Pokud při připojování k serveru používáte Windows XP, může se zobrazit chyba: „Vzdálený počítač vyžaduje ověření na úrovni sítě, tento počítač nepodporovat“.

Tato chyba vzniká v důsledku skutečnosti, že původně nebylo v systému Windows XP implementováno ověřování na úrovni sítě, tato příležitost vývojáři jej implementovali do následujících operačních systémů. Později byl také vydán aktualizační soubor KB951608 který tuto chybu opravil a umožnil systému Windows XP implementovat ověřování na úrovni sítě.

Abyste se mohli připojit k serveru vzdálené plochy z počítače se systémem Windows XP, musíte nainstalovat aktualizaci Service Pack 3 (SP3) a poté provést následující:

Na oficiálních stránkách Microsoftu na ruské stránce https://support.microsoft.com/ru-ru/kb/951608 stáhněte si soubor automatické opravy. Přejděte na stránce dolů a klikněte na tlačítko „Stáhnout“ v části „Nápověda při řešení problému“.

K dispozici je vám také anglická stránka. https://support.microsoft.com/en-us/kb/951608 kde si můžete tento soubor stáhnout kliknutím na tlačítko „Stáhnout“ v části „Jak zapnout CredSSP“

Po dokončení stahování spusťte soubor ke spuštění. Po spuštění tento soubor Zobrazí se okno programu. V prvním kroku zaškrtněte políčko „Přijímám“. Ve druhém kroku klikněte na tlačítko „Další“.

Po dokončení instalace se zobrazí následující okno s upozorněním „Tato oprava Microsoftu byla zpracována.“ Jediné, co musíte udělat, je kliknout na „Zavřít“.

Po kliknutí na tlačítko „Zavřít“ vám program sdělí, že je třeba restartovat počítač, aby se změny projevily, kliknutím na „Ano“ restartujte.

Vyřešte problém sami bez stahování souboru

Pokud máte administrativní dovednosti, můžete provádět změny v registru počítače ručně, aniž byste museli stahovat opravný soubor.

1. Klepněte na tlačítko Start, vybrat předmět Běh, zadejte příkaz regedit a stiskněte klávesu Vstupte

Po instalaci aktualizace KB4103718 do počítače se systémem Windows 7 se nemohu vzdáleně připojit k serveru. Windows Server 2012 R2 přes vzdálenou plochu RDP. Po zadání adresy serveru RDP v okně klienta mstsc.exe a kliknutí na „Připojit“ se zobrazí chyba:

Připojení ke vzdálené ploše

Došlo k chybě ověřování.

Zadaná funkce není podporováno.
Vzdálený počítač: název počítače

Poté, co jsem odinstaloval aktualizaci KB4103718 a restartoval počítač, začalo připojení RDP fungovat dobře. Pokud tomu dobře rozumím, jedná se pouze o dočasné řešení příští měsíc přijde nový balíček kumulativní aktualizace a chyba se vrátí? Můžete něco doporučit?

Odpovědět

Máte naprostou pravdu, že je zbytečné problém řešit, protože tím vystavujete svůj počítač riziku zneužití různých zranitelností, které jsou v této aktualizaci pokryty záplatami.

Ve svém problému nejste sami. Tato chyba se může objevit v jakémkoli operačním systému Windows nebo Windows Server (nejen Windows 7). Pro anglické uživatele Verze Windows 10, při pokusu o připojení k serveru RDP/RDS vypadá podobná chyba takto:

Došlo k chybě ověřování.

Požadovaná funkce není podporována.

Vzdálený počítač: název počítače

Při pokusu o spuštění aplikací RemoteApp se také může objevit chyba RDP „Došlo k chybě ověřování“.

Proč se tohle děje? Faktem je, že váš počítač má nejnovější aktualizace zabezpečení (vydané po květnu 2018), které opravují závažnou zranitelnost v protokolu CredSSP (Credential Security Support Provider) používaném pro ověřování na serverech RDP (CVE-2018-0886) (doporučuji přečíst článek). Na straně serveru RDP / RDS, ke kterému se připojujete z počítače, však tyto aktualizace nejsou nainstalovány a pro přístup RDP je povolen protokol NLA (Network Level Authentication). Protokol NLA využívá mechanismy CredSSP k předběžné autentizaci uživatelů prostřednictvím TLS/SSL nebo Kerberos. Váš počítač kvůli novým nastavením zabezpečení zavedeným aktualizací, kterou jste nainstalovali, jednoduše blokuje připojení vzdálený počítač, který používá zranitelnou verzi CredSSP.

Co můžete udělat pro opravu této chyby a připojení k serveru RDP?

1. Většina opravit způsob řešení problému - instalace poslední aktualizace Zabezpečení Windows na počítači/serveru, ke kterému se připojujete prostřednictvím RDP;
2. Dočasný způsob 1 . Můžete zakázat ověřování na úrovni sítě (NLA) na straně serveru RDP (popsáno níže);
3. Dočasný způsob 2 . Na straně klienta můžete povolit připojení k serverům RDP s nezabezpečenou verzí CredSSP, jak je popsáno ve výše uvedeném článku. Chcete-li to provést, musíte změnit klíč registru AllowEncryptionOracle(příkaz REG ADD
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) nebo změnit nastavení místní politika Šifrování Oracle Remediation/ Opravit zranitelnost šifrování oracle), nastavení její hodnoty = Vulnerable / Leave zranitelnost).

