Zawsze występowały problemy z bezpieczeństwem i szybkością serwerów, a każdego roku ich znaczenie tylko rośnie. W związku z tym firma Microsoft przeszła z oryginalnego modelu uwierzytelniania po stronie serwera na uwierzytelnianie na poziomie sieci.
Jaka jest różnica między tymi modelami?
Wcześniej podczas łączenia się z usługami terminalowymi użytkownik tworzył sesję z serwerem, za pośrednictwem której ten ostatni ładował ekran wprowadzania poświadczeń dla użytkownika. Ta metoda zużywa zasoby serwera, zanim użytkownik potwierdzi swoją legalność, co umożliwia nielegalnemu użytkownikowi całkowite załadowanie zasobów serwera wieloma żądaniami logowania. Serwer, który nie jest w stanie przetworzyć tych żądań, odmawia przetwarzania żądań do uprawnionych użytkowników (atak DoS).
Uwierzytelnianie na poziomie sieci (NLA) zmusza użytkownika do wprowadzenia poświadczeń w oknie dialogowym po stronie klienta. Domyślnie, jeśli nie ma uwierzytelniania na poziomie sieci po stronie klienta, serwer nie zezwoli na połączenie i tak się nie stanie. Żądania NLA komputer kliencki podaj swoje poświadczenia do uwierzytelnienia, nawet przed utworzeniem sesji z serwerem. Ten proces jest również nazywany uwierzytelnianiem frontalnym.
NLA został wprowadzony w RDP 6.0 i początkowo był obsługiwany Windows Vista... Od RDP 6.1 - obsługiwane przez serwery z systemem Windows Server 2008 i nowszym, a obsługa klienta jest zapewniana dla systemów operacyjnych Windows XP SP3 (należy zezwolić na nowego dostawcę zabezpieczeń w rejestrze) i wyższych. Metoda korzysta z dostawcy zabezpieczeń poświadczeń bezpieczeństwa (CredSSP). Jeśli używasz klienta zdalnego pulpitu dla innego systemu operacyjnego, musisz zapytać o jego obsługę NLA.
Korzyści NLA:
- Nie wymaga znacznych zasobów serwera.
- Dodatkowa warstwa chroniąca przed atakami DoS.
- Przyspiesza proces mediacji między klientem a serwerem.
- Umożliwia rozszerzenie technologii „pojedynczego logowania” NT do współpracy z serwerem terminali.
- Inni dostawcy zabezpieczeń nie są obsługiwani.
- Nieobsługiwane przez wersje klienta starsze niż Windows XP SP3 i wersje serwerowe starsze niż Windows Server 2008.
- Potrzebne ustawienie ręczne rejestr w każdym klient Windows XP SP3.
- Jak każdy system „pojedynczego logowania” jest podatny na kradzież „kluczy do całej fortecy”.
- Nie ma możliwości skorzystania z funkcji „Wymagaj zmiany hasła przy następnym logowaniu”.
Po zainstalowaniu aktualizacji KB4103718 na moim komputerze z systemem Windows 7 nie mogę zdalnie połączyć się z serwerem z systemem Windows Server 2012 R2 za pośrednictwem pulpitu zdalnego RDP. Po określeniu adresu serwera RDP w oknie klienta mstsc.exe i kliknięciu „Połącz” pojawia się błąd:
Podłączanie pulpitu zdalnego
Wystąpił błąd uwierzytelniania.
Podana funkcja nie jest obsługiwana.
Komputer zdalny: nazwa komputera
Po odinstalowaniu aktualizacji KB4103718 i ponownym uruchomieniu komputera połączenie RDP działało dobrze. Jeśli dobrze rozumiem, jest to tylko tymczasowe obejście. Czy w przyszłym miesiącu pojawi się nowy zbiorczy pakiet aktualizacji i błąd powróci? Jakakolwiek rada?
Odpowiedź
Masz całkowitą rację, że rozwiązywanie problemu nie ma sensu, ponieważ w ten sposób narażasz swój komputer na ryzyko wykorzystania różnych luk w zabezpieczeniach, które są zamykane przez łaty w tej aktualizacji.
