يتطلب الكمبيوتر البعيد مصادقة على مستوى الشبكة لا يدعمها. حدث خطأ في المصادقة. الوظيفة المحددة غير مدعومة. تعطيل NLA لـ RDP على Windows

بعد تثبيت التحديث KB4103718 على جهاز الكمبيوتر الخاص بي الذي يعمل بنظام Windows 7 ، لا يمكنني الاتصال عن بعد بخادم يقوم بتشغيل Windows Server 2012 R2 عبر RDP Remote Desktop. بعد تحديد عنوان خادم RDP في نافذة العميل mstsc.exe والنقر فوق "اتصال" ، يظهر خطأ:

اتصال سطح المكتب البعيد

حدث خطأ في المصادقة.

الوظيفة المحددة غير مدعومة.
الكمبيوتر البعيد: اسم الكمبيوتر

بعد أن قمت بإلغاء تثبيت تحديث KB4103718 وإعادة تشغيل جهاز الكمبيوتر ، بدأ اتصال RDP في العمل بشكل جيد. إذا فهمت بشكل صحيح ، فهذا مجرد حل مؤقت ، فهل ستصل حزمة تحديث تراكمية جديدة الشهر المقبل وسيعود الخطأ؟ اي نصيحه؟

إجابه

أنت محق تمامًا في أنه من غير المجدي حل المشكلة ، لأنك بذلك تعرض جهاز الكمبيوتر الخاص بك لخطر استغلال العديد من الثغرات الأمنية التي أغلقتها التصحيحات في هذا التحديث.

أنت لست وحدك في مشكلتك. يمكن أن يظهر هذا الخطأ على أي نظام تشغيل Windows أو Windows Server (ليس فقط Windows 7). بالنسبة لمستخدمي الإصدار الإنجليزي من Windows 10 ، عند محاولة الاتصال بخادم RDP / RDS ، يظهر خطأ مشابه كالتالي:

حدث خطأ في المصادقة.

الوظيفة المطلوبة غير مدعومة.

الكمبيوتر البعيد: اسم الكمبيوتر

قد يظهر أيضًا خطأ RDP "حدث خطأ في المصادقة" عند محاولة تشغيل تطبيقات RemoteApp.

لماذا يحدث هذا؟ الحقيقة هي أن جهاز الكمبيوتر الخاص بك لديه آخر تحديثات الأمان (التي تم إصدارها بعد مايو 2018) ، والتي تعمل على إصلاح ثغرة أمنية خطيرة في بروتوكول CredSSP (موفر دعم أمان بيانات الاعتماد) ، والذي يستخدم للمصادقة على خوادم RDP (CVE-2018-0886) ( أوصي بقراءة المقال). في الوقت نفسه ، على جانب خادم RDP / RDS الذي تتصل به من جهاز الكمبيوتر الخاص بك ، لم يتم تثبيت هذه التحديثات وتم تمكين بروتوكول NLA (مصادقة مستوى الشبكة) للوصول إلى RDP. يستخدم NLA آليات CredSSP للمصادقة المسبقة على المستخدمين عبر TLS / SSL أو Kerberos. جهاز الكمبيوتر الخاص بك ، بسبب إعدادات الأمان الجديدة التي ثبتها التحديث الذي قمت بتثبيته ، يقوم ببساطة بحظر الاتصال بالكمبيوتر البعيد الذي يستخدم الإصدار الضعيف من CredSSP.

ما الذي يمكن فعله لإصلاح هذا الخطأ والاتصال بخادم RDP؟

1. معظم الصحيحتتمثل طريقة حل المشكلة في تثبيت آخر تحديثات أمان Windows على الكمبيوتر / الخادم الذي تتصل به عبر RDP ؛
2. الطريقة المؤقتة 1 ... يمكنك تعطيل مصادقة مستوى الشبكة (NLA) على جانب خادم RDP (الموضح أدناه) ؛
3. الطريقة المؤقتة 2 ... يمكنك ، من جانب العميل ، السماح بالاتصالات بخوادم RDP بإصدار غير آمن من CredSSP ، كما هو موضح في المقالة على الرابط أعلاه. للقيام بذلك ، تحتاج إلى تغيير مفتاح التسجيل AllowEncryptionOracle(الأمر REG ADD
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) أو تغيير إعدادات السياسة المحلية تشفير Oracle Remediation/ إصلاح التشفير أو الثغرة الأمنية) من خلال تحديد قيمته = ضعيف / ترك الثغرة).

