Pogreška sanacije oracle kriptiranja CredSSP

Unatoč činjenici da je podrška za Windows XP zaustavljena prije 4 godine (Windows XP End Of Support) - mnogi vanjski i unutarnji kupci i dalje koriste ovaj OS, a čini se da taj problem neće biti radikalno riješen u skoroj budućnosti 🙁 ... Drugi dan pronašli su problem : Windows XP klijenti ne mogu se povezati putem udaljene radne površine s novim terminalom Farma usluga udaljene radne površine na Windows Server 2012 R2. Sličan problem pojavljuje se kada pokušate povezati putem RDP-a sa sustava Windows XP na Windows 10 1803.

sadržaj:

  • Nije moguće povezivanje putem RDP-a sa sustava Windows XP na Windows Server 2016 / 2012R2 i Windows 10
  • Onemogućite NLA na RDS Windows Server 2016/2012 R2
  • Omogućivanje NLA-e na razini klijenta za Windows XP

Nije moguće povezivanje putem RDP-a sa sustava Windows XP na Windows Server 2016 / 2012R2 i Windows 10

Korisnici XP-a žalili su se na ove pogreške rdp klijenta:

Zbog sigurnosne pogreške klijent se nije mogao povezati s udaljenim računalom. Provjerite jeste li prijavljeni na mrežu, a zatim pokušajte ponovo se povezati. Udaljena sesija je prekinuta jer je udaljeno računalo dobilo nevažeću poruku o licenciranju s ovog računala. Udaljeno računalo zahtijeva provjeru mrežne razine koju vaše računalo ne podržava. Za pomoć se obratite administratoru sustava ili tehničkoj podršci.

Da biste riješili taj problem, provjerite je li verzija RDP klijenta na računalima sa sustavom Windows XP ažurirana. Trenutno je maksimalna verzija RDP klijenta koja se može instalirati na Windows XP - RDP verzija klijenta 7.0 (KB969084 - https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol -rdp-7-0-ili-7-1 /). Ovo ažuriranje možete instalirati samo na Windows XP SP3. Instalacija RDP klijenta verzije 8.0 i novijeg na Windows na XP nije podržana. Nakon instaliranja ovog ažuriranja, polovica klijenata je riješila problem s RDP vezom. Ostalo je drugo poluvrijeme ... .

Onemogućite NLA na RDS Windows Server 2016/2012 R2

Nakon što smo detaljnije započeli proučavati temu RDS poslužitelja temeljenog na sustavu Windows 2012 R2, otkrili smo da u sustavu Windows Server 2012 (i novijima) prema zadanim postavkama zahtijeva obaveznu podršku tehnologije od svojih kupaca. NLA (Autorizacija na razini mreže - provjera autentičnosti na mrežnoj razini, više o ovoj tehnologiji ovdje), ali ako klijent ne podržava NLA, neće se uspjeti povezati s RDS serverom. Slično tome, NLA je omogućen prema zadanim postavkama kada omogućite RDP u sustavu Windows 10.

Iz gornjeg su dva zaključka, tako da se preostali XP klijenti mogu povezati putem RDP-a na terminalni poslužitelj na Windows Server 2016/2012 R2 ili na Windows 10:

  • Onemogućite provjeru valjanosti NLA na uslugama udaljenih radnih površina 2012 R2 / 2016 Farm Server ili Windows 10
  • ili omogućiti NLA podršku XP klijentima;

Da biste onemogućili zahtjev za obveznom upotrebom NLA protokola na klijentima na Windows Server 2012 R2 RDS poslužitelju, u konzoli Server Manager idite na daljinski Desktop usluge -> Zbirke -> QuickSessionCollection, izabrati zadaci -> Uredi Nekretnine, odaberite odjeljak  sigurnosti i uklonite opciju: dopustiti veze samo od računala trčanje daljinski Desktop s mreža nivo ovjera

U sustavu Windows 10 možete onemogućiti provjeru autentičnosti na razini mreže u svojstvima sustava (Sustav - Konfiguriranje udaljenog pristupa). Poništite odabir opcije "Dopusti veze samo s računalima koja rade na udaljenoj radnoj površini s provjerom identiteta na mreži (preporučeno)".

Naravno, morate razumjeti da onemogućavanje NLA-a na razini poslužitelja smanjuje sigurnost sustava i općenito se ne preporučuje. Poželjno je koristiti drugu tehniku..

