Contacte
Acasă

Computerul de la distanță necesită autentificare la nivel de rețea pe care nu o acceptă. A apărut o eroare de autentificare. Funcția specificată nu este acceptată. Dezactivați NLA pentru RDP pe Windows

După instalarea actualizării KB4103718 pe computerul meu cu Windows 7, nu mă pot conecta de la distanță la un server care rulează Windows Server 2012 R2 prin RDP Remote Desktop. După ce specific adresa serverului RDP în fereastra clientului mstsc.exe și dau clic pe „Conectează”, apare o eroare:

Conexiune la desktop la distanță

A apărut o eroare de autentificare.

Funcția specificată nu este acceptată.
Computer la distanță: nume computer

După ce am dezinstalat actualizarea KB4103718 și mi-am repornit computerul, conexiunea RDP a început să funcționeze bine. Dacă am înțeles bine, aceasta este doar o soluție temporară, va sosi un nou pachet de actualizare cumulativă luna viitoare și eroarea va reveni? Vreun sfat?

Răspuns

Aveți perfectă dreptate că este inutil să rezolvați problema, deoarece vă expuneți astfel computerul la riscul de a exploata diverse vulnerabilități care sunt închise de patch-urile din această actualizare.

Nu ești singur în problema ta. Această eroare poate apărea pe orice sistem de operare Windows sau Windows Server (nu numai Windows 7). Pentru utilizatorii versiunii în limba engleză a Windows 10, atunci când încearcă să se conecteze la serverul RDP / RDS, o eroare similară arată astfel:

A apărut o eroare de autentificare.

Funcția solicitată nu este acceptată.

Computer la distanță: nume computer

Eroarea RDP „A apărut o eroare de autentificare” poate apărea și atunci când încercați să lansați aplicații RemoteApp.

De ce se întâmplă asta? Cert este că computerul dvs. are cele mai recente actualizări de securitate (lansate după mai 2018), care remediază o vulnerabilitate gravă în protocolul CredSSP (Credential Security Support Provider), care este folosit pentru autentificare pe serverele RDP (CVE-2018-0886) ( Recomand sa citesti articolul). În același timp, pe partea serverului RDP/RDS la care vă conectați de pe computer, aceste actualizări nu sunt instalate și protocolul NLA (Network Level Authentication) este activat pentru acces RDP. NLA utilizează mecanisme CredSSP pentru a pre-autentifica utilizatorii prin TLS / SSL sau Kerberos. Computerul dvs., din cauza noilor setări de securitate pe care actualizarea ați instalat, pur și simplu blochează conexiunea la computerul de la distanță care utilizează versiunea vulnerabilă a CredSSP.

Ce se poate face pentru a remedia această eroare și a vă conecta la serverul RDP?

  1. Cel mai dreapta modalitatea de a rezolva problema este instalarea celor mai recente actualizări de securitate Windows pe computerul/serverul la care vă conectați prin RDP;
  2. Metoda temporară 1 ... Puteți dezactiva autentificarea la nivel de rețea (NLA) pe partea serverului RDP (descris mai jos);
  3. Metoda temporară 2 ... Puteți, din partea clientului, să permiteți conexiuni la serverele RDP cu o versiune nesigură a CredSSP, așa cum este descris în articolul de la linkul de mai sus. Pentru a face acest lucru, trebuie să schimbați cheia de registry AllowEncryptionOracle(comanda REG ADD
    HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) sau modificați setările politicii locale Criptare Oracle Remediation/ Remediați vulnerabilitatea oracolului de criptare) prin setarea valorii acesteia = Vulnerabil / Lăsați vulnerabilitatea).

    Aceasta este singura modalitate de a accesa un server la distanță prin RDP dacă nu aveți posibilitatea de a vă conecta la server local (prin consola ILO, mașina virtuală, interfața cloud etc.). În acest mod, veți putea să vă conectați la un server la distanță și să instalați actualizări de securitate, așa că veți trece la metoda recomandată 1. După actualizarea serverului, nu uitați să dezactivați politica sau să returnați valoarea cheii AllowEncryptionOracle = 0: REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0

Dezactivați NLA pentru RDP pe Windows

Dacă NLA este activat pe partea serverului RDP la care vă conectați, aceasta înseamnă că CredSPP este utilizat pentru a pre-autentifica utilizatorul RDP. Puteți dezactiva autentificarea la nivel de rețea din proprietățile sistemului de pe filă Acces de la distanță(la distanta) debifând caseta „Permite conexiuni numai de pe computere care rulează Desktop la distanță cu autentificare la nivel de rețea (recomandat)” (Windows 10 / Windows 8).