   هذه هي الطريقة الوحيدة للوصول إلى خادم بعيد عبر RDP إذا لم تكن لديك القدرة على تسجيل الدخول إلى الخادم محليًا (عبر وحدة تحكم منظمة العمل الدولية ، والجهاز الظاهري ، والواجهة السحابية ، وما إلى ذلك). في هذا الوضع ، ستتمكن من الاتصال بخادم بعيد وتثبيت تحديثات الأمان ، لذلك ستنتقل إلى الطريقة الأولى الموصى بها. بعد تحديث الخادم ، لا تنس تعطيل السياسة أو إرجاع قيمة المفتاح AllowEncryptionOracle = 0: REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0

تعطيل NLA لـ RDP على Windows

إذا تم تمكين NLA على جانب خادم RDP الذي تتصل به ، فهذا يعني أنه يتم استخدام CredSPP للمصادقة المسبقة لمستخدم RDP. يمكنك تعطيل مصادقة مستوى الشبكة في خصائص النظام في علامة التبويب الوصول عن بعد(بعيد) من خلال إلغاء تحديد المربع "السماح بالاتصالات فقط من أجهزة الكمبيوتر التي تعمل بنظام سطح المكتب البعيد باستخدام مصادقة مستوى الشبكة (موصى به)" (Windows 10 / Windows 8).

Windows 7 له اسم مختلف لهذا الخيار. في علامة التبويب الوصول عن بعدتحتاج إلى تحديد الخيار " السماح بالاتصالات من أجهزة الكمبيوتر مع أي إصدار من "سطح المكتب البعيد" (خطير)/ السماح بالاتصالات من أجهزة الكمبيوتر التي تعمل بأي إصدار من "سطح المكتب البعيد" (أقل أمانًا) ".

من الممكن أيضًا تعطيل مصادقة مستوى الشبكة (NLA) باستخدام محرر نهج المجموعة المحلي - gpedit.msc(في Windows 10 Home ، يمكن تشغيل محرر سياسة gpedit.msc) أو باستخدام وحدة تحكم إدارة نهج المجال - GPMC.msc. للقيام بذلك ، انتقل إلى القسم تكوين الكمبيوتر -> قوالب الإدارة -> المكوناتشبابيك-> خدمات سطح المكتب البعيد - مضيف جلسة سطح المكتب البعيد -> الأمان(تكوين الكمبيوتر -> القوالب الإدارية -> مكونات Windows -> خدمات سطح المكتب البعيد - مضيف جلسة سطح المكتب البعيد -> الأمان) ، قطع الاتصالالنهج (يتطلب مصادقة المستخدم للاتصالات البعيدة باستخدام مصادقة مستوى الشبكة).

مطلوب أيضًا في السياسة " تتطلب مستوى أمان محددًا لاتصالات RDP البعيدة»(يتطلب استخدام طبقة أمان محددة للاتصالات عن بُعد (RDP)) حدد طبقة الأمان - RDP.

لتطبيق إعدادات RDP الجديدة ، تحتاج إلى تحديث السياسات (gpupdate / force) أو إعادة تشغيل الكمبيوتر. بعد ذلك ، يجب عليك الاتصال بسطح المكتب البعيد للخادم بنجاح.

نفتح محرر التسجيل.

فرع HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa

افتح معلمة حزم الأمان وابحث عن كلمة tspkg هناك. إذا لم يكن موجودًا ، فقم بإضافته إلى المعلمات الموجودة.

