Vzdialený počítač vyžaduje overenie na úrovni siete, ktoré nepodporuje. Vyskytla sa chyba overenia. Zadaná funkcia nie je podporovaná. Zakázať NLA pre RDP v systéme Windows

Po nainštalovaní aktualizácie KB4103718 na môj počítač so systémom Windows 7 sa nemôžem vzdialene pripojiť k serveru so systémom Windows Server 2012 R2 cez vzdialenú plochu RDP. Po zadaní adresy servera RDP v okne klienta mstsc.exe a kliknutí na tlačidlo „Pripojiť“ sa zobrazí chyba:

Pripojenie vzdialenej pracovnej plochy

Vyskytla sa chyba overenia.

Zadaná funkcia nie je podporovaná.
Vzdialený počítač: názov počítača

Po odinštalovaní aktualizácie KB4103718 a reštartovaní počítača začalo pripojenie RDP fungovať správne. Ak tomu dobre rozumiem, ide len o dočasné riešenie, príde budúci mesiac nový balík kumulatívnej aktualizácie a chyba sa vráti? Hociaká rada?

Odpoveď

Máte úplnú pravdu, že je zbytočné problém riešiť, pretože tým vystavujete svoj počítač riziku zneužitia rôznych zraniteľností, ktoré sú odstraňované záplatami v tejto aktualizácii.

Vo svojom probléme nie ste sami. Táto chyba sa môže objaviť v akomkoľvek operačnom systéme Windows alebo Windows Server (nielen Windows 7). Pre používateľov anglickej verzie systému Windows 10 pri pokuse o pripojenie k serveru RDP / RDS podobná chyba vyzerá takto:

Vyskytla sa chyba overenia.

Požadovaná funkcia nie je podporovaná.

Vzdialený počítač: názov počítača

Pri pokuse o spustenie aplikácií RemoteApp sa môže objaviť aj chyba RDP „Vyskytla sa chyba overenia“.

Prečo sa to deje? Faktom je, že váš počítač má najnovšie aktualizácie zabezpečenia (vydané po máji 2018), ktoré opravujú vážnu zraniteľnosť v protokole CredSSP (Credential Security Support Provider), ktorý sa používa na autentifikáciu na serveroch RDP (CVE-2018-0886) ( Odporúčam prečítať si článok). Zároveň na strane servera RDP / RDS, ku ktorému sa pripájate z počítača, tieto aktualizácie nie sú nainštalované a pre prístup RDP je povolený protokol NLA (Network Level Authentication). NLA používa mechanizmy CredSSP na predbežnú autentifikáciu používateľov cez TLS / SSL alebo Kerberos. Váš počítač kvôli novým nastaveniam zabezpečenia, ktoré ste nainštalovali v aktualizácii, jednoducho zablokuje pripojenie k vzdialenému počítaču, ktorý používa zraniteľnú verziu CredSSP.

Čo možno urobiť na odstránenie tejto chyby a pripojenie k serveru RDP?

1. Väčšina správne spôsob, ako vyriešiť problém, je nainštalovať najnovšie aktualizácie zabezpečenia systému Windows do počítača / servera, ku ktorému sa pripájate prostredníctvom RDP;
2. Dočasný spôsob 1 ... Môžete zakázať overenie na úrovni siete (NLA) na strane servera RDP (popísané nižšie);
3. Dočasný spôsob 2 ... Na strane klienta môžete povoliť pripojenia k serverom RDP s nezabezpečenou verziou CredSSP, ako je popísané v článku na vyššie uvedenom odkaze. Ak to chcete urobiť, musíte zmeniť kľúč databázy Registry AllowEncryptionOracle(príkaz REG ADD
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) alebo zmeňte nastavenia miestnej politiky Šifrovanie Oracle Remediation/ Opravte zraniteľnosť šifrovania oracle) nastavením jej hodnoty = Vulnerable / Leave vulnerability).

   Toto je jediný spôsob, ako získať prístup k vzdialenému serveru cez RDP, ak nemáte možnosť prihlásiť sa na server lokálne (cez konzolu ILO, virtuálny stroj, cloudové rozhranie atď.). V tomto režime sa budete môcť pripojiť k vzdialenému serveru a nainštalovať aktualizácie zabezpečenia, takže prejdete na odporúčaný 1 spôsob. Po aktualizácii servera nezabudnite zakázať politiku alebo vrátiť hodnotu kľúča AllowEncryptionOracle = 0: REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0

Zakázať NLA pre RDP v systéme Windows

Ak je NLA povolená na strane servera RDP, ku ktorému sa pripájate, znamená to, že CredSPP sa používa na predbežnú autentifikáciu používateľa RDP. Overenie na úrovni siete môžete zakázať vo vlastnostiach systému na karte Vzdialený prístup(Vzdialený) zrušením začiarknutia políčka „Povoliť pripojenia iba z počítačov so vzdialenou pracovnou plochou s overením na úrovni siete (odporúča sa)“ (Windows 10 / Windows 8).

