Ako koristite Windows XP kada se povezujete sa serverom, možda ćete dobiti grešku: „Udaljeni računar zahteva provjeru autentičnosti na nivou mreže, što ovaj računar ne podržavaju".

Ova greška nastaje zbog činjenice da inicijalno autentifikacija na nivou mreže nije bila implementirana u Windows XP, ovu priliku programeri su ga implementirali u naredne operativne sisteme. Kasnije je objavljen i fajl ažuriranja KB951608 koji je ispravio ovu grešku i omogućio Windows XP-u da implementira autentifikaciju na nivou mreže.

Da biste mogli da se povežete na server udaljene radne površine sa računara koji radi pod operativnim sistemom Windows XP, potrebno je da instalirate servisni paket 3 (SP3), a zatim uradite sledeće:

Na službenoj Microsoft web stranici na ruskoj stranici https://support.microsoft.com/ru-ru/kb/951608 preuzmite automatski fajl za popravke. Pomaknite se prema dolje po stranici i kliknite na dugme „Preuzmi“ u odjeljku „Pomoć u rješavanju problema“.

Na raspolaganju vam je i stranica na engleskom. https://support.microsoft.com/en-us/kb/951608 gdje možete preuzeti ovu datoteku klikom na dugme "Preuzmi" u odjeljku "Kako uključiti CredSSP"

Nakon što je preuzimanje datoteke završeno, pokrenite je za izvršenje. Nakon lansiranja ovaj fajl Videćete prozor programa. U prvom koraku označite polje "Prihvatam". U drugom koraku kliknite na dugme „Dalje“.

Kada se instalacija završi, vidjet ćete sljedeći prozor sa obavještenjem „Ovaj Microsoft popravak je obrađen.” Sve što trebate učiniti je kliknuti na „Zatvori”.

Nakon što kliknete na dugme „Zatvori“, program će vam reći da morate ponovo pokrenuti računar da bi promene stupile na snagu, kliknite na „Da“ da biste ponovo pokrenuli.

Riješite problem sami bez preuzimanja datoteke

Ako imate administrativne vještine, možete ručno izvršiti promjene u registru vašeg računala bez potrebe za preuzimanjem datoteke zakrpe.

1. Kliknite na dugme Počni, odaberite stavku Trči, unesite komandu regedit i pritisnite tipku Enter

Sigurnost i brzina servera su uvijek bili problem, a svake godine njihova relevantnost samo raste. Zbog toga je Microsoft prešao sa originalnog modela autentifikacije na strani servera na autentifikaciju na nivou mreže.

Koja je razlika između ovih modela?
Ranije, prilikom povezivanja na terminalske usluge, korisnik je kreirao sesiju sa serverom preko koje bi ovaj učitavao ekran za unos akreditiva za korisnika. Ova metoda troši serverske resurse čak i prije nego što je korisnik potvrdio njihovu legitimnost, dozvoljavajući ilegalnom korisniku da potpuno preplavi serverske resurse s višestrukim zahtjevima za prijavu. Server koji nije u stanju obraditi ove zahtjeve odbija zahtjeve legitimnim korisnicima (DoS napad).

Provjera autentičnosti na razini mreže (NLA) prisiljava korisnika da unese vjerodajnice u dijaloški okvir na strani klijenta. Prema zadanim postavkama, ako na strani klijenta nema mrežnog certifikata provjere autentičnosti, tada server neće dozvoliti vezu i to se neće dogoditi. NLA traži od klijentskog računara da pruži svoje vjerodajnice za autentifikaciju prije kreiranja sesije sa serverom. Ovaj proces se također naziva front-end autentifikacija.

NLA je uveden još u RDP 6.0 i u početku je bio podržan Windows Vista. Od verzije RDP 6.1 - podržan od strane servera koji rade pod operativnim sistemom Windows Server 2008 i novije verzije, a klijentska podrška je obezbeđena za operativne sisteme Windows XP SP3 (morate omogućiti novog dobavljača bezbednosti u registru) i novije verzije. Metoda koristi dobavljača sigurnosti CredSSP (Credential Security Support Provider). Kada koristite klijent udaljene radne površine za drugi operativni sistem, morate se informirati o njegovoj NLA podršci.

Prednosti NLA:

• Ne zahtijeva značajne resurse servera.
• Dodatni nivo za zaštitu od DoS napada.
• Ubrzava proces posredovanja između klijenta i servera.
• Omogućava vam da proširite NT tehnologiju "single login" za rad sa terminal serverom.

