Хэрэв та серверт холбогдохдоо Windows XP ашиглаж байгаа бол "Алсын компьютер сүлжээний түвшний баталгаажуулалтыг шаарддаг. энэ компьютердэмжихгүй байна."

Энэ алдаа Windows XP дээр сүлжээний түвшний нэвтрэлт танилтыг хэрэгжүүлээгүйгээс үүссэн. энэ боломжхөгжүүлэгчид үүнийг дараагийн үйлдлийн системүүдэд хэрэгжүүлсэн. Дараа нь шинэчлэлтийн файл гарсан KB951608Энэ алдааг засч, Windows XP-г сүлжээний түвшний баталгаажуулалтыг хэрэгжүүлэх боломжийг олгосон.

Windows XP үйлдлийн системтэй компьютерээсээ алсын ширээний серверт холбогдохын тулд та Service Pack 3 (SP3) суулгаж, дараа нь дараах зүйлийг хийх хэрэгтэй.

Майкрософт компанийн албан ёсны вэбсайт дээрх орос хуудсан дээр https://support.microsoft.com/ru-ru/kb/951608автоматаар засах файлыг татаж авах. Хуудсыг доош гүйлгээд "Асуудлыг шийдвэрлэхэд туслах" хэсэгт байрлах "Татаж авах" товчийг дарна уу.

Мөн танд англи хэлний хуудас бэлэн байна. https://support.microsoft.com/en-us/kb/951608"CredSSP-г хэрхэн асаах вэ" хэсгийн "Татаж авах" товчийг дарж энэ файлыг татаж авах боломжтой.

Файлыг татаж дууссаны дараа түүнийг ажиллуулахаар ажиллуулна уу. Эхлүүлсний дараа энэ файлТа програмын цонхыг харах болно. Эхний алхамд "Би зөвшөөрч байна" гэсэн нүдийг чагтална уу. Хоёр дахь шатанд "Дараах" товчийг дарна уу

Суулгаж дууссаны дараа та "Энэ Microsoft засварыг боловсруулсан байна" гэсэн мэдэгдэл бүхий дараах цонхыг харах болно. Та "Хаах" дээр дарахад л хангалттай.

"Хаах" товчийг дарсны дараа програм нь өөрчлөлтүүд хүчин төгөлдөр болохын тулд компьютераа дахин асаах шаардлагатайг хэлэх бөгөөд "Тийм" дээр дарж дахин асаана уу.

Файл татахгүйгээр өөрөө асуудлаа шийдээрэй

Хэрэв та удирдлагын ур чадвартай бол засварын файлыг татаж авахгүйгээр компьютерийнхээ бүртгэлд гараар өөрчлөлт оруулах боломжтой.

1. Товчлуур дээр дарна уу Эхлэх, зүйлийг сонгоно уу Гүй, командыг оруулна уу regeditболон товчлуурыг дар Оруулна уу

Windows 7 компьютер дээрээ KB4103718 шинэчлэлтийг суулгасны дараа би серверт алсаас холбогдож чадахгүй байна. Windows сервер RDP алсын ширээний компьютерээр дамжуулан 2012 R2. Би mstsc.exe клиентийн цонхонд RDP серверийн хаягийг зааж өгсний дараа "Холбох" дээр дарсны дараа алдаа гарч ирнэ:

Алсын ширээний холболт

Баталгаажуулалтын алдаа гарлаа.

Тодорхойлогдсон функцдэмжихгүй байна.
Алсын компьютер: компьютерийн нэр

Би KB4103718 шинэчлэлтийг устгаад компьютераа дахин ачаалсны дараа RDP холболт хэвийн ажиллаж эхэлсэн. Хэрэв би зөв ойлгосон бол энэ нь зөвхөн түр зуурын шийдэл юм дараа сарШинэ хуримтлагдсан шинэчлэлтийн багц ирэх бөгөөд алдаа буцаж ирэх үү? Та ямар нэг зүйл санал болгож чадах уу?

