اگر هنگام اتصال به سرور از Windows XP استفاده می کنید، ممکن است این خطا را دریافت کنید: «رایانه راه دور به تأیید اعتبار در سطح شبکه نیاز دارد، که این کامپیوترحمایت نکنید».

این خطابه دلیل این واقعیت است که در ابتدا احراز هویت در سطح شبکه در ویندوز XP پیاده سازی نشده بود، این فرصتتوسعه دهندگان آن را در سیستم عامل های بعدی پیاده سازی کردند. یک فایل به روز رسانی نیز بعدا منتشر شد KB951608که این خطا را تصحیح کرد و به ویندوز XP اجازه داد تا احراز هویت در سطح شبکه را پیاده سازی کند.

برای اینکه بتوانید از کامپیوتر خود با ویندوز XP به سرور دسکتاپ راه دور متصل شوید، باید Service Pack 3 (SP3) را نصب کنید و سپس موارد زیر را انجام دهید:

در وب سایت رسمی مایکروسافت در صفحه روسی https://support.microsoft.com/ru-ru/kb/951608فایل رفع خودکار را دانلود کنید. صفحه را به پایین اسکرول کنید و روی دکمه «دانلود» در بخش «کمک به حل مشکل» کلیک کنید.

یک صفحه انگلیسی نیز در دسترس شماست. https://support.microsoft.com/en-us/kb/951608از جایی که می توانید این فایل را با کلیک بر روی دکمه "دانلود" در بخش "چگونه CredSSP را روشن کنیم" دانلود کنید.

پس از اتمام دانلود فایل، آن را برای اجرا اجرا کنید. پس از راه اندازی این فایلیک پنجره برنامه را مشاهده خواهید کرد. در مرحله اول، کادر "I Accept" را علامت بزنید. در مرحله دوم روی دکمه Next کلیک کنید

پس از اتمام نصب، پنجره زیر را با اعلان «این مایکروسافت رفع شده است پردازش شده است» را مشاهده خواهید کرد. تنها کاری که باید انجام دهید این است که روی «بستن» کلیک کنید.

پس از کلیک بر روی دکمه "بستن"، برنامه به شما می گوید که برای اعمال تغییرات باید رایانه خود را مجددا راه اندازی کنید، برای راه اندازی مجدد روی "بله" کلیک کنید.

خودتان بدون دانلود فایل مشکل را حل کنید

اگر مهارت‌های مدیریتی دارید، می‌توانید بدون نیاز به دانلود فایل پچ، تغییراتی را در رجیستری رایانه خود به صورت دستی ایجاد کنید.

1. روی دکمه کلیک کنید شروع کنید، مورد را انتخاب کنید اجرا کن، دستور را وارد کنید regeditو کلید را فشار دهید وارد

پس از نصب به روز رسانی KB4103718 بر روی رایانه ویندوز 7 خود، نمی توانم از راه دور به سرور متصل شوم. ویندوز سرور 2012 R2 از طریق دسکتاپ راه دور RDP. بعد از اینکه آدرس سرور RDP را در پنجره مشتری mstsc.exe مشخص کردم و روی "اتصال" کلیک کردم، خطا ظاهر می شود:

اتصال به کامپیوتر از راه دور

یک خطای احراز هویت رخ داد.

عملکرد مشخص شدهپشتیبانی نشده.
کامپیوتر راه دور: نام کامپیوتر

پس از حذف به‌روزرسانی KB4103718 و راه‌اندازی مجدد رایانه، اتصال RDP به خوبی شروع به کار کرد. اگر درست متوجه شده باشم، این فقط یک راه حل موقت است، در ماه آیندهآیا بسته به روز رسانی تجمعی جدید وارد می شود و خطا برمی گردد؟ آیا می توانید چیزی را توصیه کنید؟

پاسخ

کاملاً حق با شماست که حل مشکل بیهوده است، زیرا از این طریق رایانه خود را در معرض خطر سوء استفاده از آسیب پذیری های مختلف قرار می دهید که توسط وصله های این به روز رسانی پوشش داده شده است.

شما در مشکل خود تنها نیستید. این خطا می تواند در هر سیستم عامل ویندوز یا ویندوز سرور (نه تنها ویندوز 7) ظاهر شود. برای کاربران انگلیسی نسخه های ویندوز 10، هنگام تلاش برای اتصال به یک سرور RDP/RDS، یک خطای مشابه به شکل زیر است:

یک خطای احراز هویت رخ داده است.

عملکرد درخواستی پشتیبانی نمی شود.

