Ci sono sempre stati problemi con la sicurezza e la velocità dei server e ogni anno la loro rilevanza cresce. Di conseguenza, Microsoft è passata dal modello di autenticazione lato server originale all'autenticazione a livello di rete.
Qual è la differenza tra questi modelli?
In precedenza, al momento della connessione a Servizi terminal, l'utente creava una sessione con il server attraverso la quale quest'ultimo caricava la schermata di immissione delle credenziali per l'utente. Questo metodo consuma le risorse del server anche prima che l'utente abbia confermato la sua legalità, il che consente a un utente illegale di caricare completamente le risorse del server con più richieste di accesso. Un server che non è in grado di elaborare queste richieste rifiuta di elaborare le richieste agli utenti legittimi (attacco DoS).
L'autenticazione a livello di rete (NLA) obbliga l'utente a immettere le credenziali in una finestra di dialogo lato client. Per impostazione predefinita, se non è presente l'autenticazione a livello di rete sul lato client, il server non consentirà la connessione e non avverrà. Richieste NLA computer client fornire le proprie credenziali per l'autenticazione, anche prima di creare una sessione con il server. Questo processo è anche chiamato autenticazione frontale.
NLA è stato introdotto di nuovo in RDP 6.0 ed è stato inizialmente supportato Windows Vista... Dalla versione RDP 6.1 - supportato dai server che eseguono Windows Server 2008 e versioni successive e il supporto client è fornito per Windows XP SP3 (è necessario consentire un nuovo provider di sicurezza nel registro) e versioni successive. Il metodo utilizza il provider di sicurezza Credential Security Support Provider (CredSSP). Se si utilizza un client desktop remoto per un altro sistema operativo, è necessario informarsi sul suo supporto NLA.
Vantaggi NLA:
- Non richiede risorse del server significative.
- Un livello aggiuntivo per proteggere dagli attacchi DoS.
- Accelera il processo di mediazione tra client e server.
- Consente di estendere la tecnologia "accesso singolo" di NT per lavorare con un server terminal.
- Altri fornitori di sicurezza non sono supportati.
- Non supportato dalle versioni client inferiori a Windows XP SP3 e versioni server inferiori a Windows Server 2008.
- Necessario impostazione manuale registro a ciascuno client Windows XP SP3.
- Come ogni schema di "accesso singolo", è vulnerabile al furto di "chiavi dell'intera fortezza".
- Non è possibile utilizzare la funzione "Richiedi modifica password all'accesso successivo".
Dopo aver installato l'aggiornamento KB4103718 sul mio computer Windows 7, non riesco a connettermi in remoto al server che esegue Windows Server 2012 R2 tramite Desktop remoto RDP. Dopo aver specificato l'indirizzo del server RDP nella finestra del client mstsc.exe e aver fatto clic su "Connetti", viene visualizzato un errore:
Connessione remota al desktop
Si è verificato un errore di autenticazione.
La funzione specificata non è supportata.
Computer remoto: nomecomputer
Dopo aver disinstallato l'aggiornamento KB4103718 e riavviato il computer, la connessione RDP ha funzionato correttamente. Se ho capito bene, questa è solo una soluzione temporanea, arriverà un nuovo pacchetto di aggiornamento cumulativo il mese prossimo e l'errore tornerà? Qualche consiglio?
Risposta
Hai assolutamente ragione sul fatto che è inutile risolvere il problema, perché esponi così il tuo computer al rischio di sfruttare varie vulnerabilità che vengono chiuse dalle patch in questo aggiornamento.
Non sei solo nel tuo problema. Questo errore può apparire in qualsiasi sistema operativo Windows o Windows Server (non solo Windows 7). Utenti inglesi versioni di Windows 10 quando si tenta di connettersi al server RDP / RDS, un errore simile si presenta come questo:
Si è verificato un errore di autenticazione.
La funzione richiesta non è supportata.
Computer remoto: nomecomputer
L'errore RDP "Si è verificato un errore di autenticazione" può anche essere visualizzato quando si tenta di avviare le applicazioni RemoteApp.
Perché sta succedendo? Il fatto è che il tuo computer ha gli ultimi aggiornamenti di sicurezza (rilasciati dopo maggio 2018), che risolvono una grave vulnerabilità nel protocollo CredSSP (Credential Security Support Provider), che viene utilizzato per l'autenticazione sui server RDP (CVE-2018-0886) (consiglio leggi l'articolo). Allo stesso tempo, sul lato del server RDP / RDS a cui ci si connette dal computer, questi aggiornamenti non vengono installati e il protocollo NLA (Autenticazione a livello di rete) è abilitato per l'accesso RDP. NLA utilizza meccanismi CredSSP per pre-autenticare gli utenti su TLS / SSL o Kerberos. Il tuo computer, a causa delle nuove impostazioni di sicurezza installate dall'aggiornamento, blocca semplicemente la connessione al computer remoto che utilizza la versione vulnerabile di CredSSP.
Cosa si può fare per correggere questo errore e connettersi al server RDP?
