در امنیت و سرعت سرورها همیشه مشکلاتی وجود داشته است و هر ساله ارتباط آنها فقط افزایش می یابد. در نتیجه ، مایکروسافت از مدل اصلی تأیید سمت سرور به تأیید اعتبار در سطح شبکه منتقل شده است.
تفاوت این مدل ها چیست؟
پیش از این ، هنگام اتصال به Terminal Services ، کاربر یک جلسه با سرور ایجاد می کرد که از طریق آن صفحه ورود اعتبار نامه را برای کاربر بارگیری می کند. این روش حتی قبل از اینکه کاربر قانونی بودن خود را تأیید کند ، منابع سرور را مصرف می کند ، که به کاربر غیرقانونی اجازه می دهد منابع سرور را با چندین درخواست ورود به طور کامل بارگیری کند. سروری که قادر به پردازش این درخواست ها نیست ، از پردازش درخواست به کاربران قانونی خودداری می کند (حمله DoS).
احراز هویت در سطح شبکه (NLA) کاربر را مجبور می کند تا اعتبارنامه را در یک جعبه محاوره سمت مشتری وارد کند. به طور پیش فرض ، اگر در سمت سرویس گیرنده احراز هویت در سطح شبکه وجود نداشته باشد ، سرور اجازه اتصال نمی دهد و این اتفاق نمی افتد. درخواست های NLA رایانه مشتری اعتبار خود را برای تأیید اعتبار ارائه دهید ، حتی قبل از ایجاد جلسه با سرور. به این فرآیند احراز هویت فرونتال نیز گفته می شود.
NLA در RDP 6.0 معرفی شد و در ابتدا مورد پشتیبانی قرار گرفت ویندوز ویستا... از نسخه RDP 6.1 - پشتیبانی شده توسط سرورهای دارای ویندوز سرور 2008 و بالاتر ، و پشتیبانی سرویس گیرنده برای Windows XP SP3 (لازم است که یک ارائه دهنده امنیت جدید را در رجیستری مجاز کنید) و بالاتر ارائه شده است. این روش از ارائه دهنده امنیت Credential Security Support Provider (CredSSP) استفاده می کند. اگر از یک سرویس گیرنده دسک تاپ از راه دور برای سیستم عامل دیگری استفاده می کنید ، باید در مورد پشتیبانی NLA آن تحقیق کنید.
مزایای NLA:
- به منابع سرور قابل توجهی نیاز ندارد.
- یک لایه اضافی برای محافظت در برابر حملات DoS.
- روند میانجیگری بین مشتری و سرور را تسریع می کند.
- به شما امکان می دهد فناوری NT "single login" را برای کار با یک سرور ترمینال گسترش دهید.
- سایر ارائه دهندگان امنیت پشتیبانی نمی شوند.
- نسخه های کلاینت زیر Windows XP SP3 و نسخه های سرور زیر Windows Server 2008 پشتیبانی نمی شوند.
- مورد نیاز تنظیم دستی ثبت نام در هر مشتری ویندوز XP SP3.
- مانند هر طرح "ورود به سیستم" ، در برابر سرقت "کلیدهای کل قلعه" آسیب پذیر است.
- استفاده از تابع "نیاز به تغییر رمز عبور در ورود بعدی" وجود ندارد.
پس از نصب به روزرسانی KB4103718 در رایانه ویندوز 7 ، نمی توانم از راه دور از طریق RDP Remote Desktop به سروری که دارای Windows Server 2012 R2 است ، متصل شوم. بعد از اینکه آدرس سرور RDP را در پنجره مشتری mstsc.exe مشخص کردم و روی "اتصال" کلیک کردم ، خطایی ظاهر می شود:
اتصال به کامپیوتر از راه دور
خطای احراز هویت روی داده است.
عملکرد مشخص شده پشتیبانی نمی شود.
رایانه از راه دور: نام رایانه
پس از نصب به روزرسانی KB4103718 و راه اندازی مجدد رایانه ، اتصال RDP به خوبی انجام شد. اگر به درستی درک کنم ، این فقط یک راه حل موقت است ، آیا بسته به روزرسانی تجمعی جدید ماه آینده وارد می شود و خطا برمی گردد؟ گوشزدی چیزی؟
پاسخ
کاملاً درست هستید که حل مسئله بی معنی است ، زیرا در نتیجه رایانه خود را در معرض خطر سو risk استفاده از آسیب پذیری های مختلفی قرار می دهید که توسط وصله های موجود در این بروزرسانی بسته شده اند.