Nie jesteś sam w swoim problemie. Ten błąd może pojawić się w dowolnym system operacyjny Windows lub Windows Server (nie tylko Windows 7). Anglicy wersje systemu Windows 10 podczas próby połączenia się z serwerem RDP / RDS podobny błąd wygląda następująco:
Wystąpił błąd uwierzytelniania.
Żądana funkcja nie jest obsługiwana.
Komputer zdalny: nazwa komputera
Błąd protokołu RDP „Wystąpił błąd uwierzytelniania” może również pojawić się podczas próby uruchomienia aplikacji trybu RemoteApp.
Dlaczego to się dzieje? Faktem jest, że Twój komputer ma najnowsze aktualizacje zabezpieczeń (wydane po maju 2018), które naprawiają poważną lukę w protokole CredSSP (Credential Security Support Provider) używanym do uwierzytelniania na serwerach RDP (CVE-2018-0886) (polecam Przeczytaj artykuł). Jednocześnie po stronie serwera RDP / RDS, z którym łączysz się z komputera, te aktualizacje nie są instalowane, a protokół NLA (uwierzytelnianie na poziomie sieci) jest włączony dla dostępu RDP. NLA używa mechanizmów CredSSP do wstępnego uwierzytelniania użytkowników za pośrednictwem protokołu TLS / SSL lub Kerberos. Twój komputer, ze względu na nowe ustawienia zabezpieczeń, które zainstalowałeś, po prostu blokuje połączenie z komputerem zdalnym, który używa podatnej wersji CredSSP.
Co można zrobić, aby naprawić ten błąd i połączyć się z serwerem RDP?
- Większość dobrze sposobem rozwiązania problemu jest instalacja najnowsze aktualizacje bezpieczeństwo systemu Windows na komputerze / serwerze, z którym łączysz się przez RDP;
- Metoda tymczasowa 1 ... Możesz wyłączyć uwierzytelnianie na poziomie sieci (NLA) po stronie serwera RDP (opisane poniżej);
- Metoda tymczasowa 2
... Po stronie klienta możesz zezwolić na połączenia z serwerami RDP z niezabezpieczoną wersją CredSSP, jak opisano w artykule pod powyższym łączem. Aby to zrobić, musisz zmienić klucz rejestru AllowEncryptionOracle (Polecenie REG ADD
HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System \\ CredSSP \\ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) lub zmień ustawienia polityka lokalna Szyfrowanie Oracle / Napraw lukę w zabezpieczeniach oracle szyfrowania), ustawiając jej wartość \u003d Vulnerable / Leave luka w zabezpieczeniach).Tylko w ten sposób można uzyskać dostęp do zdalnego serwera za pośrednictwem protokołu RDP, jeśli nie jest to możliwe logowanie lokalne na serwer (przez konsolę ILO, maszyna wirtualna, interfejs chmury itp.). W tym trybie będziesz mógł połączyć się ze zdalnym serwerem i zainstalować aktualizacje bezpieczeństwa, więc przejdziesz do zalecanej metody 1. Po zaktualizowaniu serwera nie zapomnij wyłączyć zasady lub zwrócić wartość klucza AllowEncryptionOracle \u003d 0: REG ADD HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System \\ CredSSP \\ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0
Wyłącz NLA dla RDP w systemie Windows
Jeśli NLA jest włączona po stronie serwera RDP, z którym się łączysz, oznacza to, że CredSPP jest używany do wstępnego uwierzytelnienia użytkownika RDP. Możesz wyłączyć uwierzytelnianie na poziomie sieci we właściwościach systemu na karcie Zdalny dostęp (Zdalny) odznaczając pole „Zezwalaj na połączenia tylko z komputerów z uruchomionym Pulpitem zdalnym z uwierzytelnianiem na poziomie sieci (zalecane)” (Windows 10 / Windows 8).