   Tento jediná možnost přístup ke vzdálenému serveru přes RDP, pokud nemáte možnost přihlásit se k serveru lokálně (přes konzolu ILO, virtuální stroj, cloudové rozhraní atd.). V tomto režimu se budete moci připojit ke vzdálenému serveru a nainstalovat aktualizace zabezpečení, čímž přejdete na doporučený způsob 1. Po aktualizaci serveru nezapomeňte deaktivovat zásady nebo vrátit hodnotu klíče AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Zakázání NLA pro RDP v systému Windows

Pokud je povoleno NLA na straně serveru RDP, ke kterému se připojujete, znamená to, že CredSPP se používá k předběžné autentizaci uživatele RDP. Ověřování na úrovni sítě můžete zakázat ve vlastnostech systému na kartě Vzdálený přístup (Dálkový) zrušením zaškrtnutí políčka „Povolit připojení pouze z počítačů se vzdálenou plochou s ověřováním na úrovni sítě (doporučeno)“ (Windows 10 / Windows 8).

Ve Windows 7 se tato možnost nazývá jinak. Na kartě Vzdálený přístup musíte vybrat možnost " Povolit připojení z počítačů s jakoukoli verzí vzdálené plochy (nebezpečné)/ Povolit připojení z počítačů s libovolnou verzí vzdálené plochy (méně bezpečné)".

Můžete také zakázat ověřování na úrovni sítě (NLA) pomocí Editoru místních zásad skupiny - gpedit.msc(ve Windows 10 Home lze spustit editor zásad gpedit.msc) nebo pomocí konzoly pro správu zásad domény – GPMC.msc. Chcete-li to provést, přejděte do sekce Konfigurace počítače –> Šablony pro správu –> KomponentyOkna–> Služby vzdálené plochy – Hostitel relací vzdálené plochy –> Zabezpečení(Konfigurace počítače –> Šablony pro správu –> Součásti systému Windows –> Služby vzdálené plochy – Hostitel relací vzdálené plochy –> Zabezpečení), vypnout zásada (Vyžadovat ověření uživatele pro vzdálená připojení pomocí ověřování na úrovni sítě).

Potřebné také v politice" Vyžadovat použití zvláštní úrovně zabezpečení pro vzdálená připojení přes protokol RDP» (Vyžadovat použití specifické vrstvy zabezpečení pro vzdálená připojení (RDP)) vyberte vrstvu zabezpečení - RDP.

Chcete-li použít nová nastavení RDP, musíte aktualizovat zásady (gpupdate /force) nebo restartovat počítač. Poté byste se měli úspěšně připojit k serveru vzdálené plochy.

Bezpečnost a rychlost serverů byly vždy problémem a jejich význam každým rokem jen roste. Z tohoto důvodu Microsoft přešel z původního modelu ověřování na straně serveru k ověřování na úrovni sítě.

Jaký je rozdíl mezi těmito modely?
Dříve při připojování k Terminálové službě uživatel vytvořil relaci se serverem, přes kterou server načetl obrazovku pro zadání přihlašovacích údajů pro uživatele. Tato metoda spotřebovává zdroje serveru ještě předtím, než uživatel ověří jejich legitimitu, což umožňuje nelegálnímu uživateli zcela zahltit zdroje serveru vícenásobnými požadavky na přihlášení. Server, který není schopen tyto požadavky zpracovat, odmítne požadavky legitimním uživatelům (DoS útok).

Network-Level Authentication (NLA) nutí uživatele zadávat přihlašovací údaje do dialogového okna na straně klienta. Ve výchozím nastavení, pokud na straně klienta neexistuje žádný certifikát ověření autentizace na úrovni sítě, server připojení nepovolí a nenastane. NLA požaduje, aby klientský počítač před vytvořením relace se serverem poskytl své ověřovací údaje. Tento proces se také nazývá front-end ověřování.

NLA byl zaveden zpět v RDP 6.0 a byl zpočátku podporován Windows Vista. Od verze RDP 6.1 - podporováno servery s operačním systémem Windows Server 2008 a vyšším a podpora klientů je poskytována operačními systémy Systémy Windows XP SP3 (je třeba povolit nového poskytovatele zabezpečení v registru) a vyšší. Metoda využívá poskytovatele zabezpečení CredSSP (Credential Security Support Provider). Při použití klienta vzdálené plochy pro jiného operační systém- musíte se dozvědět o jeho podpoře NLA.

Výhody NLA:

• Nevyžaduje významné zdroje serveru.
• Další úroveň ochrany proti útokům DoS.
• Urychluje proces zprostředkování mezi klientem a serverem.
• Umožňuje rozšířit technologii NT "single login" pro práci s terminálovým serverem.

Nevýhody NLA:

• Ostatní poskytovatelé zabezpečení nejsou podporováni.
• Nepodporují klientské verze nižší než Windows XP SP3 a serverové verze nižší než Windows Server 2008.
• Požadované manuální nastavení registru každého klienta Windows XP SP3.
• Jako každé schéma „jednoho přihlášení“ je zranitelné vůči krádeži „klíčů k celé pevnosti“.
• Neexistuje žádná možnost použití funkce „Při příštím přihlášení vyžadovat změnu hesla“.