Хариулт

Асуудлыг шийдэх нь утгагүй гэдэгт та туйлын зөв байна, учир нь та энэ шинэчлэлтийн засваруудаар хаагдсан янз бүрийн сул талуудыг ашиглах эрсдэлд таны компьютерт өртөх болно.

Та асуудалдаа ганцаараа биш. Энэ алдаа нь ямар ч Windows эсвэл Windows Server үйлдлийн систем (зөвхөн Windows 7 биш) дээр гарч болно. Англи хэрэглэгчдэд зориулсан Windows хувилбарууд 10, RDP/RDS серверт холбогдохыг оролдох үед үүнтэй төстэй алдаа дараах байдалтай байна.

Баталгаажуулалтын алдаа гарлаа.

Хүссэн функц дэмжигдээгүй байна.

Алсын компьютер: компьютерийн нэр

RemoteApp програмуудыг эхлүүлэхийг оролдох үед "Баталгаажуулалтын алдаа гарлаа" RDP алдаа гарч болзошгүй.

Яагаад ийм зүйл болж байна вэ? Таны компьютер хамгийн сүүлийн үеийн аюулгүй байдлын шинэчлэлтүүдтэй (2018 оны 5-р сарын дараа гарсан) бөгөөд энэ нь RDP серверүүд (CVE-2018-0886) дээр нэвтрэлт танилт хийхэд ашигладаг CredSSP (Итгэмжлэлийн аюулгүй байдлын дэмжлэг үзүүлэх үйлчилгээ үзүүлэгч) протокол дахь ноцтой эмзэг байдлыг засч залруулдаг (би уншихыг зөвлөж байна. нийтлэл). Гэсэн хэдий ч таны компьютерээс холбогдсон RDP / RDS серверийн талд эдгээр шинэчлэлтүүд суулгаагүй бөгөөд RDP хандалтад NLA (Сүлжээний түвшний баталгаажуулалт) протокол идэвхжсэн байна. NLA протокол нь TLS/SSL эсвэл Kerberos-ээр дамжуулан хэрэглэгчдийг урьдчилан баталгаажуулахын тулд CredSSP механизмуудыг ашигладаг. Таны суулгасан шинэчлэлтийн аюулгүй байдлын шинэ тохиргооны улмаас таны компьютер холболтыг блоклодог алсын компьютер, CredSSP-ийн эмзэг хувилбарыг ашигладаг.

Та энэ алдааг засч, RDP сервертээ холбогдохын тулд юу хийж чадах вэ?

1. Ихэнх зөвАсуудлыг шийдэх арга - суурилуулалт хамгийн сүүлийн үеийн шинэчлэлтүүд Windows аюулгүй байдал RDP-ээр холбогдож байгаа компьютер/сервер дээр;
2. Түр зуурын арга 1 . Та RDP сервер талд (доор тайлбарласан) Сүлжээний түвшний баталгаажуулалтыг (NLA) идэвхгүй болгож болно;
3. Түр зуурын арга 2 . Та үйлчлүүлэгчийн талаас дээр дурдсан нийтлэлд тайлбарласны дагуу CredSSP-ийн аюулгүй хувилбар бүхий RDP серверүүдтэй холбогдохыг зөвшөөрч болно. Үүнийг хийхийн тулд та бүртгэлийн түлхүүрийг өөрчлөх хэрэгтэй EncryptionOracle-г зөвшөөрөх(REG ADD команд
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) эсвэл тохиргоог өөрчлөх орон нутгийн улс төр Шифрлэлт Oracle Remediation/ Шифрлэлтийн oracle эмзэг байдлыг засах), түүний утгыг тохируулах = Эмзэг / Эмзэг байдлыг үлдээх).

