Es gab immer Probleme mit der Sicherheit und Geschwindigkeit von Servern, und ihre Relevanz wächst von Jahr zu Jahr. Infolgedessen ist Microsoft vom ursprünglichen serverseitigen Authentifizierungsmodell zur Authentifizierung auf Netzwerkebene übergegangen.
Was ist der Unterschied zwischen diesen Modellen?
Zuvor hat der Benutzer beim Herstellen einer Verbindung zu den Terminaldiensten eine Sitzung mit dem Server erstellt, über die dieser den Bildschirm zur Eingabe der Anmeldeinformationen für den Benutzer lädt. Diese Methode verbraucht Serverressourcen, noch bevor der Benutzer seine Rechtmäßigkeit bestätigt hat, wodurch ein illegaler Benutzer die Serverressourcen mit mehreren Anmeldeanforderungen vollständig laden kann. Ein Server, der diese Anforderungen nicht verarbeiten kann, lehnt die Verarbeitung von Anforderungen an legitime Benutzer ab (DoS-Angriff).
Die Authentifizierung auf Netzwerkebene (NLA) zwingt den Benutzer, Anmeldeinformationen in ein clientseitiges Dialogfeld einzugeben. Wenn auf der Clientseite keine Authentifizierung auf Netzwerkebene vorhanden ist, lässt der Server die Verbindung standardmäßig nicht zu und dies geschieht nicht. NLA-Anfragen client-Computer Geben Sie Ihre Anmeldeinformationen für die Authentifizierung an, noch bevor Sie eine Sitzung mit dem Server erstellen. Dieser Vorgang wird auch als Frontalauthentifizierung bezeichnet.
NLA wurde bereits in RDP 6.0 eingeführt und zunächst unterstützt Windows Vista... Ab RDP 6.1 - unterstützt von Servern mit Windows Server 2008 und höher. Clientunterstützung wird für Windows XP SP3-Betriebssysteme (Sie müssen einen neuen Sicherheitsanbieter in der Registrierung zulassen) und höher bereitgestellt. Die Methode verwendet den CredSSP-Sicherheitsanbieter (Credential Security Support Provider). Wenn Sie einen Remotedesktop-Client für ein anderes Betriebssystem verwenden, müssen Sie sich nach dessen NLA-Unterstützung erkundigen.
NLA-Vorteile:
- Benötigt keine wesentlichen Serverressourcen.
- Eine zusätzliche Schicht zum Schutz vor DoS-Angriffen.
- Beschleunigt den Vermittlungsprozess zwischen Client und Server.
- Ermöglicht die Erweiterung der NT-Technologie "Single Login" für die Arbeit mit einem Terminalserver.
- Andere Sicherheitsanbieter werden nicht unterstützt.
- Wird von Clientversionen unter Windows XP SP3 und Serverversionen unter Windows Server 2008 nicht unterstützt.
- Erforderlich manuelle Einstellung Registrierung bei jedem windows-Client XP SP3.
- Wie jedes "Single Login" -Schema ist es anfällig für den Diebstahl von "Schlüsseln für die gesamte Festung".
- Es ist nicht möglich, die Funktion "Kennwortänderung bei nächster Anmeldung erforderlich" zu verwenden.
Nach der Installation des Updates KB4103718 auf meinem Windows 7-Computer kann ich keine Remoteverbindung zu einem Server herstellen, auf dem Windows Server 2012 R2 über RDP-Remotedesktop ausgeführt wird. Nachdem ich die Adresse des RDP-Servers im Clientfenster mstsc.exe angegeben und auf "Verbinden" geklickt habe, wird ein Fehler angezeigt:
Remotedesktopverbindung
Ein Authentifizierungsfehler ist aufgetreten.
Die angegebene Funktion wird nicht unterstützt.
Remotecomputer: Computername
Nachdem ich das KB4103718-Update deinstalliert und meinen Computer neu gestartet hatte, funktionierte die RDP-Verbindung einwandfrei. Wenn ich das richtig verstehe, ist dies nur eine vorübergehende Problemumgehung. Wird im nächsten Monat ein neues kumulatives Update-Paket eintreffen und der Fehler erneut auftreten? Irgendein Rat?
Antworten
Sie haben absolut Recht, dass es sinnlos ist, das Problem zu lösen, da Sie Ihren Computer dadurch dem Risiko aussetzen, verschiedene Schwachstellen auszunutzen, die durch die Patches in diesem Update geschlossen werden.
