Ako koristite Windows XP kada se spajate na poslužitelj, možda ćete dobiti pogrešku: "Udaljeno računalo zahtijeva provjeru autentičnosti na razini mreže, što ovo računalo ne podržavaj".

Ova greška nastaje zbog činjenice da inicijalno provjera autentičnosti na mrežnoj razini nije bila implementirana u sustavu Windows XP, ova prilika programeri su ga implementirali u kasnijim operativnim sustavima. Kasnije je objavljena i datoteka ažuriranja KB951608 koji je ispravio ovu pogrešku i omogućio sustavu Windows XP implementaciju provjere autentičnosti na mrežnoj razini.

Kako biste se mogli povezati s poslužiteljem udaljene radne površine sa svog računala s operativnim sustavom Windows XP, trebate instalirati servisni paket 3 (SP3), a zatim učiniti sljedeće:

Na službenoj web stranici Microsofta na ruskoj stranici https://support.microsoft.com/ru-ru/kb/951608 preuzmite datoteku s automatskim popravkom. Pomaknite se prema dolje na stranici i kliknite gumb "Preuzmi" u odjeljku "Pomoć u rješavanju problema".

Dostupna vam je i stranica na engleskom jeziku. https://support.microsoft.com/en-us/kb/951608 gdje možete preuzeti ovu datoteku klikom na gumb "Preuzmi" u odjeljku "Kako uključiti CredSSP"

Nakon završetka preuzimanja datoteke, pokrenite je za izvršenje. Nakon lansiranja ovu datoteku Vidjet ćete prozor programa. U prvom koraku označite kućicu "Prihvaćam". U drugom koraku kliknite gumb "Dalje".

Kada instalacija završi, vidjet ćete sljedeći prozor s obavijesti "Ovaj Microsoftov popravak je obrađen." Sve što trebate učiniti je kliknuti "Zatvori".

Nakon što kliknete gumb "Zatvori", program će vam reći da morate ponovno pokrenuti računalo kako bi promjene stupile na snagu, kliknite "Da" za ponovno pokretanje.

Riješite problem sami bez preuzimanja datoteke

Ako imate administrativne vještine, možete ručno unijeti promjene u registar računala bez potrebe za preuzimanjem datoteke zakrpe.

1. Pritisnite gumb Početak, odaberite stavku Trčanje, unesite naredbu regedit i pritisnite tipku Unesi

Nakon instaliranja ažuriranja KB4103718 na moje računalo sa sustavom Windows 7, ne mogu se daljinski povezati s poslužiteljem. Windows poslužitelj 2012 R2 putem RDP udaljene radne površine. Nakon što navedem adresu RDP poslužitelja u prozoru klijenta mstsc.exe i kliknem "Poveži", pojavljuje se pogreška:

Veza s udaljenom radnom površinom

Došlo je do greške pri autentifikaciji.

Navedena funkcija Nije podržano.
Udaljeno računalo: naziv računala

Nakon što sam deinstalirao ažuriranje KB4103718 i ponovno pokrenuo računalo, RDP veza počela je dobro funkcionirati. Ako sam dobro shvatio, ovo je samo privremeno rješenje, u sljedeći mjesec hoće li stići novi kumulativni paket ažuriranja i pogreška će se vratiti? Možete li nešto preporučiti?

Odgovor

Potpuno ste u pravu da je besmisleno rješavati problem, jer time svoje računalo izlažete riziku od iskorištavanja raznih ranjivosti koje su pokrivene zakrpama u ovom ažuriranju.

Niste sami u svom problemu. Ova se pogreška može pojaviti na bilo kojem operacijskom sustavu Windows ili Windows Server (ne samo Windows 7). Za korisnike engleskog jezika Windows verzije 10, prilikom pokušaja spajanja na RDP/RDS poslužitelj, slična pogreška izgleda ovako:

Došlo je do greške pri autentifikaciji.

