Ako koristite Windows XP kada se povezujete na poslužitelj, možda ćete dobiti pogrešku: "Udaljeno računalo zahtijeva provjeru autentičnosti na razini mreže, što ovo računalo ne podržavaj".

Ova greška nastaje zbog činjenice da inicijalno provjera autentičnosti na mrežnoj razini nije bila implementirana u sustavu Windows XP, ova prilika programeri su ga implementirali u kasnijim operativnim sustavima. Kasnije je objavljena i datoteka ažuriranja KB951608 koji je ispravio ovu pogrešku i omogućio sustavu Windows XP implementaciju provjere autentičnosti na mrežnoj razini.

Kako biste se mogli povezati s poslužiteljem udaljene radne površine sa svog računala s operativnim sustavom Windows XP, trebate instalirati servisni paket 3 (SP3), a zatim učiniti sljedeće:

Na službenoj web stranici Microsofta na ruskoj stranici https://support.microsoft.com/ru-ru/kb/951608 preuzmite datoteku s automatskim popravkom. Pomaknite se prema dolje na stranici i kliknite gumb "Preuzmi" u odjeljku "Pomoć u rješavanju problema".

Dostupna vam je i stranica na engleskom jeziku. https://support.microsoft.com/en-us/kb/951608 gdje možete preuzeti ovu datoteku klikom na gumb "Preuzmi" u odjeljku "Kako uključiti CredSSP"

Nakon završetka preuzimanja datoteke, pokrenite je za izvršenje. Nakon lansiranja ovu datoteku Vidjet ćete prozor programa. U prvom koraku označite kućicu "Prihvaćam". U drugom koraku kliknite gumb "Dalje".

Kada instalacija završi, vidjet ćete sljedeći prozor s obavijesti "Ovaj Microsoftov popravak je obrađen." Sve što trebate učiniti je kliknuti "Zatvori".

Nakon što kliknete gumb "Zatvori", program će vam reći da morate ponovno pokrenuti računalo kako bi promjene stupile na snagu, kliknite "Da" za ponovno pokretanje.

Riješite problem sami bez preuzimanja datoteke

Ako imate administrativne vještine, možete ručno unijeti promjene u registar računala bez potrebe za preuzimanjem datoteke zakrpe.

1. Pritisnite gumb Početak, odaberite stavku Trčanje, unesite naredbu regedit i pritisnite tipku Unesi

Sigurnost i brzina poslužitelja oduvijek su bili problem, a svake godine njihova relevantnost samo raste. Zbog toga je Microsoft prešao s izvornog modela provjere autentičnosti na strani poslužitelja na provjeru autentičnosti na mrežnoj razini.

Koja je razlika između ovih modela?
Prethodno, prilikom spajanja na Terminal Services, korisnik je kreirao sesiju s poslužiteljem kroz koju bi ovaj učitao zaslon za unos vjerodajnica za korisnika. Ova metoda troši resurse poslužitelja čak i prije nego što je korisnik potvrdio svoju legitimnost, dopuštajući ilegalnom korisniku da u potpunosti preplavi resurse poslužitelja višestrukim zahtjevima za prijavu. Poslužitelj koji ne može obraditi te zahtjeve odbija zahtjeve legitimnim korisnicima (DoS napad).

Autentikacija na mrežnoj razini (NLA) prisiljava korisnika da unese vjerodajnice u dijaloški okvir na strani klijenta. Prema zadanim postavkama, ako na strani klijenta nema certifikata provjere autentičnosti mrežne razine, tada poslužitelj neće dopustiti vezu i to se neće dogoditi. NLA zahtijeva od klijentskog računala da pruži svoje vjerodajnice za provjeru autentičnosti prije stvaranja sesije s poslužiteljem. Taj se postupak naziva i front-end provjera autentičnosti.

NLA je uveden još u RDP 6.0 i u početku je podržan Windows Vista. Od verzije RDP 6.1 - podržavaju poslužitelji koji pokreću operativni sustav Windows poslužitelj 2008 i novije, a klijentska podrška dostupna je za operativne sustave Windows XP SP3 (morate omogućiti novog pružatelja sigurnosti u registru) i novije. Metoda koristi davatelja sigurnosti CredSSP (Credential Security Support Provider). Kada koristite klijent udaljene radne površine za drugi operativni sustav, trebate saznati o njegovoj NLA podršci.

Prednosti NLA:

• Ne zahtijeva značajne resurse poslužitelja.
• Dodatna razina zaštite od DoS napada.
• Ubrzava proces posredovanja između klijenta i poslužitelja.
• Omogućuje proširenje NT tehnologije "jedne prijave" za rad s terminalskim poslužiteljem.