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ فرع SecurityProviders

افتح المعلمة SecurityProviders وأضف ملف credssp.dll إلى الموفرين الحاليين ، إذا لم يكن هناك أي شيء.

أغلق محرر التسجيل.

الآن أنت بحاجة إلى إعادة التشغيل. إذا لم يتم ذلك ، فسيطلب منا الكمبيوتر اسم مستخدم وكلمة مرور ، ولكن بدلاً من سطح المكتب البعيد سوف يجيب على ما يلي:

هذا كل شيء في الواقع.

قد يتعين على مسؤولي الخادم المستندة إلى Windows 2008 مواجهة المشكلة التالية:

فشل الاتصال عبر بروتوكول rdp بالخادم المفضل لديك من محطة Windows XP SP3 مع الخطأ التالي:

سطح المكتب البعيد معطل.

يتطلب الكمبيوتر البعيد مصادقة على مستوى الشبكة لا يدعمها هذا الكمبيوتر. اتصل بمسؤول النظام أو الدعم الفني للحصول على المساعدة.

وعلى الرغم من أن Win7 الواعد يهدد في نهاية المطاف باستبدال WindowsXP لجدته ، إلا أن المشكلة ستظل ملحة لمدة عام أو عامين آخرين.

إليك ما عليك القيام به لتمكين آلية مصادقة طبقة الشبكة:

نفتح محرر التسجيل.

فرع HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa

فتح المعلمة حزم الأمان وتبحث عن كلمة هناك ملعقة شاي... إذا لم يكن موجودًا ، فقم بإضافته إلى المعلمات الموجودة.

فرع HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders

فتح المعلمة مزودو الأمن وإضافة إلى مقدمي الخدمة الحاليين credssp.dllإذا لم يكن هناك شيء.

أغلق محرر التسجيل.

الآن أنت بحاجة إلى إعادة التشغيل. إذا لم يتم ذلك ، فعند محاولة الاتصال ، سيطلب منا الكمبيوتر اسم مستخدم وكلمة مرور ، ولكن بدلاً من سطح المكتب البعيد سوف يجيب على ما يلي:

اتصال سطح المكتب البعيد

خطأ في المصادقة (الرمز 0x507)

هذا كل شيء في الواقع.

كانت هناك دائمًا مشكلات تتعلق بأمان الخوادم وسرعتها ، وكل عام تتزايد أهميتها فقط. وبالتالي ، انتقلت Microsoft من نموذج المصادقة الأصلي من جانب الخادم إلى المصادقة على مستوى الشبكة.

ما الفرق بين هذه النماذج؟
في السابق ، عند الاتصال بالخدمات الطرفية ، أنشأ المستخدم جلسة مع الخادم ، قام الأخير من خلالها بتحميل شاشة إدخال بيانات الاعتماد للمستخدم. تستهلك هذه الطريقة موارد الخادم حتى قبل أن يؤكد المستخدم شرعيته ، مما يسمح للمستخدم غير القانوني بتحميل موارد الخادم بالكامل بطلبات تسجيل دخول متعددة. يرفض الخادم غير القادر على معالجة هذه الطلبات معالجة الطلبات للمستخدمين الشرعيين (هجوم DoS).

المصادقة على مستوى الشبكة (NLA) تجبر المستخدم على إدخال بيانات الاعتماد في مربع حوار من جانب العميل. بشكل افتراضي ، إذا لم يكن هناك مصادقة على مستوى الشبكة من جانب العميل ، فلن يسمح الخادم بالاتصال ولن يحدث ذلك. تطلب NLA من جهاز الكمبيوتر العميل تقديم بيانات اعتماد المصادقة الخاصة به ، حتى قبل إنشاء جلسة مع الخادم. تسمى هذه العملية أيضًا المصادقة الأمامية.