Tražena funkcija nije podržana.

Udaljeno računalo: naziv računala

RDP pogreška "Došlo je do pogreške pri autentifikaciji" također se može pojaviti prilikom pokušaja pokretanja RemoteApp aplikacija.

Zašto se ovo događa? Činjenica je da vaše računalo ima najnovija sigurnosna ažuriranja (objavljena nakon svibnja 2018.), koja ispravljaju ozbiljnu ranjivost u protokolu CredSSP (Credential Security Support Provider) koji se koristi za autentifikaciju na RDP poslužiteljima (CVE-2018-0886) (preporučam da pročitate članak). Međutim, na strani RDP / RDS poslužitelja na koji se povezujete sa svog računala, ove nadogradnje nisu instalirane, a NLA (Network Level Authentication) protokol je omogućen za RDP pristup. NLA protokol koristi mehanizme CredSSP za prethodnu autentifikaciju korisnika putem TLS/SSL-a ili Kerberosa. Vaše računalo, zbog novih sigurnosnih postavki uvedenih ažuriranjem koje ste instalirali, jednostavno blokira vezu s udaljeno računalo, koji koristi ranjivu verziju CredSSP-a.

Što možete učiniti da popravite ovu pogrešku i povežete se sa svojim RDP poslužiteljem?

1. Najviše ispraviti način rješavanja problema - instalacija najnovija ažuriranja Windows sigurnost na računalu/poslužitelju s kojim se povezujete putem RDP-a;
2. Privremena metoda 1 . Možete onemogućiti mrežnu provjeru autentičnosti (NLA) na strani RDP poslužitelja (opisano u nastavku);
3. Privremena metoda 2 . Na strani klijenta možete dopustiti veze s RDP poslužiteljima s nesigurnom verzijom CredSSP-a, kao što je opisano u članku s gornjom vezom. Da biste to učinili, morate promijeniti ključ registra AllowEncryptionOracle(REG ADD naredba
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) ili promijenite postavke lokalna politika Enkripcija Oracle Remediation/ Popravi ranjivost enkripcije Oracle), postavljanje njegove vrijednosti = Ranjivo / Ostavi ranjivost).

   Ovaj jedini način pristup udaljenom poslužitelju putem RDP-a, ako nemate mogućnost lokalne prijave na poslužitelj (putem ILO konzole, virtualni stroj, sučelje oblaka itd.). U ovom načinu rada moći ćete se spojiti na udaljeni poslužitelj i instalirati sigurnosna ažuriranja, čime prelazite na preporučenu metodu 1. Nakon ažuriranja poslužitelja, ne zaboravite onemogućiti pravilo ili vratiti vrijednost ključa AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Onemogućavanje NLA za RDP u sustavu Windows

Ako je NLA omogućen na strani RDP poslužitelja na koji se povezujete, to znači da se CredSPP koristi za prethodnu provjeru autentičnosti RDP korisnika. Autentifikaciju na mrežnoj razini možete onemogućiti u svojstvima sustava na kartici Udaljeni pristup (Daljinski) , poništavajući potvrdni okvir "Dopusti vezu samo s računala koja koriste udaljenu radnu površinu s provjerom autentičnosti na mrežnoj razini (preporučeno)" (Windows 10 / Windows 8).

U sustavu Windows 7 ova se opcija naziva drugačije. Na kartici Udaljeni pristup trebate odabrati opciju " Dopusti veze s računala koja pokreću bilo koju verziju udaljene radne površine (opasno)/ Dopusti veze s računala s bilo kojom verzijom udaljene radne površine (manje sigurno)".

