Il y a toujours eu des problèmes de sécurité et de vitesse des serveurs, et chaque année leur pertinence ne fait que croître. À cet égard, Microsoft est passé du modèle d'authentification côté serveur d'origine à l'authentification au niveau du réseau.
Quelle est la différence entre ces modèles?
Auparavant, lors de la connexion aux services du terminal, l'utilisateur a créé une session de communication avec le serveur via lequel ce dernier a chargé l'écran de saisie des informations d'identification pour l'utilisateur. Cette méthode consomme des ressources de serveur avant même que l'utilisateur ait confirmé sa légalité, ce qui permet à un utilisateur illégal de charger complètement les ressources de serveur avec plusieurs demandes de connexion. Un serveur qui n'est pas en mesure de traiter ces demandes refuse de traiter les demandes des utilisateurs légaux (attaque DoS).
L'authentification au niveau du réseau (NLA) oblige l'utilisateur à entrer les informations d'identification dans une boîte de dialogue côté client. Par défaut, s'il n'y a pas de certificat d'authentification au niveau du réseau côté client, le serveur n'autorisera pas la connexion et cela ne se produira pas. L'ALN demande à l'ordinateur client de fournir ses informations d'identification pour l'authentification, avant même de créer une session avec le serveur. Ce processus est également appelé authentification frontale.
NLA a été réintroduit dans RDP 6.0 et était initialement pris en charge par Windows Vista. À partir de la version RDP 6.1 - il est pris en charge par les serveurs exécutant Windows Server 2008 et supérieur, et le support client est fourni par les systèmes d'exploitation Windows XP SP3 (il est nécessaire d'autoriser un nouveau fournisseur de sécurité dans le registre) et supérieur. La méthode utilise le fournisseur de support de sécurité des informations d'identification (CredSSP). Si vous utilisez un client de bureau distant pour un autre système d'exploitation, vous devez vous renseigner sur sa prise en charge pour NLA.
Avantages NLA:
- Ne nécessite pas de ressources serveur importantes.
- Une couche supplémentaire pour se protéger contre les attaques DoS.
- Accélère le processus de médiation entre le client et le serveur.
- Vous permet d'étendre la technologie NT de "connexion unique" pour qu'elle fonctionne avec un serveur Terminal Server.
- Les autres fournisseurs de sécurité ne sont pas pris en charge.
- Non pris en charge par les versions client sous Windows XP SP3 et les serveurs sous Windows Server 2008.
- Vous devez configurer manuellement le registre sur chaque client Windows XP SP3.
- Comme tout schéma de connexion unique, il est vulnérable au vol de «clés de toute la forteresse».
- Il n'y a aucun moyen d'utiliser la fonction «Exiger un changement de mot de passe lors de la prochaine connexion».
Après avoir installé la mise à jour KB4103718 sur mon ordinateur Windows 7, je ne peux pas me connecter à distance à un serveur exécutant Windows Server 2012 R2 via le bureau à distance RDP. Après avoir spécifié l'adresse du serveur RDP dans la fenêtre client mstsc.exe et cliqué sur "Connect", une erreur apparaît:
Connexion Bureau à distance
Une erreur d'authentification s'est produite.
La fonction spécifiée n'est pas prise en charge.
Ordinateur distant: nomordinateur
Après avoir supprimé la mise à jour KB4103718 et redémarré l'ordinateur, la connexion RDP a commencé à fonctionner correctement. Si je comprends bien, ce n'est qu'une solution temporaire, le mois prochain un nouveau package de mise à jour cumulative arrivera et l'erreur reviendra? Pouvez-vous conseiller quelque chose?
La réponse
Vous avez tout à fait raison de dire qu'il est inutile de résoudre le problème, car vous exposez ainsi votre ordinateur au risque d'exploiter diverses vulnérabilités qui ferment les correctifs dans cette mise à jour.
Vous n'êtes pas seul dans votre problème. Cette erreur peut apparaître sur n'importe quel système d'exploitation Windows ou Windows Server (pas seulement Windows 7). Pour les utilisateurs de la version anglaise de Windows 10, lorsqu'ils essaient de se connecter au serveur RDP / RDS, une erreur similaire ressemble à ceci:
Une erreur d'authentification s'est produite.
La fonction demandée n'est pas prise en charge.
Ordinateur distant: nomordinateur
L'erreur RDP «Une erreur d'authentification s'est produite» peut également apparaître lors de la tentative de lancement des applications RemoteApp.
Pourquoi cela se produit-il? Le fait est que votre ordinateur dispose des dernières mises à jour de sécurité (publiées après mai 2018) qui corrigent une grave vulnérabilité dans le protocole CredSSP (Credential Security Support Provider) utilisé pour l'authentification sur les serveurs RDP (CVE-2018-0886) (je recommande familiariser avec l'article). Dans le même temps, ces mises à jour ne sont pas installées du côté serveur RDP / RDS auquel vous vous connectez à partir de votre ordinateur et NLA (authentification au niveau réseau / authentification au niveau réseau) est activée pour l'accès RDP. Le protocole NLA utilise des mécanismes CredSSP pour pré-authentifier les utilisateurs via TLS / SSL ou Kerberos. Votre ordinateur, en raison des nouveaux paramètres de sécurité que la mise à jour que vous avez installés, bloque simplement la connexion à un ordinateur distant qui utilise la version vulnérable de CredSSP.
Que peut-on faire pour corriger cette erreur et se connecter à votre serveur RDP?