Sie sind nicht allein in Ihrem Problem. Dieser Fehler kann in jedem erscheinen betriebssystem Windows oder Windows Server (nicht nur Windows 7). Englische Benutzer windows-Versionen 10 Beim Versuch, eine Verbindung zum RDP / RDS-Server herzustellen, sieht ein ähnlicher Fehler folgendermaßen aus:
Ein Authentifizierungsfehler ist aufgetreten.
Die angeforderte Funktion wird nicht unterstützt.
Remotecomputer: Computername
Der RDP-Fehler "Ein Authentifizierungsfehler ist aufgetreten" kann auch beim Versuch auftreten, RemoteApp-Anwendungen zu starten.
Warum passiert das? Tatsache ist, dass Ihr Computer über die neuesten Sicherheitsupdates (veröffentlicht nach Mai 2018) verfügt, mit denen eine schwerwiegende Sicherheitsanfälligkeit im CredSSP-Protokoll (Credential Security Support Provider) behoben wird, das für die Authentifizierung auf RDP-Servern verwendet wird (CVE-2018-0886) (ich empfehle) lesen Sie den Artikel). Gleichzeitig werden auf der Seite des RDP / RDS-Servers, zu dem Sie von Ihrem Computer aus eine Verbindung herstellen, diese Updates nicht installiert und das NLA-Protokoll (Network Level Authentication) für den RDP-Zugriff aktiviert. NLA verwendet CredSSP-Mechanismen, um Benutzer über TLS / SSL oder Kerberos vorab zu authentifizieren. Ihr Computer blockiert aufgrund der neuen Sicherheitseinstellungen, die das Update installiert hat, einfach die Verbindung zum Remotecomputer, der die anfällige Version von CredSSP verwendet.
Was kann getan werden, um diesen Fehler zu beheben und eine Verbindung zu Ihrem RDP-Server herzustellen?
- Die meisten richtig Der Weg, um das Problem zu lösen, ist die Installation letzte Aktualisierung windows-Sicherheit auf dem Computer / Server, zu dem Sie über RDP eine Verbindung herstellen;
- Temporäre Methode 1 ... Sie können die Authentifizierung auf Netzwerkebene (NLA) auf der RDP-Serverseite deaktivieren (siehe unten).
- Temporäre Methode 2
... Auf der Clientseite können Sie Verbindungen zu RDP-Servern mit einer unsicheren Version von CredSSP zulassen, wie im Artikel unter dem obigen Link beschrieben. Dazu müssen Sie den Registrierungsschlüssel ändern AllowEncryptionOracle (Befehl REG ADD
HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System \\ CredSSP \\ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) oder ändern Sie die Einstellungen lokale Politik Verschlüsselung Oracle Remediation / Behebung der Sicherheitsanfälligkeit bei Verschlüsselung (Orakel) durch Setzen des Werts \u003d Sicherheitsanfälligkeit / Sicherheitsanfälligkeit verlassen).Dies ist die einzige Möglichkeit, über RDP auf einen Remote-Server zuzugreifen, wenn dies nicht möglich ist lokales Login an den Server (über die ILO-Konsole, virtuelle Maschine, Cloud-Schnittstelle usw.). In diesem Modus können Sie eine Verbindung zu einem Remoteserver herstellen und Sicherheitsupdates installieren. Gehen Sie daher zur empfohlenen Methode 1 über. Vergessen Sie nach dem Aktualisieren des Servers nicht, die Richtlinie zu deaktivieren oder den Schlüsselwert AllowEncryptionOracle \u003d 0 zurückzugeben: REG ADD HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ Aktuelle Version \\ Richtlinien \\ System \\ CredSSP \\ Parameter / v AllowEncryptionOracle / t REG_DWORD / d 0
Deaktivieren Sie NLA für RDP unter Windows
Wenn NLA auf der Seite des RDP-Servers aktiviert ist, zu dem Sie eine Verbindung herstellen, bedeutet dies, dass CredSPP zur Vorauthentifizierung des RDP-Benutzers verwendet wird. Sie können die Authentifizierung auf Netzwerkebene in den Systemeigenschaften auf der Registerkarte deaktivieren Fernzugriff (Fernbedienung) Deaktivieren Sie das Kontrollkästchen "Nur Verbindungen von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen)" (Windows 10 / Windows 8).