Windows 7 má pre túto možnosť iný názov. V záložke Vzdialený prístup musíte vybrať možnosť " Povoliť pripojenia z počítačov s akoukoľvek verziou vzdialenej pracovnej plochy (nebezpečné)/ Povoliť pripojenia z počítačov s akoukoľvek verziou vzdialenej pracovnej plochy (menej zabezpečená).

Je tiež možné zakázať overovanie na úrovni siete (NLA) pomocou Editora miestnych zásad skupiny - gpedit.msc(v systéme Windows 10 Home je možné spustiť editor politiky gpedit.msc) alebo pomocou konzoly na správu zásad domény - GPMC.msc. Ak to chcete urobiť, prejdite do sekcie Konfigurácia počítača -> Šablóny pre správu -> KomponentyWindows-> Služby vzdialenej pracovnej plochy - Hostiteľ relácie vzdialenej pracovnej plochy -> Zabezpečenie(Konfigurácia počítača -> Šablóny pre správu -> Komponenty systému Windows -> Služby vzdialenej pracovnej plochy - Hostiteľ relácie vzdialenej pracovnej plochy -> Zabezpečenie), odpojiť politika (Vyžadovať overenie používateľa pre vzdialené pripojenia pomocou overenia na úrovni siete).

Potrebné aj v politike“ Vyžadovať špecifickú úroveň zabezpečenia pre vzdialené pripojenia RDP»(Vyžadovať použitie špecifickej vrstvy zabezpečenia pre vzdialené pripojenia (RDP)) vyberte vrstvu zabezpečenia - PRV.

Ak chcete použiť nové nastavenia RDP, musíte aktualizovať zásady (gpupdate / force) alebo reštartovať počítač. Potom by ste sa mali úspešne pripojiť k vzdialenej ploche servera.

Otvoríme editor registra.

Vetva HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa

Otvorte parameter Security Packages a vyhľadajte tam slovo tspkg. Ak tam nie je, pridajte ho k existujúcim parametrom.

Pobočka HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders

Otvorte parameter SecurityProviders a pridajte súbor credssp.dll k existujúcim poskytovateľom, ak žiadny neexistuje.

Zatvorte editor databázy Registry.

Teraz musíte reštartovať. Ak sa tak nestane, počítač nás požiada o používateľské meno a heslo, ale namiesto vzdialenej plochy odpovie:

To je vlastne všetko.

Správcovia serverov so systémom Windows 2008 možno budú musieť čeliť nasledujúcemu problému:

Pripojenie cez protokol rdp k vášmu obľúbenému serveru zo stanice Windows XP SP3 zlyhá s nasledujúcou chybou:

Vzdialená plocha je zakázaná.

Vzdialený počítač vyžaduje overenie na úrovni siete, ktoré tento počítač nepodporuje. Požiadajte o pomoc správcu systému alebo technickú podporu.

A hoci sľubný Win7 hrozí, že časom nahradí svoju babičku WinXP, problém bude naliehavý ešte rok či dva.

Tu je to, čo musíte urobiť, aby ste povolili mechanizmus autentifikácie sieťovej vrstvy:

Otvoríme editor registra.

Pobočka HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa

Otvorenie parametra Bezpečnostné balíčky a hľadáš tam slovo tspkg... Ak tam nie je, pridajte ho k existujúcim parametrom.

Pobočka HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders

Otvorenie parametra Poskytovatelia zabezpečenia a pridať k existujúcim poskytovateľom credssp.dll ak žiadna nie je.

Zatvorte editor databázy Registry.

Teraz musíte reštartovať. Ak sa tak nestane, pri pokuse o pripojenie nás počítač požiada o používateľské meno a heslo, ale namiesto vzdialenej plochy odpovie:

Pripojenie vzdialenej pracovnej plochy

Chyba overenia (kód 0x507)

To je vlastne všetko.

Vždy boli problémy s bezpečnosťou a rýchlosťou serverov a ich relevantnosť každým rokom len rastie. V dôsledku toho spoločnosť Microsoft prešla z pôvodného modelu autentifikácie na strane servera na autentifikáciu na úrovni siete.

