsoft.com/fwlink/?linkid=866660.

Este error es debido a que Microsoft, tras detectar varias vulnerabilidades en el protocolo RDP, aumentó el nivel de seguridad de las conexiones por escritorio remoto. Pero en equipos más «antiguos», donde la versión de escritorio remoto es también «antigua», si intentamos conectarnos con un cliente «moderno», como un equipo con Windows 10 actualizado, mostrará el error anterior.

Solución al error de oráculo de cifrado CredSSP al conectar por RDP a un equipo Windows

Para solucionar el error, deberemos editar una directiva de seguridad en el equipo cliente desde el que queremos conectar al servidor RDP. Para ello, desde «Inicio», escribiremos «gpedit» [1] y abriremos «Editar directiva de grupo» [2]:

Solución al error de oráculo de cifrado CredSSP al conectar por RDP a un equipo Windows

Desde el Editor de directivas de grupo local, accederemos a la rama «Configuración del equipo» – «Plantillas administrativas» – «Sistema» – «Delegación de credenciales». En la parte derecha, haremos doble clic sobre «Corrección de oráculo de cifrado»:

Solución al error de oráculo de cifrado CredSSP al conectar por RDP a un equipo Windows

En la directiva «Corrección de oráculo de cifrado», marcaremos «Habilitada» [1] y en el desplegable de «Nivel de protección», elegiremos «Vulnerable» [2]:

Solución al error de oráculo de cifrado CredSSP al conectar por RDP a un equipo Windows

Con esto ya debería poder realizar la conexión con éxito al servidor/equipo con Escritorio Remoto habilitado.

Nota importante: establecer esta directiva a «Vulnerable» no es recomendable y debe actualizarse el sistema operativo del servidor RPD para poder realizar la conexión con un cliente RDP actualizado y seguro.

El texto explicativo de la directiva anterior:

Corrección de oráculo de cifrado
Algunas versiones del protocolo CredSSP son vulnerables a un ataque de oráculo de cifrado contra el cliente. Esta directiva controla la compatibilidad con los servidores y los clientes vulnerables. También te permite establecer el nivel de protección que quieras para la vulnerabilidad de oráculo de cifrado.
Forzar clientes actualizados: las aplicaciones cliente que usen CredSSP no podrán revertirse a las versiones no seguras y los servicios que usen CredSSP no aceptarán clientes sin revisión. Nota: Esta configuración no debe implementarse hasta que todos los hosts remotos sean compatibles con la versión más reciente.
Vulnerable: las aplicaciones cliente que usen CredSSP expondrán los servidores remotos a ataques al admitir la reversión a versiones no seguras, y los servicios que usen CredSSP aceptarán clientes sin revisión.

En caso de no disponer de la directiva anterior (puede que no aparezca en algún equipo), podremos agregar manualmente la clave de registro correspondiente, ejecutando el siguiente comando desde una ventana de MS-DOS (ejecutada con privilegios de administrador):

Al tratarse de una clave de HKEY_LOCAL_MACHINE necesitaremos reiniciar el equipo, tanto si tenemos la directiva como si hemos usado el método de agregar la clave en registro manualmente.