تم تقديم NLA مرة أخرى في RDP 6.0 وكان مدعومًا أصلاً بواسطة Windows Vista. من الإصدار RDP 6.1 - مدعوم من الخوادم التي تعمل بنظام التشغيل Windows Server 2008 والإصدارات الأحدث ، ويتم توفير دعم العميل لأنظمة تشغيل Windows XP SP3 (تحتاج إلى السماح لموفر أمان جديد في السجل) والإصدارات الأحدث. تستخدم الطريقة موفر أمان موفر دعم أمان بيانات الاعتماد (CredSSP). إذا كنت تستخدم عميل سطح مكتب بعيد لنظام تشغيل آخر - فأنت بحاجة إلى الاستفسار عن دعم NLA الخاص به.

• لا يتطلب موارد خادم كبيرة.
• طبقة إضافية للحماية من هجمات DoS.
• يسرع عملية الوساطة بين العميل والخادم.
• يسمح لك بتوسيع تقنية "تسجيل الدخول الفردي" NT للعمل مع خادم طرفي.

• لا يتم دعم موفري الأمان الآخرين.
• غير مدعوم من قبل إصدارات العميل الأقل من Windows XP SP3 وإصدارات الخادم الأقل من Windows Server 2008.
• من الضروري تكوين السجل يدويًا على كل عميل Windows XP SP3.
• مثل أي مخطط "تسجيل دخول واحد" ، فهو عرضة لسرقة "مفاتيح القلعة بأكملها".
• لا يمكن استخدام وظيفة "طلب تغيير كلمة المرور عند تسجيل الدخول التالي".

إذا كنت تستخدم نظام التشغيل Windows XP عند الاتصال بالخادم ، فقد تحصل على خطأ: "يتطلب الكمبيوتر البعيد المصادقة على مستوى الشبكة ، وهو ما لا يدعمه هذا الكمبيوتر."

يحدث هذا الخطأ بسبب حقيقة أنه في البداية في نظام التشغيل Windows XP ، لم يتم تنفيذ المصادقة على مستوى الشبكة ؛ طبق المطورون هذه الميزة في أنظمة التشغيل اللاحقة. كما تم إصدار ملف تحديث لاحقًا. KB951608الذي أصلح هذا الخطأ وسمح لنظام التشغيل Windows XP بتنفيذ مصادقة على مستوى الشبكة.

لكي تتمكن من الاتصال بسطح المكتب البعيد للخادم من جهاز الكمبيوتر الخاص بك الذي يعمل بنظام Windows XP ، تحتاج إلى تثبيت Service Pack 3 (SP3) ، ثم قم بما يلي:

على موقع Microsoft الرسمي على الصفحة باللغة الروسية https://support.microsoft.com/ru-ru/kb/951608تنزيل ملف الإصلاح التلقائي. قم بالتمرير لأسفل الصفحة وانقر فوق الزر "تنزيل" في قسم "المساعدة في حل المشكلة".

صفحة باللغة الإنجليزية متاحة لك أيضًا https://support.microsoft.com/en-us/kb/951608حيث يمكنك تنزيل هذا الملف بالنقر فوق الزر "تنزيل" في قسم "كيفية تشغيل CredSSP"

بعد تنزيل الملف ، قم بتشغيله للتنفيذ. بعد بدء هذا الملف ، سترى نافذة البرنامج. فيه ، في الخطوة الأولى ، حدد مربع "أوافق". في الخطوة الثانية ، انقر فوق الزر "التالي"

عند الانتهاء من التثبيت ، سترى النافذة التالية مع الإشعار "تم معالجة Microsoft Fix it" ، ما عليك سوى النقر فوق "إغلاق".

بعد النقر فوق الزر "إغلاق" ، سيخبرك البرنامج أن التغييرات سارية المفعول ، تحتاج إلى إعادة تشغيل الكمبيوتر ، انقر فوق "نعم" لإعادة التشغيل.

حل المشكلة بنفسك دون تنزيل الملف

إذا كانت لديك مهارات إدارية ، فيمكنك إجراء تغييرات على سجل جهاز الكمبيوتر الخاص بك يدويًا ، دون الحاجة إلى تنزيل ملف التصحيح.

1. انقر فوق الزر يبدأ، حدد البند يركض، أدخل الأمر رجديتواضغط على المفتاح يدخل