Aký je rozdiel medzi týmito modelmi?
Predtým pri pripájaní k terminálovým službám používateľ vytvoril reláciu so serverom, cez ktorú server načítal obrazovku zadávania poverení pre používateľa. Táto metóda spotrebováva zdroje servera ešte predtým, ako používateľ potvrdí svoju legálnosť, čo umožňuje nelegálnemu používateľovi úplne načítať zdroje servera viacerými žiadosťami o prihlásenie. Server, ktorý nie je schopný spracovať tieto požiadavky, odmieta spracovať požiadavky legitímnym používateľom (DoS útok).

Autentifikácia na úrovni siete (NLA) núti používateľa zadávať poverenia do dialógového okna na strane klienta. V predvolenom nastavení, ak na strane klienta nie je autentifikácia na úrovni siete, server nepovolí pripojenie a nestane sa tak. NLA požiada klientsky počítač, aby poskytol svoje overovacie poverenia, a to ešte pred vytvorením relácie so serverom. Tento proces sa tiež nazýva frontálna autentifikácia.

NLA bol predstavený už v RDP 6.0 a bol natívne podporovaný systémom Windows Vista. Od RDP 6.1 – podporované servermi so systémom Windows Server 2008 a vyšším a podpora klienta je poskytovaná pre Windows XP SP3 (v registri musíte povoliť nového poskytovateľa zabezpečenia) a vyššie. Metóda využíva poskytovateľa zabezpečenia Credential Security Support Provider (CredSSP). Ak používate klienta vzdialenej plochy pre iný operačný systém - musíte sa informovať o jeho podpore NLA.

• Nevyžaduje značné zdroje servera.
• Ďalšia vrstva na ochranu pred útokmi DoS.
• Urýchľuje proces sprostredkovania medzi klientom a serverom.
• Umožňuje rozšíriť NT technológiu „jednotného prihlásenia“ na prácu s terminálovým serverom.

• Iní poskytovatelia zabezpečenia nie sú podporovaní.
• Nie je podporované verziami klientov nižšími ako Windows XP SP3 a serverovými verziami nižšími ako Windows Server 2008.
• Na každom klientovi Windows XP SP3 je potrebné manuálne nakonfigurovať register.
• Ako každá schéma „jednotného prihlásenia“ je zraniteľná voči krádeži „kľúčov od celej pevnosti“.
• Nie je možné použiť funkciu „Pri ďalšom prihlásení vyžadovať zmenu hesla“.

Ak pri pripájaní k serveru používate Windows XP, môže sa vám zobraziť chyba: „Vzdialený počítač vyžaduje overenie na úrovni siete, ktorú tento počítač nepodporuje.“

Táto chyba sa vyskytuje v dôsledku skutočnosti, že pôvodne v systéme Windows XP nebola implementovaná autentifikácia na úrovni siete, vývojári implementovali túto funkciu v nasledujúcich operačných systémoch. Neskôr bol vydaný aj aktualizačný súbor. KB951608 ktorý túto chybu opravil a umožnil systému Windows XP implementovať autentifikáciu na úrovni siete.

Aby ste sa mohli pripojiť k vzdialenej ploche servera z počítača so systémom Windows XP, musíte nainštalovať balík Service Pack 3 (SP3) a potom vykonať nasledujúce kroky:

Na oficiálnej webovej stránke spoločnosti Microsoft na stránke v ruskom jazyku https://support.microsoft.com/ru-ru/kb/951608 stiahnite si súbor automatickej opravy. Posuňte stránku nadol a kliknite na tlačidlo „Stiahnuť“ v časti „Pomoc pri riešení problému“.

K dispozícii je vám aj stránka v anglickom jazyku https://support.microsoft.com/en-us/kb/951608 kde si môžete tento súbor stiahnuť kliknutím na tlačidlo „Stiahnuť“ v časti „Ako zapnúť CredSSP“

Po stiahnutí súboru ho spustite na vykonanie. Po spustení tohto súboru sa zobrazí okno programu. V ňom v prvom kroku začiarknite políčko „Súhlasím“. V druhom kroku kliknite na tlačidlo „Ďalej“.

Po dokončení inštalácie sa zobrazí nasledujúce okno s upozornením „Táto oprava od spoločnosti Microsoft bola spracovaná“ Stačí kliknúť na „Zavrieť“.

Po kliknutí na tlačidlo "Zavrieť" vám program oznámi, že zmeny sa prejavia, musíte reštartovať počítač a kliknutím na tlačidlo "Áno" reštartovať.

Vyriešte problém sami bez sťahovania súboru

Ak máte administratívne zručnosti, môžete vykonať zmeny v registri počítača manuálne bez toho, aby ste museli sťahovať súbor opravy.

1. Kliknite na tlačidlo Štart, vybrať položku Bežať, zadajte príkaz regedit a stlačte kláves Zadajte