Omogućivanje NLA-e na razini klijenta za Windows XP

Za ispravan rad Windows XP kao klijenta, morate imati najmanje servisni paket 3. Ako nije, obavezno preuzmite i instalirajte ovo ažuriranje. Taj servisni paket 3 minimalni je zahtjev za ažuriranje RDP klijenta s verzije 6.1 na 7.0 i podršku potrebnim komponentama, uključujući davatelja usluga vjerodostojnog osiguranja (CredSSP -KB969084), koji je opisan u nastavku..

Bez podrške za CredSSP i NLA, pojavit će se pogreška tijekom RDP veze s Windows XP na novu verziju sustava Windows

Pogreška autentifikacije (Kod: 0x80090327).

Prethodno smo opisali kako na računalima sa sustavom Windows XP omogućiti podršku mrežne provjere autentičnosti, ukratko se prisjetimo glavnih točaka.

NLA podrška se pojavila u sustavu Windows XP počevši od SP3, ali ona nije omogućena prema zadanim postavkama. Moguće je omogućiti samo provjeru autentičnosti NLA i CredSSP pružatelja usluga. Da biste to učinili:

  1. U podružnici registra HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders trebate urediti ključnu vrijednost SecurityProviders, dodajući na kraju credssp.dll (odvojeno zarezom od njegove trenutne vrijednosti);
  2. Dalje u grani HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa u vrijednosti parametra Sigurnosni paketi dodaj liniju tspkg;
  3. Nakon izvršavanja ovih promjena računalo se mora ponovo pokrenuti.

Nakon dovršetka svih manipulacija, računalo sa sustavom Windows XP SP3 trebalo bi se bez problema povezati putem rdp-a na farmu terminala na Windows Server 2016/2012 R2 ili Windows 10. Međutim, lozinku za RDP vezu ne možete spremiti na Windows XP klijentu (lozinku ćete morati unositi svaki put priključak).

vijeće. Paralelno s tim, postojao je još jedan problem s tiskanjem putem Easy Ispisa. Da bi računala sa sustavom Windows XP mogla ispisati na RDS 2012 pomoću Easy Print-a, klijenti moraju ispunjavati sljedeće zahtjeve: OS - Windows XP SP3, rdp verzija klijenta je najmanje 6.1, prisutnost .NET Framework 3.5 (kako saznati verziju NET Framework-a).

Pogreška sanacije oracle kriptiranja CredSSP

U 2018. godini otkrivena je ozbiljna ranjivost u protokolu CredSSP (bilten CVE-2018-0886), koji je utvrđen u Microsoftovim sigurnosnim ažuriranjima. U svibnju 2018. MSFT je objavio dodatno ažuriranje koje klijentima zabranjuje povezivanje s RDP računalima i poslužiteljima s ranjivom verzijom CredSSP (vidi članak: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka- credssp-enkripcija-oracle-sanacija /). Pri povezivanju s udaljenim računalima putem RDP-a pojavljuje se pogreška Došlo je do pogreške u autentifikaciji. Navedena funkcija nije podržana..

Zbog činjenice da Microsoft ne izdaje sigurnosna ažuriranja za Windows XP i Windows Server 2003, nećete se moći povezati s podržanim verzijama sustava Windows s ovih OS-ova.

Da biste omogućili RDP povezivanje sa sustava Windows XP na ažurirani Windows 10 / 8.1 / 7 i Windows Server 2016 / 2012R2 / 2012/2008 R2, morate omogućiti politiku na strani RDP poslužitelja Šifriranje proročanstvo sanacija / Popravak ranjivosti oracle ranjivosti (računalo konfiguracija -> Administrativna Predlošci -> Sustav -> Vjerodostojni podaci delegacija / Konfiguracija računala -> Administrativni predlošci -> Sustav -> Prijenosne vjerodajnice) s vrijednošću ublažen, što je, kako razumijete, nesigurno.

vijeće. Za Windows XP (inačica koja se zove Windows Embedded POSReady 2009) zapravo postoji zasebno ažuriranje za ranjivost CredSSP Remote Execution Code - https://support.microsoft.com/en-us/help/4056564 (WindowsXP-KB4056564-x86-Embedded- ENU.exe) teoretski postoji mogućnost instaliranja ažuriranja za Embedded POSReady na redovnoj verziji sustava Windows XP x86 i Windows Server 2003.
Kategorija