Također možete onemogućiti Autentifikaciju na mrežnoj razini (NLA) pomoću uređivača pravila lokalne grupe - gpedit.msc(u Windows 10 Home se može pokrenuti uređivač pravila gpedit.msc) ili pomoću konzole za upravljanje politikama domene - GPMC.msc. Da biste to učinili, idite na odjeljak Konfiguracija računala –> Administrativni predlošci –> KomponenteWindows–> Usluge udaljene radne površine – Domaćin sesije udaljene radne površine –> Sigurnost(Konfiguracija računala –> Administrativni predlošci –> Komponente sustava Windows –> Usluge udaljene radne površine – Host sesije udaljene radne površine –> Sigurnost), isključiti pravilo (Zahtijevaj provjeru autentičnosti korisnika za udaljene veze pomoću provjere autentičnosti na mrežnoj razini).

Potreban i u politici" Zahtijevati korištenje posebne sigurnosne razine za daljinske veze preko RDP protokola» (Zahtijeva korištenje specifičnog sigurnosnog sloja za udaljene (RDP) veze) odaberite Sigurnosni sloj - RDP.

Da biste primijenili nove RDP postavke, morate ažurirati pravila (gpupdate /force) ili ponovno pokrenuti računalo. Nakon toga trebali biste se uspješno spojiti na poslužitelj udaljene radne površine.

Sigurnost i brzina poslužitelja oduvijek su bili problem, a svake godine njihova relevantnost samo raste. Zbog toga je Microsoft prešao s izvornog modela provjere autentičnosti na strani poslužitelja na provjeru autentičnosti na mrežnoj razini.

Koja je razlika između ovih modela?
Prethodno, prilikom spajanja na Terminal Services, korisnik je kreirao sesiju s poslužiteljem kroz koju bi ovaj učitao zaslon za unos vjerodajnica za korisnika. Ova metoda troši resurse poslužitelja čak i prije nego što je korisnik potvrdio svoju legitimnost, dopuštajući ilegalnom korisniku da u potpunosti preplavi resurse poslužitelja višestrukim zahtjevima za prijavu. Poslužitelj koji ne može obraditi te zahtjeve odbija zahtjeve legitimnim korisnicima (DoS napad).

Autentikacija na mrežnoj razini (NLA) prisiljava korisnika da unese vjerodajnice u dijaloški okvir na strani klijenta. Prema zadanim postavkama, ako na strani klijenta nema certifikata provjere autentičnosti mrežne razine, tada poslužitelj neće dopustiti vezu i to se neće dogoditi. NLA zahtijeva od klijentskog računala da pruži svoje vjerodajnice za provjeru autentičnosti prije stvaranja sesije s poslužiteljem. Taj se postupak naziva i front-end provjera autentičnosti.

NLA je uveden još u RDP 6.0 i u početku je podržan Windows Vista. Od verzije RDP 6.1 - podržavaju poslužitelji s operacijskim sustavom Windows Server 2008 i novijim, a podršku za klijente pružaju operativni sustavi Windows sustavi XP SP3 (morate omogućiti novog pružatelja sigurnosti u registru) i noviji. Metoda koristi davatelja sigurnosti CredSSP (Credential Security Support Provider). Kada koristite klijent udaljene radne površine za drugog operacijski sustav- morate saznati o njegovoj NLA podršci.

Prednosti NLA:

• Ne zahtijeva značajne resurse poslužitelja.
• Dodatna razina zaštite od DoS napada.
• Ubrzava proces posredovanja između klijenta i poslužitelja.
• Omogućuje proširenje NT tehnologije "jedne prijave" za rad s terminalskim poslužiteljem.

Nedostaci NLA:

• Ostali pružatelji sigurnosti nisu podržani.
• Ne podržavaju verzije klijenata niže od Windows XP SP3 i verzije poslužitelja niže od Windows Server 2008.
• Potreban ručno podešavanje registar na svakom Windows XP SP3 klijentu.
• Kao i svaka shema "jedne prijave", ranjiva je na krađu "ključeva cijele tvrđave".
• Ne postoji opcija za korištenje značajke "Zahtijevaj promjenu lozinke pri sljedećoj prijavi".