Nakon instaliranja ažuriranja KB4103718 na računalo sa sustavom Windows 7, ne mogu se daljinski povezati s poslužiteljem na kojem je pokrenut Windows Server 2012 R2 putem udaljene radne površine RDP. Nakon što u prozoru klijenta mstsc.exe odredim adresu RDP poslužitelja i kliknem "Poveži", pojavljuje se pogreška:
Veza s udaljenom radnom površinomAutentifikacija nije uspjela.
Navedena funkcija nije podržana..
Udaljeno računalo: ime računala
Nakon što sam uklonio ažuriranje KB4103718 i ponovno pokrenuo računalo, RDP veza je započela s radom. Ako sam dobro razumio, ovo je samo privremeno rješenje, sljedeći mjesec će stići novi kumulativni paket ažuriranja i greška će se vratiti? Možete li nešto savjetovati?
Odgovor
Potpuno ste u pravu da nema smisla problem rješavati uklanjanjem ažuriranja za Windows, jer time izložite svoje računalo riziku iskorištavanja raznih ranjivosti koje zatvaraju zakrpe u ovom ažuriranju..
Niste sami u svom problemu. Ova se pogreška može pojaviti u bilo kojem Windows ili Windows Server operativnom sustavu (ne samo Windows 7). Za korisnike engleske verzije sustava Windows 10, kada se pokušaju povezati na RDP / RDS poslužitelj, slična greška izgleda ovako:
Došlo je do pogreške kod provjere autentičnosti.Tražena funkcija nije podržana.
Udaljeno računalo: ime računala
RDP pogreška "Pojavila se pogreška autentifikacije" može se pojaviti prilikom pokušaja pokretanja RemoteApp aplikacija.
Zašto se to događa? Činjenica je da vaše računalo ima najnovija sigurnosna ažuriranja (objavljena nakon svibnja 2018.) koja popravljaju ozbiljnu ranjivost u protokolu CredSSP (Credential Security Support Provider) koji se koristi za provjeru autentičnosti na RDP poslužiteljima (CVE-2018-0886) (preporučujem pogledajte članak Pogreška veze RDP: Sanacija oracle kriptiranja CredSSP). Istodobno, ta ažuriranja nisu instalirana na strani RDP / RDS poslužitelja na koji se povezujete s računala, a NLA (Network Level Authentication / Network Level Authentication) omogućen je za RDP pristup. NLA protokol koristi CredSSP mehanizme za prethodnu autentifikaciju korisnika putem TLS / SSL ili Kerberos. Vaše računalo, zbog novih sigurnosnih postavki koje ažuriranje instalirate, samo blokira vezu s udaljenim računalom koje koristi ranjivu verziju CredSSP-a..
Što se može učiniti kako biste popravili ovu pogrešku i povezali se s vašim RDP poslužiteljem?
- Najviše ona prava način rješavanja problema je instalirati najnovije kumulativne sigurnosne nadopune sustava Windows na računalo / poslužitelj na koji se povezujete putem RDP-a;
- Privremena metoda 1. Možete onemogućiti provjeru identiteta na mreži (NLA) na strani RDP poslužitelja (opisano u nastavku);
- Privremena metoda 2. Možete omogućiti veze na strani klijenta s RDP poslužiteljima s nesigurnom verzijom CredSSP, kao što je opisano u članku na gornjoj vezi. Da biste to učinili, promijenite registar ključ AllowEncryptionOracle (tim
REG ADD) ili promijenite postavke lokalnih pravila Šifriranje Oracle sanacija / Ispravite ranjivost šifriranog proročišta) postavljanjem njegove vrijednosti = Ranjiva / Ostavite ranjivost). Ovo je jedini način pristupa udaljenom poslužitelju putem RDP-a ako imate priliku lokalno se prijaviti na poslužitelj (putem ILO konzole, virtualnog stroja, sučelja oblaka itd.). U ovom se načinu možete povezati s udaljenim poslužiteljem i instalirati sigurnosna ažuriranja, pa prijeđite na preporučenu 1 metodu. Nakon ažuriranja poslužitelja, nemojte zaboraviti onemogućiti pravilo ili vratiti ključnu vrijednost AllowEncryptionOracle = 0:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0
Onemogućavanje NLA za RDP na Windows-u
Ako je na strani RDP poslužitelja na koji se povezujete omogućen NLA, to znači da se CredSPP koristi za prethodnu autentifikaciju korisničkog RDP-a. Onemogućite provjeru identiteta na mreži u svojstvima sustava na kartici Udaljeni pristup (daljinski), poništi oznaku "Dopuštanje veza samo s računala koja rade na udaljenoj radnoj površini s autentifikacijom na razini mreže / Dopusti vezu samo s računala koja rade na udaljenoj radnoj površini s provjerom identiteta na mreži (preporučeno) "(Windows 10 / Windows 8).
U sustavu Windows 7 ova se opcija naziva drugačije. kartica Udaljeni pristup treba odabrati opciju "Dopuštanje veza s računala s bilo kojom inačicom udaljene radne površine (opasno) / Dopusti veze s računala s bilo kojom inačicom udaljene radne površine (manje sigurna) ".
Također možete onemogućiti provjeru identiteta na mreži (NLA) pomoću uređivača pravila lokalne grupe - gpedit.MSC (u Windows 10 Home, urednik pravila gpedit.msc može se pokrenuti ovako) ili pomoću konzole za upravljanje pravilima domene, GPMC.msc. Da biste to učinili, idite na Konfiguracija računala -> Administrativni predlošci -> Komponente Windows -> Usluge udaljene radne površine - Host udaljene radne površine -> Sigurnost (Konfiguracija računala -> Administrativni predlošci -> Komponente sustava Windows -> Usluge udaljene radne površine - Host udaljene radne površine -> Sigurnost), onemogućiti politika Zahtijeva provjeru autentičnosti korisnika za udaljene veze mrežnom provjerom identiteta (Zahtijeva provjeru autentičnosti korisnika za udaljene veze pomoću provjere autentičnosti na mreži).
Također je potrebno u politici "Zahtijeva korištenje posebne razine sigurnosti za udaljene RDP veze"(Zahtijeva upotrebu određenog sigurnosnog sloja za udaljene (RDP) veze) odabir razine sigurnosti (Sigurnosni sloj) - RDP.
Da biste primijenili nove postavke RDP-a, morate ažurirati pravila (gpupdate / force) ili ponovno pokrenuti računalo. Nakon toga, morate se uspješno povezati s udaljenom radnom površinom poslužitelja.