شما در مسئله خود تنها نیستید. این خطا ممکن است در هر یک ظاهر شود سیستم عامل Windows یا Windows Server (نه فقط ویندوز 7). کاربران انگلیسی نسخه های ویندوز 10 هنگام تلاش برای اتصال به سرور RDP / RDS ، یک خطای مشابه به نظر می رسد:
خطای احراز هویت روی داده است.
عملکرد درخواستی پشتیبانی نمی شود.
رایانه از راه دور: نام رایانه
هنگام تلاش برای راه اندازی برنامه های RemoteApp ، خطای RDP "خطای احراز هویت روی داده است" نیز ظاهر می شود.
چرا این اتفاق می افتد؟ واقعیت این است که رایانه شما آخرین به روزرسانی های امنیتی را دارد (پس از ماه مه 2018) ، این یک آسیب پذیری جدی را در پروتکل CredSSP (ارائه دهنده پشتیبانی امنیتی اعتبار) که برای احراز هویت در سرورهای RDP (CVE-2018-0886) استفاده می شود ، برطرف می کند (توصیه می کنم مقاله را بخوان). همزمان ، در کنار سرور RDP / RDS که از طریق رایانه به آن متصل می شوید ، این به روزرسانی ها نصب نمی شوند و پروتکل NLA (تأیید اعتبار سطح شبکه) برای دسترسی RDP فعال است. پروتکل NLA از مکانیزم های CredSSP برای تأیید اعتبار مجدد کاربران از طریق TLS / SSL یا Kerberos استفاده می کند. رایانه شما به دلیل تنظیمات امنیتی جدیدی که به روزرسانی نصب کرده اید ، به سادگی اتصال به رایانه از راه دور را که از نسخه آسیب پذیر CredSSP استفاده می کند مسدود می کند.
برای رفع این خطا و اتصال به سرور RDP شما چه کاری می توان انجام داد؟
- اکثر درست راه حل مشکل نصب است آخرین به روزرسانی ها امنیت ویندوز در رایانه / سروری که از طریق RDP به آن متصل می شوید ؛
- روش موقت 1 ... می توانید تأیید اعتبار سطح شبکه (NLA) را در سمت سرور RDP غیرفعال کنید (شرح داده شده در زیر).
- روش موقت 2
... از طرف سرویس گیرنده ، می توانید به سرورهای RDP با نسخه ناامن CredSSP اجازه اتصال دهید ، همانطور که در مقاله در لینک بالا توضیح داده شده است. برای این کار باید کلید رجیستری را تغییر دهید AllowEncryptionOracle (دستور REG ADD)
HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System \\ CredSSP \\ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) یا تغییر تنظیمات سیاست محلی رمزنگاری اصلاح اوراکل / آسیب پذیری اوراکل رمزگذاری را برطرف کنید) با تعیین مقدار آن \u003d آسیب پذیر / آسیب پذیری را ترک کنید).اگر قادر به دسترسی به سرور از راه دور از طریق RDP نیستید ، این تنها راه است ورود به سیستم محلی به سرور (از طریق کنسول ILO ، ماشین مجازی، رابط ابری و غیره). در این حالت ، شما می توانید به یک سرور از راه دور متصل شوید و به روزرسانی های امنیتی را نصب کنید ، بنابراین به روش 1 توصیه شده می روید. پس از به روزرسانی سرور ، فراموش نکنید که خط مشی را غیرفعال کرده یا مقدار اصلی را بازگردانید AllowEncryptionOracle \u003d 0: REG ADD HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System \\ CredSSP \\ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0
NLA را برای RDP در ویندوز غیرفعال کنید
اگر NLA در کنار سرور RDP که به آن متصل هستید فعال باشد ، این بدان معنی است که CredSPP برای تأیید اعتبار کاربر RDP استفاده می شود. می توانید تأیید اعتبار سطح شبکه را در ویژگی های سیستم موجود در برگه غیرفعال کنید دسترسی از راه دور (از راه دور) با برداشتن علامت کادر "مجاز به اتصال فقط از رایانه های دارای دسک تاپ از راه دور با تأیید اعتبار سطح شبکه (توصیه می شود)" (Windows 10 / Windows 8).
