Ja, veidojot savienojumu ar serveri, izmantojat operētājsistēmu Windows XP, var tikt parādīts kļūdas ziņojums: “Attālajam datoram ir nepieciešama tīkla līmeņa autentifikācija, kas šo datoru neatbalstu".

Šī kļūda rodas tāpēc, ka sākotnēji tīkla līmeņa autentifikācija netika ieviesta operētājsistēmā Windows XP, šo iespēju izstrādātāji to ieviesa nākamajās operētājsistēmās. Vēlāk tika izlaists arī atjauninājuma fails KB951608 kas izlaboja šo kļūdu un ļāva Windows XP ieviest tīkla līmeņa autentifikāciju.

Lai varētu izveidot savienojumu ar attālās darbvirsmas serveri no datora, kurā darbojas sistēma Windows XP, jums ir jāinstalē 3. servisa pakotne (SP3) un pēc tam jāveic šādas darbības:

Oficiālajā Microsoft vietnē krievu valodā https://support.microsoft.com/ru-ru/kb/951608 lejupielādējiet automātiskās labošanas failu. Ritiniet lapu uz leju un sadaļā "Palīdzība problēmas risināšanā" noklikšķiniet uz pogas "Lejupielādēt".

Jums ir pieejama arī lapa angļu valodā. https://support.microsoft.com/en-us/kb/951608 kur var lejupielādēt šo failu, sadaļā “Kā ieslēgt CredSSP” noklikšķinot uz pogas “Lejupielādēt”

Kad faila lejupielāde ir pabeigta, palaidiet to izpildei. Pēc palaišanas šo failu Jūs redzēsit programmas logu. Pirmajā darbībā atzīmējiet izvēles rūtiņu “Es piekrītu”. Otrajā darbībā noklikšķiniet uz pogas "Tālāk".

Kad instalēšana būs pabeigta, jūs redzēsit šādu logu ar paziņojumu "Šis Microsoft labojums ir apstrādāts." Viss, kas jums jādara, ir noklikšķiniet uz Aizvērt.

Kad esat noklikšķinājis uz pogas "Aizvērt", programma jums pateiks, ka jums ir jārestartē dators, lai izmaiņas stātos spēkā, noklikšķiniet uz "Jā", lai restartētu.

Atrisiniet problēmu pats, nelejupielādējot failu

Ja jums ir administratīvās prasmes, varat manuāli veikt izmaiņas datora reģistrā, nelejupielādējot ielāpa failu.

1. Noklikšķiniet uz pogas Sākt, atlasiet vienumu Skrien, ievadiet komandu regedit un nospiediet taustiņu Ievadiet

Pēc atjauninājuma KB4103718 instalēšanas manā Windows 7 datorā nevaru izveidot attālu savienojumu ar serveri. Windows Server 2012 R2, izmantojot RDP attālo darbvirsmu. Kad esmu norādījis RDP servera adresi mstsc.exe klienta logā un noklikšķinājis uz "Savienot", tiek parādīta kļūda:

Attālās darbvirsmas savienojums

Radās autentifikācijas kļūda.

Norādītā funkcija nav atbalstīts.
Attālais dators: datora nosaukums

Kad es atinstalēju atjauninājumu KB4103718 un restartēju datoru, RDP savienojums sāka darboties labi. Ja es pareizi saprotu, tas ir tikai pagaidu risinājums nākammēnes vai ieradīsies jauna kumulatīvā atjauninājuma pakotne un kļūda atgriezīsies? Vai varat kaut ko ieteikt?

Atbilde

Jums ir pilnīga taisnība, ka problēmu atrisināt ir bezjēdzīgi, jo tādējādi jūs pakļaujat savu datoru dažādu ievainojamību izmantošanas riskam, uz kurām attiecas šī atjauninājuma ielāpi.

Jūs neesat viens ar savu problēmu. Šī kļūda var parādīties jebkurā Windows vai Windows Server operētājsistēmā (ne tikai Windows 7). Angļu lietotājiem Windows versijas 10, mēģinot izveidot savienojumu ar RDP/RDS serveri, līdzīga kļūda izskatās šādi:

Radās autentifikācijas kļūda.

