После установки майских обновлений безопасности на Windows Server 2022\ 2019 \ Windows 10 \ 11. многие администраторы столкнулись с массовыми сбоями в работе критически важных служб. Объединяет их одна и та же ошибка — "Указан неправильный алгоритм" (код состояния NTE_BAD_ALGID).

Эта проблема напрямую связана с несовместимостью некоторых версий СКЗИ КриптоПро CSP с обновленной системой шифрования Windows. В этой статье мы разберем причину и предложим проверенное решение.

В чем суть проблемы?

После установки обновлений безопасности изменяются политики шифрования. В частности, ужесточаются требования к алгоритмам, используемым для создания самозаверяющих сертификатов для RDP, Veeam, MSSQL

1. Невозможность подключения по RDP (удалённому рабочему столу).
2. Ошибки работы VSS-писателя MS SQL Server.
3. Сбои при резервном копировании Veeam Agent.

Решение: Обновление КриптоПро CSP

Пошаговая инструкция:

1. Скачайте актуальную версию КриптоПро CSP с официального сайта разработчика.
2. Установите обновление поверх существующей версии. Как правило, перезагрузка не требуется, но для применения изменений в службах шифрования рекомендуется перезагрузить сервер после установки.
3. Проверьте подключение по RDP. После обновления сервер должен корректно создавать новый сертификат, и удаленное подключение восстановится.

Дополнительные меры (если проблема сохраняется)

В редких случаях простого обновления может быть недостаточно. Вот несколько дополнительных шагов, которые рекомендуют системные администраторы:

1. Проверка политики FIPS: Убедитесь, что в системе отключена политика Системная криптография: использовать алгоритмы, совместимые с FIPS. Этот режим может блокировать некоторые алгоритмы, используемые КриптоПро. Проверить можно в secpol.msc (Локальные политики безопасности).
2. Принудительное обновление сертификата RDP: Удалите старый самозаверяющий сертификат RDP в оснастке "Сертификаты" (для локального компьютера в папке Удаленный рабочий стол). После перезагрузки служба создаст новый, корректный сертификат.
3. Настройка протоколов TLS: В качестве временной меры для диагностики можно попробовать разрешить использование TLS 1.0 в настройках SCHANNEL, однако это является временным и небезопасным решением. Основной упор — на обновление КриптоПро.

Вывод

Проблема с ошибкой "Указан неправильный алгоритм" после майских обновлений Windows имеет единую причину — конфликт между обновлённой криптографической подсистемой Microsoft и устаревшей версией СКЗИ КриптоПро CSP 5.0.13000.

Ключевые выводы:

1. Обновление КриптоПро обязательно — оно закрывает корневую причину сбоя и восстанавливает RDP.
2. Для Veeam и SQL одного обновления недостаточно — требуется удалить "застрявший" контейнер вручную, чтобы система создала новый корректный.
3. Все описанные методы официально подтверждены разработчиками (КриптоПро и Veeam) и безопасны для production-сред.
4. После выполнения обоих шагов работа всех критических служб полностью восстанавливается без потери данных.