Nedostaci NLA:

• Ostali dobavljači sigurnosti nisu podržani.
• Ne podržavaju klijentske verzije niže od Windows XP SP3 i serverske verzije niže od Windows Server 2008.
• Obavezno ručno podešavanje registra na svakom Windows XP SP3 klijentu.
• Kao i svaka shema „jednostruke prijave“, podložna je krađi „ključeva cijele tvrđave“.
• Ne postoji opcija za korištenje funkcije "Zahtijevaj promjenu lozinke pri sljedećoj prijavi".

Nakon instaliranja ažuriranja KB4103718 na svoj Windows 7 računar, ne mogu daljinski da se povežem sa serverom koji koristi Windows Server 2012 R2 preko RDP-a. Nakon što navedem adresu RDP servera u prozoru klijenta mstsc.exe i kliknem na "Poveži", pojavljuje se greška:

Veza sa udaljenom radnom površinom

Došlo je do greške u autentifikaciji.

Navedena funkcija nije podržana.
Udaljeni računar: naziv računara

Nakon što sam deinstalirao ažuriranje KB4103718 i ponovo pokrenuo računar, RDP veza je počela da radi dobro. Ako sam dobro razumio, ovo je samo privremeno rješenje, u sljedeći mjesec hoće li stići novi kumulativni paket ažuriranja i greška će se vratiti? Možete li nešto preporučiti?

Odgovori

Potpuno ste u pravu da je besmisleno rješavati problem, jer time izlažete svoj računar riziku eksploatacije raznih ranjivosti koje su pokrivene zakrpama u ovom ažuriranju.

Niste sami u svom problemu. Ova greška se može pojaviti u bilo kojoj operacijskoj sali. Windows sistem ili Windows Server (ne samo Windows 7). Za korisnike engleskog jezika Windows verzije 10, kada pokušavate da se povežete na RDP/RDS server, slična greška izgleda ovako:

Došlo je do greške u autentifikaciji.

Tražena funkcija nije podržana.

Udaljeni računar: naziv računara

RDP greška „Došlo je do greške u autentifikaciji“ može se pojaviti i prilikom pokušaja pokretanja RemoteApp aplikacija.

Zašto se ovo dešava? Činjenica je da vaš računar ima najnovija sigurnosna ažuriranja (objavljena nakon maja 2018.) koja ispravljaju ozbiljnu ranjivost u CredSSP (Credential Security Support Provider) protokolu koji se koristi za autentifikaciju na RDP serverima (CVE-2018-0886) (preporučujem da pročitate clanak). Međutim, na strani RDP / RDS servera na koji se povezujete sa svog računara, ove ispravke nisu instalirane, a NLA (Network Level Authentication) protokol je omogućen za RDP pristup. NLA protokol koristi mehanizme CredSSP za prethodnu autentifikaciju korisnika putem TLS/SSL ili Kerberosa. Vaš računar, zbog novih sigurnosnih postavki koje je uvela ažuriranje koje ste instalirali, jednostavno blokira vezu s njim udaljeni računar, koji koristi ranjivu verziju CredSSP-a.

Šta možete učiniti da popravite ovu grešku i povežete se na svoj RDP server?

1. Većina ispravan način rješavanja problema - instalacija najnovija ažuriranja Windows sigurnost na računaru/serveru na koji se povezujete preko RDP-a;
2. Privremena metoda 1 . Možete onemogućiti autentifikaciju na nivou mreže (NLA) na strani RDP servera (opisano dolje);
3. Privremena metoda 2 . Na strani klijenta možete dozvoliti konekcije na RDP servere sa nesigurnom verzijom CredSSP-a, kao što je opisano u članku na linku iznad. Da biste to učinili, morate promijeniti ključ registratora AllowEncryptionOracle(REG ADD komanda
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) ili promijenite postavke lokalna politika Enkripcija Oracle Remediation/ Fix encryption oracle ranjivost), postavljanje njegove vrijednosti = Ranjivo / Napusti ranjivost).