   Энэ цорын ганц арга замХэрэв та серверт дотооддоо нэвтрэх боломжгүй бол RDP-ээр дамжуулан алсын серверт хандах боломжтой (ОУХБ-ын консолоор дамжуулан, виртуал машин, үүлэн интерфейс гэх мэт). Энэ горимд та алсын серверт холбогдож, аюулгүй байдлын шинэчлэлтүүдийг суулгах боломжтой бөгөөд ингэснээр санал болгож буй арга 1 рүү шилжинэ. Серверийг шинэчилсний дараа бодлогыг идэвхгүй болгох эсвэл AllowEncryptionOracle = 0 түлхүүр утгыг буцаахаа бүү мартаарай: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d0

Windows дээрх RDP-д зориулсан NLA-г идэвхгүй болгож байна

Хэрэв таны холбогдож байгаа RDP серверийн талд NLA идэвхжсэн бол энэ нь CredSPP-г RDP хэрэглэгчийг урьдчилан баталгаажуулахад ашигладаг гэсэн үг юм. Та таб дээрх системийн шинж чанаруудаас Сүлжээний түвшний баталгаажуулалтыг идэвхгүй болгож болно Алсын хандалт (Алсын удирдлага) , "Зөвхөн Сүлжээний түвшний баталгаажуулалт бүхий алсын ширээний компьютерт холбогдохыг зөвшөөрөх (зөвлөдөг)" гэсэн нүдийг сонговол (Windows 10 / Windows 8).

Windows 7-д энэ сонголтыг өөрөөр нэрлэдэг. Таб дээр Алсын хандалтта сонголтыг сонгох хэрэгтэй " Remote Desktop-ын аль ч хувилбарыг ажиллуулж байгаа компьютеруудын холболтыг зөвшөөрөх (аюултай)/ Remote Desktop-ын аль ч хувилбарыг ажиллуулж байгаа компьютеруудын холболтыг зөвшөөрөх (хамгаалалт багатай)".

Та мөн Орон нутгийн бүлгийн бодлогын засварлагчийг ашиглан сүлжээний түвшний баталгаажуулалтыг (NLA) идэвхгүй болгож болно. gpedit.msc(Windows 10 Home дээр gpedit.msc бодлогын засварлагчийг ажиллуулж болно) эсвэл домэйн бодлогын удирдлагын консол - GPMC.msc ашиглан. Үүнийг хийхийн тулд хэсэг рүү очно уу Компьютерийн тохиргоо -> Захиргааны загварууд -> Бүрэлдэхүүн хэсгүүдWindows–> Remote Desktop Services – Remote Desktop Session Host –> Security(Компьютерийн тохиргоо -> Захиргааны загварууд -> Windows бүрэлдэхүүн хэсгүүд -> Алсын ширээний үйлчилгээ - Алсын ширээний сесс хост -> Аюулгүй байдал), хаахбодлого (Сүлжээний түвшний баталгаажуулалтыг ашиглан алсын холболтод хэрэглэгчийн нэвтрэлт танилтыг шаардах).

Улс төрд ч бас хэрэгтэй" Аюулгүй байдлын тусгай түвшинг ашиглахыг шаарддаг алсын холболтууд RDP протоколоор дамжуулан» (Алсын (RDP) холболтуудад тусгай хамгаалалтын давхаргыг ашиглахыг шаардах) Аюулгүй байдлын давхаргыг сонгоно уу - RDP.

Шинэ RDP тохиргоог хэрэгжүүлэхийн тулд та бодлогыг шинэчлэх (gpupdate /force) эсвэл компьютерээ дахин эхлүүлэх хэрэгтэй. Үүний дараа та алсын ширээний серверт амжилттай холбогдох хэрэгтэй.

Серверүүдийн аюулгүй байдал, хурд нь үргэлж асуудал байсаар ирсэн бөгөөд жил бүр тэдний хамаарал улам бүр нэмэгдсээр байна. Үүний улмаас Майкрософт сервер талын баталгаажуулалтын анхны загвараас сүлжээний түвшний баталгаажуулалт руу шилжсэн.