ویندوز 7 نام دیگری برای این گزینه دارد. در برگه دسترسی از راه دور شما باید گزینه را انتخاب کنید " اجازه اتصال به رایانه های دارای هر نسخه از دسک تاپ از راه دور (خطرناک) / اجازه می دهد تا اتصال از طریق رایانه های دارای هر نسخه از دسک تاپ از راه دور (کمتر امن) ".
همچنین می توان با استفاده از Local Group Policy Editor - تأیید اعتبار سطح شبکه (NLA) را غیرفعال کرد - gpedit.msc (در ویندوز 10 خانگی ، ویرایشگر سیاست gpedit.msc می تواند راه اندازی شود) یا با استفاده از کنسول مدیریت دامنه سیاست - GPMC.msc. برای انجام این کار ، به بخش بروید پیکربندی رایانه -\u003e الگوهای مدیریتی -\u003e اجزاپنجره ها -\u003e خدمات دسک تاپ از راه دور - میزبان جلسه دسک تاپ از راه دور -\u003e امنیت (پیکربندی رایانه -\u003e الگوهای اداری -\u003e اجزای ویندوز -\u003e خدمات دسک تاپ از راه دور - میزبان جلسه دسک تاپ از راه دور -\u003e امنیت) ، قطع شدن خط مشی (برای استفاده از اتصالات از راه دور با استفاده از احراز هویت سطح شبکه به احراز هویت کاربر نیاز دارید).
در سیاست نیز لازم است " نیاز به استفاده از یک سطح امنیتی خاص برای اتصالات از راه دور از طریق پروتکل RDP»(نیاز به استفاده از لایه امنیتی خاص برای اتصالات از راه دور (RDP)) لایه امنیتی را انتخاب کنید - RDP.
برای اعمال تنظیمات جدید RDP ، باید خط مشی ها را به روز کنید (gpupdate / force) یا رایانه را مجدداً راه اندازی کنید. پس از آن ، باید با موفقیت به دسک تاپ از راه دور سرور متصل شوید.
ویرایشگر رجیستری را باز کنید.
شاخه HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa
پارامتر Security Packages را باز کنید و در آنجا به دنبال کلمه tspkg بگردید. اگر وجود ندارد ، آن را به پارامترهای موجود اضافه کنید.
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders شعبه
پارامتر SecurityProviders را باز کرده و در صورت عدم وجود credssp.dll به ارائه دهندگان موجود.
ویرایشگر رجیستری را ببندید.
اکنون باید راه اندازی مجدد شوید. اگر این کار انجام نشود ، رایانه از ما یک نام کاربری و رمز عبور می خواهد ، اما به جای دسک تاپ دسک تاپ به موارد زیر پاسخ می دهد:
در واقع این همه است.
ممکن است مدیران سرور مبتنی بر ویندوز 2008 با مشکل زیر روبرو شوند:
اتصال از طریق پروتکل rdp به سرور مورد علاقه خود از ایستگاه SP3 ویندوز XP با خطای زیر انجام نمی شود:
دسک تاپ از راه دور غیرفعال است
رایانه از راه دور به احراز هویت در سطح شبکه نیاز دارد ، که این کامپیوتر پشتیبانی نمی کند برای دریافت راهنمایی با سرپرست سیستم یا پشتیبانی فنی خود تماس بگیرید.
و اگرچه آینده امیدوار کننده Win7 تهدید می کند که به جای مادربزرگ خود WinXP جایگزین می شود ، اما این مشکل برای یکی دو سال دیگر همچنان فوری باقی خواهد ماند.
در اینجا آنچه شما برای فعال کردن مکانیسم تأیید اعتبار لایه شبکه باید انجام دهید:
ویرایشگر رجیستری را باز کنید.
شاخه HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa
باز کردن پارامتر بسته های امنیتی و به دنبال یک کلمه در آنجا قاشق چایخوری... اگر آنجا نیست ، آن را به پارامترهای موجود اضافه کنید.
شاخه HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders
باز کردن پارامتر ارائه دهندگان امنیت و به ارائه دهندگان موجود اضافه کنید credssp.dllدر صورت عدم وجود
ویرایشگر رجیستری را ببندید.
اکنون باید راه اندازی مجدد شوید. اگر این کار انجام نشود ، در هنگام تلاش برای اتصال ، رایانه از ما یک نام کاربری و رمز عبور می خواهد ، اما به جای دسک تاپ از راه دور به موارد زیر پاسخ می دهد:
اتصال به کامپیوتر از راه دور
خطای احراز هویت (کد 0x507)
در واقع این همه است.