   Ovo jedini način pristup udaljenom serveru preko RDP-a, ako nemate mogućnost da se prijavite na server lokalno (preko ILO konzole, virtuelna mašina, cloud interfejs, itd.). U ovom režimu ćete moći da se povežete na udaljeni server i instalirate bezbednosna ažuriranja, čime ćete preći na preporučeni metod 1. Nakon ažuriranja servera, ne zaboravite onemogućiti politiku ili vratiti vrijednost ključa AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD

Onemogućavanje NLA za RDP na Windowsima

Ako je NLA omogućen na strani RDP servera na koji se povezujete, to znači da se CredSPP koristi za prethodnu autentifikaciju RDP korisnika. Možete onemogućiti autentifikaciju na nivou mreže u svojstvima sistema na kartici Daljinski pristup (Daljinski) , opozovite izbor u polju za potvrdu „Dozvoli vezu samo sa računara koji koriste udaljenu radnu površinu sa provjerom autentičnosti na nivou mreže (preporučeno)“ (Windows 10 / Windows 8).

U Windows 7 ova opcija se naziva drugačije. Na kartici Daljinski pristup morate odabrati opciju " Dozvolite veze sa računara koji koriste bilo koju verziju udaljene radne površine (opasno)/ Dozvoli veze sa računara koji koriste bilo koju verziju udaljene radne površine (manje bezbedno)".

Također možete onemogućiti provjeru autentičnosti na nivou mreže (NLA) koristeći Local Group Policy Editor - gpedit.msc(u Windows 10 Home može se pokrenuti uređivač politike gpedit.msc) ili pomoću konzole za upravljanje politikama domene - GPMC.msc. Da biste to učinili, idite na odjeljak Konfiguracija računala –> Administrativni predlošci –> KomponenteWindows–> Usluge udaljene radne površine – Host sesije udaljene radne površine –> Sigurnost(Konfiguracija računara –> Administrativni predlošci –> Windows komponente –> Usluge udaljene radne površine – Host sesije udaljene radne površine –> Sigurnost), ugasiti politika (Zahtijevaj autentifikaciju korisnika za udaljene veze korištenjem provjere autentičnosti na razini mreže).

Takođe potrebno u politici" Zahtijeva korištenje posebnog sigurnosnog nivoa za udaljene veze preko RDP protokola» (Zahtijeva korištenje specifičnog sigurnosnog sloja za udaljene (RDP) veze) odaberite Sigurnosni sloj - RDP.

Da biste primijenili nove RDP postavke, morate ažurirati pravila (gpupdate /force) ili ponovo pokrenuti računar. Nakon toga, trebalo bi da se uspešno povežete na server udaljene radne površine.

Otvorite uređivač registra.

Ogranak HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Otvorite parametar Sigurnosni paketi i tamo potražite riječ tspkg. Ako ga nema, dodajte ga postojećim parametrima.

Ogranak HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Otvorite parametar SecurityProviders i dodajte credssp.dll postojećim dobavljačima ako nedostaje.

Zatvorite uređivač registra.

Sada morate ponovo pokrenuti. Ako se to ne uradi, računar će od nas tražiti korisničko ime i lozinku, ali će umjesto udaljene radne površine odgovoriti sljedećim:

To je sve.

Administratori servera na adresi Windows baziran 2008 će se možda morati suočiti sa sljedećim problemom:

Povezivanje putem rdp protokola na vaš omiljeni server sa Windows XP SP3 stanice ne uspijeva sa sljedećom greškom:

Udaljena radna površina je onemogućena.

Udaljeni računar zahtijeva provjeru autentičnosti na nivou mreže koju računar ne podržava. Obratite se za pomoć sistem administrator ili kontaktirajte tehničku podršku.

I iako obećavajući Win7 prijeti da će na kraju zamijeniti svoju baku WinXP, problem će ostati relevantan još godinu ili dvije.

Evo što trebate učiniti da omogućite provjeru autentičnosti mrežnog sloja:

Otvorite uređivač registra.

Filijala HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Otvorite parametar Sigurnosni paketi i potraži tu riječ tspkg. Ako ga nema, dodajte ga postojećim parametrima.

Filijala HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Otvorite parametar SecurityProviders i dodati postojećim provajderima credssp.dll, ako ga nema.

Zatvorite uređivač registra.

Sada morate ponovo pokrenuti. Ako se to ne uradi, onda kada pokušamo da se povežemo, računar će od nas tražiti korisničko ime i lozinku, ali će umesto udaljene radne površine odgovoriti sledećim:

Veza sa udaljenom radnom površinom

Greška pri autentifikaciji (kod 0x507)

To je sve.