Nedostaci NLA:

• Ostali pružatelji sigurnosti nisu podržani.
• Ne podržavaju verzije klijenata niže od Windows XP SP3 i verzije poslužitelja niže od Windows Server 2008.
• Potreban ručno podešavanje registar na svakom Windows XP SP3 klijentu.
• Kao i svaka shema "jedne prijave", ranjiva je na krađu "ključeva cijele tvrđave".
• Ne postoji opcija za korištenje značajke "Zahtijevaj promjenu lozinke pri sljedećoj prijavi".

Nakon instaliranja ažuriranja KB4103718 na moje računalo sa sustavom Windows 7, ne mogu se daljinski povezati s poslužiteljem koji pokreće Windows Server 2012 R2 putem RDP-a. Nakon što navedem adresu RDP poslužitelja u prozoru klijenta mstsc.exe i kliknem "Poveži", pojavljuje se pogreška:

Veza s udaljenom radnom površinom

Došlo je do greške pri autentifikaciji.

Navedena funkcija nije podržana.
Udaljeno računalo: naziv računala

Nakon što sam deinstalirao ažuriranje KB4103718 i ponovno pokrenuo računalo, RDP veza počela je dobro funkcionirati. Ako sam dobro shvatio, ovo je samo privremeno rješenje, u sljedeći mjesec hoće li stići novi kumulativni paket ažuriranja i pogreška će se vratiti? Možete li nešto preporučiti?

Odgovor

Potpuno ste u pravu da je besmisleno rješavati problem, jer time svoje računalo izlažete riziku od iskorištavanja raznih ranjivosti koje su pokrivene zakrpama u ovom ažuriranju.

Niste sami u svom problemu. Ova greška se može pojaviti u bilo kojoj operacijskoj sali. Windows sustav ili Windows Server (ne samo Windows 7). Za korisnike engleskog jezika Windows verzije 10, prilikom pokušaja spajanja na RDP/RDS poslužitelj, slična pogreška izgleda ovako:

Došlo je do greške pri autentifikaciji.

Tražena funkcija nije podržana.

Udaljeno računalo: naziv računala

RDP pogreška "Došlo je do pogreške pri autentifikaciji" također se može pojaviti prilikom pokušaja pokretanja RemoteApp aplikacija.

Zašto se ovo događa? Činjenica je da vaše računalo ima najnovija sigurnosna ažuriranja (objavljena nakon svibnja 2018.), koja ispravljaju ozbiljnu ranjivost u protokolu CredSSP (Credential Security Support Provider) koji se koristi za autentifikaciju na RDP poslužiteljima (CVE-2018-0886) (preporučam da pročitate članak). Međutim, na strani RDP / RDS poslužitelja na koji se povezujete sa svog računala, ove nadogradnje nisu instalirane, a NLA (Network Level Authentication) protokol je omogućen za RDP pristup. NLA protokol koristi mehanizme CredSSP za prethodnu autentifikaciju korisnika putem TLS/SSL-a ili Kerberosa. Vaše računalo, zbog novih sigurnosnih postavki uvedenih ažuriranjem koje ste instalirali, jednostavno blokira vezu s udaljeno računalo, koji koristi ranjivu verziju CredSSP-a.

Što možete učiniti da popravite ovu pogrešku i povežete se sa svojim RDP poslužiteljem?

1. Najviše ispraviti način rješavanja problema - instalacija najnovija ažuriranja Windows sigurnost na računalu/poslužitelju s kojim se povezujete putem RDP-a;
2. Privremena metoda 1 . Možete onemogućiti mrežnu provjeru autentičnosti (NLA) na strani RDP poslužitelja (opisano u nastavku);
3. Privremena metoda 2 . Na strani klijenta možete dopustiti veze s RDP poslužiteljima s nesigurnom verzijom CredSSP-a, kao što je opisano u članku s gornjom vezom. Da biste to učinili, morate promijeniti ključ registra AllowEncryptionOracle(REG ADD naredba
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) ili promijenite postavke lokalna politika Enkripcija Oracle Remediation/ Popravi ranjivost enkripcije Oracle), postavljanje njegove vrijednosti = Ranjivo / Ostavi ranjivost).