- Le plus la bonne la façon de résoudre le problème consiste à installer les dernières mises à jour de sécurité Windows sur l'ordinateur / serveur auquel vous vous connectez via RDP;
- Méthode temporaire 1 . Vous pouvez désactiver l'authentification au niveau du réseau (NLA) côté serveur RDP (décrit ci-dessous);
- Méthode temporaire 2
. Vous pouvez autoriser les connexions côté client aux serveurs RDP avec une version non sécurisée de CredSSP, comme décrit dans l'article sur le lien ci-dessus. Pour ce faire, modifiez la clé de registre AllowEncryptionOracle (Commande REG ADD
HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System \\ CredSSP \\ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) ou modifiez les paramètres de stratégie locale Remédiation d'Oracle de chiffrement / Correction de la vulnérabilité de l'oracle de chiffrement) en définissant sa valeur \u003d Vulnérable / Quittez la vulnérabilité).C'est le seul moyen d'accéder au serveur distant via RDP si vous avez la possibilité de vous connecter localement au serveur (via la console ILO, la machine virtuelle, l'interface cloud, etc.). Dans ce mode, vous pouvez vous connecter au serveur distant et installer des mises à jour de sécurité, alors passez à la méthode 1 recommandée. Après avoir mis à jour le serveur, n'oubliez pas de désactiver la stratégie ou de renvoyer la valeur de clé AllowEncryptionOracle \u003d 0: REG ADD HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System \\ CredSSP \\ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0
Désactiver NLA pour RDP sous Windows
Si du côté RDP du serveur auquel vous vous connectez, NLA est activé, cela signifie que CredSPP est utilisé pour pré-authentifier le RDP de l'utilisateur. Désactivez l'authentification au niveau du réseau dans les propriétés système de l'onglet Accès à distance(À distance) en décochant "Autoriser la connexion uniquement à partir d'ordinateurs exécutant le Bureau à distance avec l'authentification au niveau du réseau (recommandé)" (Windows 10 / Windows 8).
Sous Windows 7, cette option est appelée différemment. Onglet Accès à distance vous devez sélectionner l'option " Autoriser les connexions à partir d'ordinateurs avec n'importe quelle version de Remote Desktop (dangereux) / Autoriser les connexions à partir d'ordinateurs exécutant n'importe quelle version de Remote Desktop (moins sécurisé). "
Vous pouvez également désactiver l'authentification au niveau du réseau (NLA) à l'aide de l'éditeur de stratégie de groupe local - gpedit.msc (dans Windows 10 Home, l'éditeur de stratégie gpedit.msc peut être démarré) ou à l'aide de la console de gestion des stratégies de domaine, GPMC.msc. Pour ce faire, allez sur Configuration de l'ordinateur -\u003e Modèles d'administration -\u003e ComposantsWindows -\u003e Services Bureau à distance - Hôte de session Bureau à distance -\u003e Sécurité (Configuration ordinateur -\u003e Modèles d'administration -\u003e Composants Windows -\u003e Services Bureau à distance - Hôte de session Bureau à distance -\u003e Sécurité), déconnecter (Exiger l'authentification des utilisateurs pour les connexions à distance à l'aide de l'authentification au niveau du réseau).
Aussi nécessaire en politique Exiger l'utilisation d'un niveau de sécurité spécial pour les connexions RDP distantes»(Nécessite l'utilisation d'une couche de sécurité spécifique pour les connexions distantes (RDP)) sélectionnez un niveau de sécurité (Security Layer) - Rdp.
Pour appliquer les nouveaux paramètres RDP, vous devez mettre à jour les politiques (gpupdate / force) ou redémarrer l'ordinateur. Après cela, vous devez vous connecter avec succès au bureau distant du serveur.
Ouvrez l'éditeur de registre.
Branche HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa
Ouvrez le paramètre Security Packages et recherchez-y le mot tspkg. Si ce n'est pas le cas, ajoutez aux paramètres existants.
Branche HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders
Ouvrez le paramètre SecurityProviders et ajoutez credssp.dll aux fournisseurs existants, s'il en manque un.
Fermez l'éditeur de registre.
Vous devez maintenant redémarrer. Si cela n'est pas fait, l'ordinateur nous demandera un nom d'utilisateur et un mot de passe, mais au lieu d'un bureau distant, il répondra aux questions suivantes:
C'est tout.
Les administrateurs de serveur Windows 2008 peuvent être confrontés au problème suivant:
La connexion via le protocole rdp à votre serveur préféré à partir d'une station Windows XP SP3 échoue avec l'erreur suivante:
Le Bureau à distance est désactivé.
L'ordinateur distant nécessite une authentification au niveau du réseau, que l'ordinateur ne prend pas en charge. Contactez votre administrateur système ou l'assistance technique pour obtenir de l'aide.
Et bien que le Win7 prometteur menace de remplacer sa grand-mère WinXP au fil du temps, un an ou deux le problème sera d'actualité.
Voici ce que vous devez faire pour activer l'authentification au niveau du réseau:
Ouvrez l'éditeur de registre.
Succursale HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa
Paramètre ouvert Forfaits de sécurité et cherchez le mot là-bas c. à thé. Si ce n'est pas le cas, ajoutez aux paramètres existants.
Succursale HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders
Paramètre ouvert Fournisseurs de sécurité et ajouter aux fournisseurs existants credssp.dlls'il en manque un.
Fermez l'éditeur de registre.
Vous devez maintenant redémarrer. Si cela n'est pas fait, lorsque vous essayez de vous connecter, l'ordinateur nous demandera votre nom d'utilisateur et votre mot de passe, mais au lieu du bureau distant, il répondra aux questions suivantes:
Connexion Bureau à distance
Erreur d'authentification (code 0x507)
C'est tout.