Pieprasītā funkcija netiek atbalstīta.

Attālais dators: datora nosaukums

LAP kļūda “Radās autentifikācijas kļūda” var parādīties arī, mēģinot palaist RemoteApp lietojumprogrammas.

Kāpēc tas notiek? Fakts ir tāds, ka jūsu datorā ir jaunākie drošības atjauninājumi (izlaisti pēc 2018. gada maija), kas novērš nopietnu ievainojamību CredSSP (Credential Security Support Provider) protokolā, ko izmanto autentifikācijai RDP serveros (CVE-2018-0886) (iesaku izlasīt raksts). Tomēr tajā RDP/RDS servera pusē, ar kuru izveidojat savienojumu no sava datora, šie atjauninājumi nav instalēti, un RDP piekļuvei ir iespējots NLA (tīkla līmeņa autentifikācijas) protokols. NLA protokols izmanto CredSSP mehānismus, lai iepriekš autentificētu lietotājus, izmantojot TLS/SSL vai Kerberos. Jūsu dators jauno drošības iestatījumu dēļ, ko ieviesa instalētais atjauninājums, vienkārši bloķē savienojumu ar attālais dators, kas izmanto ievainojamu CredSSP versiju.

Ko jūs varat darīt, lai labotu šo kļūdu un izveidotu savienojumu ar savu RDP serveri?

1. Lielākā daļa pareizi veids, kā atrisināt problēmu - uzstādīšana jaunākie atjauninājumi Windows drošība datorā/serverī, ar kuru veidojat savienojumu, izmantojot RDP;
2. Pagaidu metode 1 . Jūs varat atspējot tīkla līmeņa autentifikāciju (NLA) RDP servera pusē (aprakstīts tālāk);
3. Pagaidu metode 2 . Klienta pusē varat atļaut savienojumus ar RDP serveriem ar nedrošu CredSSP versiju, kā aprakstīts iepriekš norādītajā rakstā. Lai to izdarītu, ir jāmaina reģistra atslēga Atļaut EncryptionOracle(REG ADD komanda
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) vai mainiet iestatījumus vietējā politika Šifrēšana Oracle Remediation/ Labot šifrēšanas orākula ievainojamību), iestatot tās vērtību = Neaizsargāts / Atstāt ievainojamību).

   Šis vienīgais ceļš piekļuve attālajam serverim, izmantojot RDP, ja jums nav iespējas pieteikties serverī lokāli (izmantojot ILO konsoli, virtuālā iekārta, mākoņa saskarne utt.). Šajā režīmā varēsiet izveidot savienojumu ar attālo serveri un instalēt drošības atjauninājumus, tādējādi pārejot uz ieteicamo 1. metodi. Pēc servera atjaunināšanas neaizmirstiet atspējot politiku vai atgriezt atslēgas vērtību AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

NLA atspējošana RDP operētājsistēmā Windows

Ja NLA ir iespējota tajā RDP servera pusē, ar kuru veidojat savienojumu, tas nozīmē, ka CredSPP tiek izmantots RDP lietotāja iepriekšējai autentifikācijai. Cilnes sistēmas rekvizītos varat atspējot tīkla līmeņa autentifikāciju Attālā piekļuve (Tālvadības pults) , noņemiet atzīmi no izvēles rūtiņas “Atļaut savienojumu tikai no datoriem, kuros darbojas attālā darbvirsma ar tīkla līmeņa autentifikāciju (ieteicams)” (Windows 10/Windows 8).

Operētājsistēmā Windows 7 šī opcija tiek saukta atšķirīgi. Uz cilnes Attālā piekļuve jums jāizvēlas opcija " Atļaut savienojumus no datoriem, kuros darbojas jebkura attālās darbvirsmas versija (bīstami)/ Atļaut savienojumus no datoriem, kuros darbojas jebkura attālās darbvirsmas versija (mazāk droša)".