کامپیوتر راه دور: نام کامپیوتر

خطای RDP "یک خطای احراز هویت رخ داده است" نیز ممکن است هنگام تلاش برای راه اندازی برنامه های RemoteApp ظاهر شود.

چرا این اتفاق می افتد؟ واقعیت این است که رایانه شما دارای آخرین به روز رسانی های امنیتی است (منتشر شده پس از می 2018) که آسیب پذیری جدی در پروتکل CredSSP (Credential Security Support Provider) مورد استفاده برای احراز هویت در سرورهای RDP (CVE-2018-0886) را اصلاح می کند (توصیه می کنم بخوانید. مقاله). با این حال، در سمت سرور RDP / RDS که از رایانه خود به آن متصل می‌شوید، این به‌روزرسانی‌ها نصب نمی‌شوند و پروتکل NLA (تأیید هویت سطح شبکه) برای دسترسی RDP فعال است. پروتکل NLA از مکانیسم های CredSSP برای احراز هویت از قبل از طریق TLS/SSL یا Kerberos استفاده می کند. رایانه شما به دلیل تنظیمات امنیتی جدیدی که توسط به‌روزرسانی نصب شده ارائه شده است، به سادگی اتصال به آن را مسدود می‌کند کامپیوتر از راه دور، که از نسخه آسیب پذیر CredSSP استفاده می کند.

برای رفع این خطا و اتصال به سرور RDP خود چه کاری می توانید انجام دهید؟

1. اکثر درستراه حل مشکل - نصب آخرین به روزرسانی ها امنیت ویندوزدر رایانه/سروری که از طریق RDP به آن متصل می شوید؛
2. روش موقت 1 . می توانید احراز هویت سطح شبکه (NLA) را در سمت سرور RDP غیرفعال کنید (در زیر توضیح داده شده است).
3. روش موقت 2 . همانطور که در مقاله لینک شده در بالا توضیح داده شده است، می توانید در سمت سرویس گیرنده، اجازه اتصال به سرورهای RDP با نسخه ناامن CredSSP را بدهید. برای این کار باید کلید رجیستری را تغییر دهید AllowEncryptionOracle(فرمان REG ADD
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) یا تنظیمات را تغییر دهید سیاست محلی رمزگذاری Oracle Remediation/ رفع آسیب پذیری اوراکل رمزگذاری)، تنظیم مقدار آن = آسیب پذیر / ترک آسیب پذیری).

   این تنها راهدسترسی به یک سرور راه دور از طریق RDP، اگر توانایی ورود به سرور به صورت محلی را ندارید (از طریق کنسول ILO، ماشین مجازی، رابط ابری و غیره). در این حالت شما قادر خواهید بود به یک سرور راه دور متصل شوید و به روز رسانی های امنیتی را نصب کنید، بنابراین به روش پیشنهادی 1 بروید. پس از به روز رسانی سرور، فراموش نکنید که خط مشی را غیرفعال کنید یا مقدار کلید را برگردانید AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle/t/t

غیرفعال کردن NLA برای RDP در ویندوز

اگر NLA در سمت سرور RDP که به آن متصل می شوید فعال باشد، به این معنی است که CredSPP برای احراز هویت از قبل کاربر RDP استفاده می شود. می‌توانید احراز هویت سطح شبکه را در ویژگی‌های سیستم در برگه غیرفعال کنید دسترسی از راه دور (از راه دور) ، علامت کادر "مجاز بودن اتصال فقط از رایانه هایی که از راه دور دسکتاپ با احراز هویت سطح شبکه (توصیه می شود)" (ویندوز 10 / ویندوز 8) را بردارید.

در ویندوز 7 این گزینه به شکل دیگری نامیده می شود. روی زبانه دسترسی از راه دورباید گزینه " را انتخاب کنید اجازه دادن به اتصالات از رایانه‌هایی که از هر نسخه از راه دور دسکتاپ استفاده می‌کنند (خطرناک)/ اجازه دادن به اتصالات از رایانه‌هایی که هر نسخه‌ای از Remote Desktop را اجرا می‌کنند (کمتر ایمن)".