Windows 7 are un nume diferit pentru această opțiune. În fila Acces de la distanță trebuie să selectați opțiunea " Permite conexiuni de pe computere cu orice versiune de Desktop la distanță (periculos)/ Permite conexiuni de la computere care rulează orice versiune de Desktop la distanță (mai puțin sigură)".

De asemenea, este posibil să dezactivați autentificarea la nivel de rețea (NLA) utilizând Editorul de politici de grup local - gpedit.msc(în Windows 10 Home, editorul de politici gpedit.msc poate fi lansat) sau folosind Consola de gestionare a politicilor de domeniu - GPMC.msc. Pentru a face acest lucru, accesați secțiunea Configurare computer -> Șabloane administrative -> ComponenteWindows-> Servicii desktop la distanță - Gazdă sesiune desktop la distanță -> Securitate(Configurație computer -> Șabloane administrative -> Componente Windows -> Servicii Desktop la distanță - Gazdă sesiune Desktop la distanță -> Securitate), Deconectat politică (Necesită autentificarea utilizatorului pentru conexiunile la distanță utilizând autentificarea la nivel de rețea).

Este nevoie și în politică” Necesită un nivel de securitate specific pentru conexiunile RDP la distanță»(Necesită utilizarea unui nivel de securitate specific pentru conexiunile la distanță (RDP)) selectați Stratul de securitate - RDP.

Pentru a aplica noile setări RDP, trebuie să actualizați politicile (gpupdate/force) sau să reporniți computerul. După aceea, ar trebui să vă conectați cu succes la desktopul de la distanță al serverului.

Deschidem editorul de registry.

Ramura HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa

Deschideți parametrul Pachete de securitate și căutați acolo cuvântul tspkg. Dacă nu este acolo, adăugați-l la parametrii existenți.

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ filiala SecurityProviders

Deschideți parametrul SecurityProviders și adăugați credssp.dll la furnizorii existenți, dacă nu există.

Închideți editorul de registry.

Acum trebuie să reporniți. Dacă acest lucru nu se face, atunci computerul ne va cere un nume de utilizator și o parolă, dar în loc de desktopul de la distanță va răspunde la următoarele:

Asta e tot, de fapt.

Administratorii de server bazați pe Windows 2008 ar putea să se confrunte cu următoarea problemă:

Conexiunea prin protocolul rdp la serverul dvs. preferat de la o stație Windows XP SP3 eșuează cu următoarea eroare:

Desktop la distanță este dezactivat.

Computerul de la distanță necesită o autentificare la nivel de rețea pe care acest computer nu o acceptă. Contactați administratorul de sistem sau asistența tehnică pentru asistență.

Și deși promițătorul Win7 amenință să o înlocuiască în cele din urmă pe bunica sa WinXP, problema va rămâne urgentă încă un an sau doi.

Iată ce trebuie să faceți pentru a activa mecanismul de autentificare a stratului de rețea:

Deschidem editorul de registry.

Ramura HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa

Deschiderea parametrului Pachete de securitate și căutând un cuvânt acolo tspkg... Dacă nu este acolo, adăugați-l la parametrii existenți.

Ramura HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders

Deschiderea parametrului Furnizori de securitate și adăugați la furnizorii existenți credssp.dll dacă nu există.

Închideți editorul de registry.

Acum trebuie să reporniți. Dacă acest lucru nu se face, atunci când încercați să vă conectați, computerul ne va cere un nume de utilizator și o parolă, dar în loc de desktopul de la distanță va răspunde la următoarele:

Conexiune la desktop la distanță

Eroare de autentificare (cod 0x507)

Asta e tot, de fapt.

Au existat întotdeauna probleme cu securitatea și viteza serverelor, iar în fiecare an relevanța lor crește doar. În consecință, Microsoft a trecut de la modelul original de autentificare pe partea de server la autentificarea la nivel de rețea.

Care este diferența dintre aceste modele?
Anterior, la conectarea la Terminal Services, utilizatorul crea o sesiune cu serverul, prin care acesta din urmă încărca ecranul de introducere a acreditărilor pentru utilizator. Această metodă consumă resursele serverului chiar înainte ca utilizatorul să-și confirme legalitatea, ceea ce permite unui utilizator ilegal să încarce complet resursele serverului cu mai multe solicitări de conectare. Un server care nu poate procesa aceste solicitări refuză să proceseze cererile către utilizatori legitimi (atac DoS).


Autentificarea la nivel de rețea (NLA) forțează utilizatorul să introducă acreditările într-o casetă de dialog la nivelul clientului. În mod implicit, dacă nu există o autentificare la nivel de rețea pe partea clientului, atunci serverul nu va permite conexiunea și nu se va întâmpla. NLA cere computerului client să furnizeze acreditările sale de autentificare, chiar înainte de a crea o sesiune cu serverul. Acest proces se mai numește și autentificare frontală.