Эдгээр загваруудын хооронд ямар ялгаа байдаг вэ?
Өмнө нь Терминал үйлчилгээнд холбогдох үед хэрэглэгч сервертэй сесс үүсгэсэн бөгөөд үүгээр дамжуулан сервер нь хэрэглэгчийн итгэмжлэлийг оруулах дэлгэцийг ачаалдаг байв. Энэ арга нь хэрэглэгч өөрийн хууль ёсны эсэхийг баталгаажуулахаас өмнө серверийн нөөцийг зарцуулж, хууль бус хэрэглэгч олон нэвтрэх хүсэлтээр серверийн нөөцийг бүрэн дарах боломжийг олгодог. Эдгээр хүсэлтийг боловсруулах боломжгүй сервер нь хууль ёсны хэрэглэгчдийн хүсэлтийг үгүйсгэдэг (DoS халдлага).

Сүлжээний түвшний баталгаажуулалт (NLA) нь хэрэглэгчийг үйлчлүүлэгчийн харилцах цонхонд итгэмжлэл оруулахыг шаарддаг. Анхдагч байдлаар, хэрэв үйлчлүүлэгч тал дээр сүлжээний түвшний баталгаажуулалтын гэрчилгээ байхгүй бол сервер холболтыг зөвшөөрөхгүй бөгөөд энэ нь болохгүй. NLA нь сервертэй сесс үүсгэхээс өмнө үйлчлүүлэгчийн компьютерээс баталгаажуулалтын итгэмжлэлээ өгөхийг хүсдэг. Энэ процессыг мөн урд талын нэвтрэлт танилт гэж нэрлэдэг.

NLA-г RDP 6.0-д буцааж нэвтрүүлсэн бөгөөд эхэндээ дэмжигдсэн Windows Vista. RDP 6.1 хувилбараас - Windows Server 2008 үйлдлийн систем болон түүнээс дээш хувилбарыг ажиллуулж буй серверүүд дэмжигддэг бөгөөд үйлчлүүлэгчийн дэмжлэгийг үйлдлийн системүүдээр хангадаг. Windows системүүд XP SP3 (та бүртгэлд шинэ аюулгүй байдлын үйлчилгээ үзүүлэгчийг идэвхжүүлэх шаардлагатай) ба түүнээс дээш. Энэ арга нь CredSSP (Credential Security Support Provider) аюулгүй байдлын үйлчилгээ үзүүлэгчийг ашигладаг. Алсын ширээний клиентийг өөр зориулалтаар ашиглах үед үйлдлийн систем- Та түүний NLA дэмжлэгийн талаар олж мэдэх хэрэгтэй.

NLA-ийн давуу талууд:

• Их хэмжээний серверийн нөөц шаарддаггүй.
• DoS халдлагаас хамгаалах нэмэлт түвшин.
• Үйлчлүүлэгч болон серверийн хоорондох зуучлалын үйл явцыг хурдасгадаг.
• Терминал сервертэй ажиллахын тулд NT "нэг нэвтрэх" технологийг өргөтгөх боломжийг танд олгоно.

NLA-ийн сул талууд:

• Бусад аюулгүй байдлын үйлчилгээ үзүүлэгчийг дэмждэггүй.
• Windows XP SP3-ээс доогуур үйлчлүүлэгчийн хувилбарууд болон Windows Server 2008-ээс доогуур серверийн хувилбарууд дэмжигддэггүй.
• Шаардлагатай гарын авлагын тохиргоо Windows XP SP3 клиент бүрийн бүртгэл.
• Аливаа "нэг нэвтрэх" схемийн нэгэн адил энэ нь "бүх цайзын түлхүүр" хулгайд өртөмтгий байдаг.
• "Дараагийн нэвтрэх үед нууц үг солихыг шаардах" функцийг ашиглах сонголт байхгүй.