Cómo solucionar el error RDP CredSSP en Windows 11 con reg add AllowEncryptionOracle

Resumen rápido: si recibes el error

An authentication error has occurred. The function requested is not supported. This could be due to CredSSP encryption oracle remediation.

Y necesitas conectar urgentemente a un servidor RDP que no está parcheado, puedes cambiar una entrada del Registro en el equipo cliente para permitir la conexión. Esta guía muestra solo el método con reg add (línea de comandos) y pasos asociados — con precauciones y cómo revertirlo.

---

La clave AllowEncryptionOracle controla cómo el cliente trata la validación CredSSP:

• 0 = Full (seguro). Rechaza servidores no parcheados.
• 1 = Compatibilidad. Menos estricto.
• 2 = Vulnerable. Permite conectar aunque el servidor no tenga los parches — riesgo de seguridad.

---

Precauciones (lee antes de ejecutar)

• Riesgo: establecer AllowEncryptionOracle = 2 reduce la seguridad y puede exponer credenciales a ataques man-in-the-middle si la red no es de confianza.
• Uso recomendado: solo temporalmente y solo si confías en la red y no puedes parchear el servidor todavía.
• Alternativa segura: parchear/actualizar el servidor y el cliente.
• Haz una copia del registro antes de cambiarlo (se incluye cómo abajo).

---

Pasos (ejecutar como Administrador)

1) Hacer copia de seguridad del registro (opcional pero recomendado)

Abre PowerShell o CMD como administrador y exporta la rama:

reg export "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" "%USERPROFILE%\Desktop\CredSSP-Parameters.reg"

Esto crea un .reg en el escritorio por si necesitas restaurarlo.

2) Aplicar el cambio con reg add

Abre Símbolo del sistema (CMD) o PowerShell como Administrador y ejecuta:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

• Explicación: crea/modifica el valor DWORD AllowEncryptionOracle y le asigna 2 forzando modo Vulnerable.

3) Verificar que el valor se aplicó

En PowerShell (ejecutado como admin) puedes comprobarlo:

reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /v AllowEncryptionOracle

La salida debe mostrar el valor 0x2.

4) Probar la conexión RDP

Intenta conectarte con Remote Desktop. Si funciona, recuerda que esto es una medida temporal.

---

Cómo revertir el cambio (muy importante)

Cuando el servidor esté actualizado o ya no necesites la excepción, revierte a un modo seguro:

• Para eliminar el valor (vuelve al comportamiento por defecto de Windows):

reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /v AllowEncryptionOracle /f

• O para forzar modo seguro (valor 0):

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /v AllowEncryptionOracle /t REG_DWORD /d 0 /f

Después de revertir, prueba la conexión de nuevo. Si vuelve a fallar, lo correcto es parchear/actualizar el servidor.

---

Recomendaciones finales

1. Usa este ajuste solo temporalmente.
2. Prioriza actualizar el servidor RDP (parches de CredSSP).
3. Si trabajas en una red empresarial, coordina con seguridad/IT antes de cambiar a 2.
4. Tras usarlo, vuelve a eliminar o poner 0 en AllowEncryptionOracle.