- Maggior parte giusto il modo per risolvere il problema è installare ultimi aggiornamenti sicurezza di Windows sul computer / server a cui ci si connette tramite RDP;
- Metodo temporaneo 1 ... È possibile disabilitare l'autenticazione a livello di rete (NLA) sul lato server RDP (descritto di seguito);
- Metodo temporaneo 2
... È possibile, sul lato client, consentire le connessioni ai server RDP con una versione non sicura di CredSSP, come descritto nell'articolo al collegamento sopra. Per fare ciò, è necessario modificare la chiave di registro AllowEncryptionOracle (Comando REG ADD
HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System \\ CredSSP \\ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) o modificare le impostazioni politica locale Crittografia Oracle Remediation / Risolvi la vulnerabilità di Oracle di crittografia) impostando il suo valore \u003d Vulnerabile / Lascia vulnerabilità).Questo è l'unico modo per accedere a un server remoto tramite RDP, se non sei in grado di farlo accesso locale al server (tramite la console ILO, macchina virtuale, interfaccia cloud, ecc.). In questa modalità, sarai in grado di connetterti a un server remoto e installare aggiornamenti di sicurezza, quindi passerai al metodo consigliato 1. Dopo aver aggiornato il server, non dimenticare di disabilitare il criterio o restituire il valore della chiave AllowEncryptionOracle \u003d 0: REG ADD HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System \\ CredSSP \\ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0
Disabilita NLA per RDP su Windows
Se NLA è abilitato sul lato del server RDP a cui ti stai connettendo, significa che CredSPP viene utilizzato per pre-autenticare l'utente RDP. È possibile disabilitare l'autenticazione a livello di rete nelle proprietà di sistema nella scheda Accesso remoto (A distanza) deselezionando la casella "Consenti connessioni solo da computer che eseguono Desktop remoto con autenticazione a livello di rete (consigliato)" (Windows 10 / Windows 8).
Windows 7 ha un nome diverso per questa opzione. Nella scheda Accesso remoto devi selezionare l'opzione " Consenti connessioni da computer con qualsiasi versione di Desktop remoto (pericoloso) / Consenti connessioni da computer che eseguono qualsiasi versione di Desktop remoto (meno sicuro) ".
È anche possibile disabilitare l'autenticazione a livello di rete (NLA) utilizzando l'Editor criteri di gruppo locali - gpedit.msc (in Windows 10 Home, è possibile avviare l'editor dei criteri gpedit.msc) o utilizzando la console di gestione dei criteri di dominio - GPMC.msc. Per fare ciò, vai alla sezione Configurazione computer -\u003e Modelli amministrativi -\u003e Componentifinestre -\u003e Servizi Desktop remoto - Host sessione Desktop remoto -\u003e Sicurezza (Configurazione computer -\u003e Modelli amministrativi -\u003e Componenti di Windows -\u003e Servizi Desktop remoto - Host sessione Desktop remoto -\u003e Sicurezza), disconnettersi criterio (Richiedi l'autenticazione dell'utente per le connessioni remote utilizzando l'autenticazione a livello di rete).
Necessario anche in politica " Richiede l'uso di un livello di sicurezza specifico per connessioni remote tramite protocollo RDP»(Richiedi l'uso di un livello di sicurezza specifico per le connessioni remote (RDP)) seleziona il livello di sicurezza - RDP.
Per applicare le nuove impostazioni RDP, è necessario aggiornare i criteri (gpupdate / force) o riavviare il computer. Dopodiché, dovresti connetterti correttamente al desktop remoto del server.
Apri l'editor del registro.
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa branch
Apri il parametro Pacchetti di sicurezza e cerca lì la parola tspkg. Se non esiste, aggiungilo ai parametri esistenti.
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders ramo
Aprire il parametro SecurityProviders e aggiungere credssp.dll ai provider esistenti se manca.
Chiudi l'editor del registro.
Ora devi riavviare. Se ciò non viene fatto, il computer ci chiederà un nome utente e una password, ma invece del desktop remoto risponderà quanto segue:
È tutto, in realtà.
Gli amministratori di server basati su Windows 2008 potrebbero dover affrontare il seguente problema:
La connessione tramite protocollo rdp al tuo server preferito da una stazione Windows XP SP3 non riesce con il seguente errore:
Il desktop remoto è disabilitato.
Il computer remoto richiede l'autenticazione a livello di rete, che questo computer non supportare. Contattare l'amministratore di sistema o il supporto tecnico per assistenza.
E sebbene la promettente Win7 minacci nel tempo di sostituire la nonna WinXP, il problema rimarrà urgente per un altro anno o due.
Ecco cosa devi fare per abilitare il meccanismo di autenticazione a livello di rete:
Apri l'editor del registro.
Ramo HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa
Apertura del parametro Pacchetti di sicurezza e cercando una parola lì tspkg... Se non esiste, aggiungilo ai parametri esistenti.
Ramo HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders
Apertura del parametro SecurityProviders e aggiungere ai provider esistenti credssp.dllse non ce n'è.
Chiudi l'editor del registro.
Ora devi riavviare. Se ciò non viene fatto, quando si tenta di connettersi, il computer ci chiederà un nome utente e una password, ma invece del desktop remoto risponderà quanto segue:
Connessione remota al desktop
Errore di autenticazione (codice 0x507)
È tutto, in realtà.