   Ovaj jedini način pristup udaljenom poslužitelju putem RDP-a, ako nemate mogućnost lokalne prijave na poslužitelj (putem ILO konzole, virtualni stroj, sučelje u oblaku itd.). U ovom načinu rada moći ćete se spojiti na udaljeni poslužitelj i instalirati sigurnosna ažuriranja, čime prelazite na preporučenu metodu 1. Nakon ažuriranja poslužitelja, ne zaboravite onemogućiti pravilo ili vratiti vrijednost ključa AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Onemogućavanje NLA za RDP u sustavu Windows

Ako je NLA omogućen na strani RDP poslužitelja na koji se povezujete, to znači da se CredSPP koristi za prethodnu provjeru autentičnosti RDP korisnika. Autentifikaciju na mrežnoj razini možete onemogućiti u svojstvima sustava na kartici Udaljeni pristup (Daljinski) , poništavajući potvrdni okvir "Dopusti vezu samo s računala koja koriste udaljenu radnu površinu s provjerom autentičnosti na mrežnoj razini (preporučeno)" (Windows 10 / Windows 8).

U sustavu Windows 7 ova se opcija naziva drugačije. Na kartici Udaljeni pristup trebate odabrati opciju " Dopusti veze s računala koja pokreću bilo koju verziju udaljene radne površine (opasno)/ Dopusti veze s računala s bilo kojom verzijom udaljene radne površine (manje sigurno)".

Također možete onemogućiti Autentifikaciju na mrežnoj razini (NLA) pomoću uređivača pravila lokalne grupe - gpedit.msc(u Windows 10 Home se može pokrenuti uređivač pravila gpedit.msc) ili pomoću konzole za upravljanje politikama domene - GPMC.msc. Da biste to učinili, idite na odjeljak Konfiguracija računala –> Administrativni predlošci –> KomponenteWindows–> Usluge udaljene radne površine – Domaćin sesije udaljene radne površine –> Sigurnost(Konfiguracija računala –> Administrativni predlošci –> Komponente sustava Windows –> Usluge udaljene radne površine – Host sesije udaljene radne površine –> Sigurnost), isključiti pravilo (Zahtijevaj provjeru autentičnosti korisnika za udaljene veze pomoću provjere autentičnosti na mrežnoj razini).

Potreban i u politici" Zahtijevati korištenje posebne sigurnosne razine za daljinske veze preko RDP protokola» (Zahtijeva korištenje specifičnog sigurnosnog sloja za udaljene (RDP) veze) odaberite Sigurnosni sloj - RDP.

Da biste primijenili nove RDP postavke, morate ažurirati pravila (gpupdate /force) ili ponovno pokrenuti računalo. Nakon toga trebali biste se uspješno spojiti na poslužitelj udaljene radne površine.

Otvorite uređivač registra.

Grana HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Otvorite parametar Sigurnosni paketi i tamo potražite riječ tspkg. Ako ga nema, dodajte ga postojećim parametrima.

Grana HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Otvorite parametar SecurityProviders i dodajte credssp.dll postojećim pružateljima ako nedostaje.

Zatvorite uređivač registra.

Sada morate ponovno pokrenuti sustav. Ako se to ne učini, računalo će od nas tražiti korisničko ime i lozinku, ali će umjesto udaljene radne površine odgovoriti sljedećim:

To je sve.

Administratori poslužitelja na Temeljen na sustavu Windows 2008 će se možda morati suočiti sa sljedećim problemom:

Spajanje putem rdp protokola na vaš omiljeni poslužitelj sa Windows XP SP3 stanice ne uspijeva sa sljedećom pogreškom:

Udaljena radna površina je onemogućena.

Udaljeno računalo zahtijeva provjeru autentičnosti na mrežnoj razini koju računalo ne podržava. Kontakt za pomoć Administrator sustava ili se obratite tehničkoj podršci.

I iako obećavajući Win7 prijeti da će na kraju zamijeniti svoju baku WinXP, problem će ostati aktualan još godinu ili dvije.

Evo što trebate učiniti da omogućite provjeru autentičnosti mrežnog sloja:

Otvorite uređivač registra.

Podružnica HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Otvorite parametar Sigurnosni paketi i tamo potraži riječ tspkg. Ako ga nema, dodajte ga postojećim parametrima.

Podružnica HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Otvorite parametar Davatelji sigurnosti i dodajte postojećim pružateljima usluga credssp.dll, ako ga nema.

Zatvorite uređivač registra.

Sada morate ponovno pokrenuti sustav. Ako to nije učinjeno, onda kada se pokušamo spojiti, računalo će nas pitati za korisničko ime i lozinku, ali će umjesto udaljene radne površine odgovoriti sa sljedećim:

Veza s udaljenom radnom površinom

Pogreška provjere autentičnosti (kod 0x507)

To je sve.