Windows 7 hat für diese Option einen anderen Namen. In der Registerkarte Fernzugriff Sie müssen die Option " Zulassen von Verbindungen von Computern mit einer beliebigen Version von Remotedesktop (gefährlich) / Verbindungen von Computern zulassen, auf denen eine beliebige Version von Remotedesktop ausgeführt wird (weniger sicher) ".
Es ist auch möglich, die Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) mithilfe des lokalen Gruppenrichtlinien-Editors zu deaktivieren. gpedit.msc (In Windows 10 Home kann der Richtlinieneditor gpedit.msc gestartet werden) oder über die Domain Policy Management Console (GPMC.msc). Gehen Sie dazu zum Abschnitt Computerkonfiguration -\u003e Administrative Vorlagen -\u003e KomponentenWindows -\u003e Remotedesktopdienste - Remotedesktopsitzungshost -\u003e Sicherheit (Computerkonfiguration -\u003e Administrative Vorlagen -\u003e Windows-Komponenten -\u003e Remotedesktopdienste - Remotedesktop-Sitzungshost -\u003e Sicherheit), trennen Richtlinie (Benutzerauthentifizierung für Remoteverbindungen mithilfe der Authentifizierung auf Netzwerkebene erforderlich).
Auch in der Politik benötigt “ Erfordern die Verwendung einer bestimmten Sicherheitsstufe für remote-Verbindungen über das RDP-Protokoll»(Verwendung einer bestimmten Sicherheitsschicht für Remoteverbindungen (RDP) erforderlich) Wählen Sie die Sicherheitsschicht aus - RDP.
Um die neuen RDP-Einstellungen anzuwenden, müssen Sie die Richtlinien aktualisieren (gpupdate / force) oder den Computer neu starten. Danach sollten Sie erfolgreich eine Verbindung zum Remotedesktop des Servers herstellen.
Öffnen Sie den Registrierungseditor.
Zweig HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa
Öffnen Sie den Parameter Security Packages und suchen Sie dort nach dem Wort tspkg. Wenn es nicht vorhanden ist, fügen Sie es den vorhandenen Parametern hinzu.
Zweig HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders
Öffnen Sie den Parameter SecurityProviders und fügen Sie den vorhandenen Anbietern die Datei credssp.dll hinzu, falls keine vorhanden sind.
Schließen Sie den Registrierungseditor.
Jetzt müssen Sie neu starten. Wenn dies nicht erfolgt, werden Sie vom Computer nach einem Benutzernamen und einem Kennwort gefragt. Anstelle des Remotedesktops wird jedoch Folgendes beantwortet:
Das ist eigentlich alles.
Serveradministratoren, die auf Windows 2008 basieren, müssen möglicherweise das folgende Problem haben:
Die Verbindung über das RDP-Protokoll zu Ihrem Lieblingsserver von einer Windows XP SP3-Station schlägt mit dem folgenden Fehler fehl:
Remotedesktop ist deaktiviert.
Der Remotecomputer erfordert eine Authentifizierung auf Netzwerkebene dieser Computer nicht unterstützen. Wenden Sie sich an Ihren Systemadministrator oder den technischen Support, um Unterstützung zu erhalten.
Und obwohl das vielversprechende Win7 im Laufe der Zeit droht, seine Großmutter WinXP zu ersetzen, wird das Problem noch ein oder zwei Jahre lang dringend bleiben.
Folgendes müssen Sie tun, um den Authentifizierungsmechanismus auf Netzwerkebene zu aktivieren:
Öffnen Sie den Registrierungseditor.
Ast HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa
Parameter öffnen Sicherheitspakete und dort nach einem Wort suchen tspkg... Wenn es nicht vorhanden ist, fügen Sie es den bereits vorhandenen Parametern hinzu.
Ast HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders
Parameter öffnen Sicherheitsanbieter und zu den bestehenden Anbietern hinzufügen credssp.dllwenn es keine gibt.
Schließen Sie den Registrierungseditor.
Jetzt müssen Sie neu starten. Wenn dies nicht erfolgt, werden Sie beim Versuch, eine Verbindung herzustellen, vom Computer nach einem Benutzernamen und einem Kennwort gefragt. Anstelle des Remotedesktops wird jedoch Folgendes beantwortet:
Remotedesktopverbindung
Authentifizierungsfehler (Code 0x507)
Das ist eigentlich alles.