Windows 7 ma inną nazwę dla tej opcji. W zakładce Zdalny dostęp musisz wybrać opcję „ Zezwalaj na połączenia z komputerów z dowolną wersją Pulpitu zdalnego (niebezpieczne) / Zezwalaj na połączenia z komputerów z dowolną wersją Pulpitu zdalnego (mniej bezpieczne) ”.
Możliwe jest również wyłączenie uwierzytelniania na poziomie sieci (NLA) za pomocą lokalnego edytora zasad grupy - gpedit.msc (w systemie Windows 10 Home można uruchomić edytor zasad gpedit.msc) lub za pomocą konsoli zarządzania zasadami domeny - GPMC.msc. Aby to zrobić, przejdź do sekcji Konfiguracja komputera -\u003e Szablony administracyjne -\u003e SkładnikiWindows -\u003e Usługi pulpitu zdalnego - Host sesji usług pulpitu zdalnego -\u003e Zabezpieczenia (Konfiguracja komputera -\u003e Szablony administracyjne -\u003e Składniki systemu Windows -\u003e Usługi pulpitu zdalnego - Host sesji usług pulpitu zdalnego -\u003e Zabezpieczenia), rozłączyć się zasady (Wymagaj uwierzytelnienia użytkownika dla połączeń zdalnych przy użyciu uwierzytelniania na poziomie sieci).
Potrzebny również w polityce ” Wymagaj użycia określonego poziomu bezpieczeństwa dla połączenia zdalne za pośrednictwem protokołu RDP»(Wymagaj użycia określonej warstwy zabezpieczeń dla połączeń zdalnych (RDP)) wybierz warstwę zabezpieczeń - PROW.
Aby zastosować nowe ustawienia RDP, musisz zaktualizować zasady (gpupdate / force) lub ponownie uruchomić komputer. Następnie powinieneś pomyślnie połączyć się ze zdalnym pulpitem serwera.
Otwórz edytor rejestru.
Oddział HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa
Otwórz parametr Pakiety bezpieczeństwa i poszukaj tam słowa tspkg. Jeśli go tam nie ma, dodaj go do już istniejących parametrów.
Gałąź HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders
Otwórz parametr SecurityProviders i dodaj plik credssp.dll do istniejących dostawców, jeśli ich nie ma.
Zamknij edytor rejestru.
Teraz musisz ponownie uruchomić komputer. Jeśli tak się nie stanie, komputer zapyta nas o nazwę użytkownika i hasło, ale zamiast zdalnego pulpitu odpowie na następujące pytanie:
Właściwie to wszystko.
Administratorzy serwerów opartych na systemie Windows 2008 mogą napotkać następujący problem:
Połączenie za pośrednictwem protokołu rdp z ulubionym serwerem ze stacji Windows XP SP3 kończy się niepowodzeniem z następującym błędem:
Pulpit zdalny jest wyłączony.
Komputer zdalny wymaga uwierzytelniania na poziomie sieci, co ten komputer nie obsługują. Skontaktuj się z administratorem systemu lub pomocą techniczną, aby uzyskać pomoc.
I chociaż obiecujący Win7 grozi w końcu zastąpieniem swojej babci WinXP, problem pozostanie pilny przez kolejny rok lub dwa.
Oto, co musisz zrobić, aby włączyć mechanizm uwierzytelniania w warstwie sieci:
Otwórz edytor rejestru.
Gałąź HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa
Otwieranie parametru Pakiety bezpieczeństwa i szukam tam słowa tspkg... Jeśli go tam nie ma, dodaj go do już istniejących parametrów.
Gałąź HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders
Otwieranie parametru SecurityProviders i dodaj do istniejących dostawców credssp.dlljeśli nie ma.
Zamknij edytor rejestru.
Teraz musisz ponownie uruchomić komputer. Jeśli tego nie zrobisz, podczas próby połączenia komputer zapyta nas o nazwę użytkownika i hasło, ale zamiast zdalnego pulpitu odpowie na następujące pytanie:
Podłączanie pulpitu zdalnego
Błąd uwierzytelniania (kod 0x507)
Właściwie to wszystko.