NLA a fost introdus înapoi în RDP 6.0 și a fost suportat nativ de Windows Vista. De la RDP 6.1 - acceptat de serverele care rulează Windows Server 2008 și versiuni ulterioare, și suport pentru clienți este furnizat pentru Windows XP SP3 (trebuie să permiteți un nou furnizor de securitate în registru) și versiuni ulterioare. Metoda folosește furnizorul de securitate Credential Security Support Provider (CredSSP). Dacă utilizați un client desktop la distanță pentru un alt sistem de operare - trebuie să vă întrebați despre suportul NLA al acestuia.


Beneficiile NLA:
  • Nu necesită resurse semnificative de server.
  • Un strat suplimentar pentru a proteja împotriva atacurilor DoS.
  • Accelerează procesul de mediere între client și server.
  • Vă permite să extindeți tehnologia NT „autentificare unică” pentru a lucra cu un server terminal.
Dezavantajele NLA:
  • Alți furnizori de securitate nu sunt acceptați.
  • Nu este acceptat de versiunile client mai mici decât Windows XP SP3 și versiunile de server mai mici decât Windows Server 2008.
  • Este necesar să configurați manual registry pe fiecare client Windows XP SP3.
  • Ca orice schemă de „autentificare unică”, este vulnerabilă la furtul „cheilor întregii cetăți”.
  • Nu este posibil să utilizați funcția „Solicitați schimbarea parolei la următoarea conectare”.

Dacă utilizați Windows XP când vă conectați la server, este posibil să primiți o eroare: „Computerul de la distanță necesită autentificare la nivel de rețea, pe care acest computer nu o acceptă”.

Această eroare apare din cauza faptului că inițial în Windows XP, autentificarea la nivel de rețea nu a fost implementată; dezvoltatorii au implementat această caracteristică în sistemele de operare ulterioare. Ulterior a fost lansat și un fișier de actualizare. KB951608 care a remediat această eroare și a permis Windows XP să implementeze autentificarea la nivel de rețea.

Pentru a vă putea conecta la desktopul de la distanță al serverului de pe computerul dvs. care rulează Windows XP, trebuie să instalați Service Pack 3 (SP3), apoi faceți următoarele:

Pe site-ul oficial Microsoft pe pagina în limba rusă https://support.microsoft.com/ru-ru/kb/951608 descărcați fișierul de corecție automată. Derulați în jos în pagină și faceți clic pe butonul „Descărcare” din secțiunea „Ajutor la rezolvarea problemei”.

De asemenea, aveți la dispoziție o pagină în limba engleză https://support.microsoft.com/en-us/kb/951608 de unde puteți descărca acest fișier făcând clic pe butonul „Descărcare” din secțiunea „Cum se activează CredSSP”

După descărcarea fișierului, rulați-l pentru execuție. După pornirea acestui fișier, veți vedea fereastra programului. În ea, la primul pas, bifați caseta „Accept”. În al doilea pas, faceți clic pe butonul „Următorul”.

La finalizarea instalării, veți vedea următoarea fereastră cu notificarea „Această remediere Microsoft a fost procesată” Trebuie doar să faceți clic pe „Închidere”.

După ce ați făcut clic pe butonul „Închidere”, programul vă va spune că modificările intră în vigoare, trebuie să reporniți computerul, faceți clic pe „Da” pentru a reporni.

Rezolvați singur problema fără a descărca fișierul

Dacă aveți abilități administrative, atunci puteți face modificări în registrul computerului dvs. manual, fără a fi nevoie să descărcați fișierul de corecție.

1. Faceți clic pe butonul start, selectați elementul Alerga, introduceți comanda regeditși apăsați tasta introduce



Ți-a plăcut articolul? Împărtășește-l
Articole conexe recomandate
Descărcare gratuită Skype versiunea rusă Instalați aplicația SkypeDescărcare gratuită Skype versiunea rusă Instalați aplicația Skype
Cum să recuperezi o fotografie pe Android după ștergerea ei?Cum să recuperezi o fotografie pe Android după ștergerea ei?
Gazde originale pentru sistemele de operare Windows Ce ar trebui să fie într-o gazdă Windows 7Gazde originale pentru sistemele de operare Windows Ce ar trebui să fie într-o gazdă Windows 7
Vizitatorii discută acum
A apărut o eroare de autentificareA apărut o eroare de autentificare Tenda
Deschideți următoarele porturi la stația de lucru a clientuluiDeschideți următoarele porturi la stația de lucru a clientului TP-Link
Cum să ascunzi toți prietenii VKontakte în noua versiune?Cum să ascunzi toți prietenii VKontakte în noua versiune? Fără fir
Ascunde prietenii pe VKontakteAscunde prietenii pe VKontakte Tenda