همچنین می‌توانید احراز هویت سطح شبکه (NLA) را با استفاده از ویرایشگر خط‌مشی گروه محلی غیرفعال کنید - gpeditmsc(در Windows 10 Home، ویرایشگر خط مشی gpedit.msc را می توان راه اندازی کرد) یا با استفاده از کنسول مدیریت خط مشی دامنه - GPMC.msc. برای این کار به بخش مراجعه کنید پیکربندی کامپیوتر –> قالب های اداری –> اجزاءپنجره ها–> خدمات دسکتاپ از راه دور – میزبان جلسه دسکتاپ از راه دور –> امنیت(پیکربندی کامپیوتر –> قالب های اداری –> اجزای ویندوز –> خدمات دسکتاپ از راه دور – میزبان جلسه دسکتاپ از راه دور –> امنیت)، خاموش کردنخط مشی (الزام احراز هویت کاربر برای اتصالات راه دور با استفاده از احراز هویت سطح شبکه).

در سیاست هم لازم است نیاز به استفاده از یک سطح امنیتی خاص برای اتصالات از راه دوراز طریق پروتکل RDP» (نیاز به استفاده از لایه امنیتی خاص برای اتصالات از راه دور (RDP)) لایه امنیتی را انتخاب کنید - RDP.

برای اعمال تنظیمات RDP جدید، باید خط‌مشی‌ها را به‌روزرسانی کنید (gpupdate /force) یا رایانه را مجدداً راه‌اندازی کنید. پس از این، باید با موفقیت به سرور دسکتاپ راه دور متصل شوید.

امنیت و سرعت سرورها همیشه یک مشکل بوده است و هر سال ارتباط آنها در حال افزایش است. به همین دلیل، مایکروسافت از مدل اصلی احراز هویت سمت سرور به احراز هویت در سطح شبکه منتقل شده است.

تفاوت این مدل ها چیست؟
قبلاً، هنگام اتصال به ترمینال خدمات، کاربر یک جلسه با سرور ایجاد می کرد که از طریق آن سرور صفحه ای را برای وارد کردن اعتبار برای کاربر بارگذاری می کرد. این روش حتی قبل از اینکه کاربر مشروعیت آنها را تأیید کند، منابع سرور را مصرف می کند و به کاربر غیرقانونی اجازه می دهد تا با چندین درخواست ورود به سیستم، منابع سرور را کاملاً غرق کند. سروری که قادر به پردازش این درخواست‌ها نیست، درخواست‌های کاربران قانونی را رد می‌کند (حمله DoS).

احراز هویت در سطح شبکه (NLA) کاربر را مجبور می کند تا اعتبارنامه ها را در کادر محاوره ای سمت کلاینت وارد کند. به‌طور پیش‌فرض، اگر در سمت کلاینت گواهی تأیید اعتبار سطح شبکه وجود نداشته باشد، سرور اجازه اتصال را نخواهد داد و این اتفاق نخواهد افتاد. NLA از رایانه سرویس گیرنده درخواست می کند تا قبل از ایجاد جلسه با سرور، اعتبار احراز هویت خود را ارائه دهد. به این فرآیند احراز هویت front-end نیز گفته می شود.

NLA دوباره در RDP 6.0 معرفی شد و در ابتدا پشتیبانی شد ویندوز ویستا. از نسخه RDP 6.1 - توسط سرورهایی که سیستم عامل ویندوز سرور 2008 و بالاتر را اجرا می کنند، پشتیبانی می شود و پشتیبانی مشتری توسط سیستم عامل ها ارائه می شود سیستم های ویندوز XP SP3 (شما باید ارائه دهنده امنیتی جدید را در رجیستری فعال کنید) و بالاتر. این روش از ارائه دهنده امنیتی CredSSP (Credential Security Support Provider) استفاده می کند. هنگام استفاده از کلاینت دسکتاپ راه دور برای دیگری سیستم عامل- باید در مورد پشتیبانی NLA آن اطلاعات کسب کنید.

مزایای NLA:

• به منابع سرور قابل توجهی نیاز ندارد.
• سطح اضافی برای محافظت در برابر حملات DoS.
• روند میانجیگری بین مشتری و سرور را سرعت می بخشد.
• به شما امکان می دهد فناوری NT "single login" را برای کار با یک سرور ترمینال گسترش دهید.

معایب NLA:

• سایر ارائه دهندگان امنیتی پشتیبانی نمی شوند.
• توسط نسخه های سرویس گیرنده پایین تر از Windows XP SP3 و نسخه های سرور پایین تر از Windows Server 2008 پشتیبانی نمی شود.
• ضروری تنظیم دستیرجیستری در هر سرویس گیرنده ویندوز XP SP3.
• مانند هر طرح «ورود واحد»، در برابر سرقت «کلیدهای کل قلعه» آسیب پذیر است.
• هیچ گزینه ای برای استفاده از ویژگی "نیاز به تغییر رمز عبور در ورود بعدی" وجود ندارد.