Varat arī atspējot tīkla līmeņa autentifikāciju (NLA), izmantojot vietējās grupas politikas redaktoru - gpedit.msc(operētājsistēmā Windows 10 Home var palaist politikas redaktoru gpedit.msc) vai izmantojot domēna politikas pārvaldības konsoli - GPMC.msc. Lai to izdarītu, dodieties uz sadaļu Datora konfigurācija -> Administratīvās veidnes -> KomponentiWindows-> Attālās darbvirsmas pakalpojumi - Attālās darbvirsmas sesijas resursdators -> Drošība(Datora konfigurācija -> Administratīvās veidnes -> Windows komponenti -> Attālās darbvirsmas pakalpojumi - Attālās darbvirsmas sesijas resursdators -> Drošība), izslēgt politika (Pieprasīt lietotāja autentifikāciju attāliem savienojumiem, izmantojot tīkla līmeņa autentifikāciju).

Vajadzīgs arī politikā" Pieprasīt izmantot īpašu drošības līmeni attālie savienojumi izmantojot LAP protokolu» (Attālinātiem (RDP) savienojumiem nepieciešams izmantot īpašu drošības slāni) atlasiet Drošības slāni - LAP.

Lai lietotu jaunos RDP iestatījumus, ir jāatjaunina politikas (gpupdate /force) vai jārestartē dators. Pēc tam jums vajadzētu veiksmīgi izveidot savienojumu ar attālās darbvirsmas serveri.

Serveru drošība un ātrums vienmēr ir bijusi problēma, un ar katru gadu to aktualitāte tikai pieaug. Šī iemesla dēļ Microsoft ir pārgājusi no sākotnējā servera puses autentifikācijas modeļa uz tīkla līmeņa autentifikāciju.

Kāda ir atšķirība starp šiem modeļiem?
Iepriekš, pieslēdzoties termināļa pakalpojumiem, lietotājs izveidoja sesiju ar serveri, caur kuru serveris ielādēja ekrānu, lai ievadītu lietotāja akreditācijas datus. Šī metode patērē servera resursus pat pirms lietotājs ir pārbaudījis to likumību, ļaujot nelegālam lietotājam pilnībā pārslogot servera resursus ar vairākiem pieteikšanās pieprasījumiem. Serveris, kas nespēj apstrādāt šos pieprasījumus, noraida pieprasījumus likumīgiem lietotājiem (DoS uzbrukums).

Tīkla līmeņa autentifikācija (NLA) liek lietotājam ievadīt akreditācijas datus klienta puses dialoglodziņā. Pēc noklusējuma, ja klienta pusē nav tīkla līmeņa autentifikācijas pārbaudes sertifikāta, tad serveris neļaus savienojumu un tas nenotiks. NLA pieprasa klienta datoram sniegt autentifikācijas akreditācijas datus pirms sesijas izveides ar serveri. Šo procesu sauc arī par priekšgala autentifikāciju.

NLA tika ieviesta jau RDP 6.0 un sākotnēji tika atbalstīta Windows Vista. No versijas RDP 6.1 — atbalsta serveri, kuros darbojas operētājsistēma Windows Server 2008 un jaunāka versija, un klientu atbalstu nodrošina operētājsistēmas Windows sistēmas XP SP3 (reģistrā ir jāiespējo jaunais drošības nodrošinātājs) un jaunāka versija. Metode izmanto CredSSP (credential Security Support Provider) drošības nodrošinātāju. Izmantojot attālās darbvirsmas klientu citam operētājsistēma- jums ir nepieciešams uzzināt par tā NLA atbalstu.

NLA priekšrocības:

• Neprasa ievērojamus servera resursus.
• Papildu līmenis aizsardzībai pret DoS uzbrukumiem.
• Paātrina starpniecības procesu starp klientu un serveri.
• Ļauj paplašināt NT "vienotās pieteikšanās" tehnoloģiju darbam ar termināļa serveri.

NLA trūkumi:

• Citi drošības nodrošinātāji netiek atbalstīti.
• Neatbalsta klientu versijas, kas ir vecākas par Windows XP SP3, un servera versijas, kas ir vecākas par Windows Server 2008.
• Obligāti manuāla iestatīšana reģistrs katrā Windows XP SP3 klientā.
• Tāpat kā jebkura “vienas pieteikšanās” shēma, tā ir neaizsargāta pret “visa cietokšņa atslēgu” zādzību.
• Nav iespējams izmantot funkciju "Nākamajā pieteikšanās reizē pieprasīt paroles maiņu".