Ak pri pripájaní k serveru používate systém Windows XP, môže sa zobraziť chyba: „Vzdialený počítač vyžaduje overenie na úrovni siete, tento počítač nepodporovať“.

Táto chyba vzniká v dôsledku skutočnosti, že pôvodne overovanie na úrovni siete nebolo implementované v systéme Windows XP, túto príležitosť vývojári ho implementovali do nasledujúcich operačných systémov. Neskôr bol vydaný aj aktualizačný súbor KB951608 ktorý túto chybu opravil a umožnil systému Windows XP implementovať autentifikáciu na úrovni siete.

Aby ste sa mohli pripojiť k serveru vzdialenej pracovnej plochy z počítača so systémom Windows XP, musíte nainštalovať balík Service Pack 3 (SP3) a potom vykonať nasledujúce kroky:

Na oficiálnej webovej stránke spoločnosti Microsoft na ruskej stránke https://support.microsoft.com/ru-ru/kb/951608 stiahnite si súbor automatickej opravy. Posuňte stránku nadol a kliknite na tlačidlo „Stiahnuť“ v časti „Pomoc pri riešení problému“.

K dispozícii je vám aj anglická stránka. https://support.microsoft.com/en-us/kb/951608 kde si môžete tento súbor stiahnuť kliknutím na tlačidlo „Stiahnuť“ v časti „Ako zapnúť CredSSP“

Po dokončení sťahovania spustite súbor na vykonanie. Po spustení tento súbor Uvidíte okno programu. V prvom kroku začiarknite políčko „Súhlasím“. V druhom kroku kliknite na tlačidlo „Ďalej“.

Po dokončení inštalácie sa zobrazí nasledujúce okno s upozornením „Táto oprava od spoločnosti Microsoft bola spracovaná.“ Jediné, čo musíte urobiť, je kliknúť na „Zavrieť“.

Po kliknutí na tlačidlo „Zavrieť“ vám program oznámi, že je potrebné reštartovať počítač, aby sa zmeny prejavili, kliknutím na „Áno“ reštartujte.

Vyriešte problém sami bez sťahovania súboru

Ak máte administratívne zručnosti, môžete vykonať zmeny v registri počítača manuálne bez toho, aby ste museli sťahovať opravný súbor.

1. Kliknite na tlačidlo Štart, vybrať položku Bežať, zadajte príkaz regedit a stlačte kláves Zadajte

Bezpečnosť a rýchlosť serverov boli vždy problémom a ich relevantnosť každým rokom len rastie. Z tohto dôvodu spoločnosť Microsoft prešla z pôvodného modelu autentifikácie na strane servera na autentifikáciu na úrovni siete.

Aký je rozdiel medzi týmito modelmi?
Predtým pri pripájaní k terminálovým službám používateľ vytvoril reláciu so serverom, cez ktorú server načítal obrazovku na zadanie poverení pre používateľa. Táto metóda spotrebováva zdroje servera ešte predtým, ako používateľ overí ich legitimitu, čo umožňuje nelegálnemu používateľovi úplne zahltiť zdroje servera viacerými žiadosťami o prihlásenie. Server, ktorý nie je schopný spracovať tieto požiadavky, zamietne požiadavky legitímnym používateľom (útok DoS).

Autentifikácia na úrovni siete (NLA) núti používateľa zadávať poverenia do dialógového okna na strane klienta. V predvolenom nastavení, ak na strane klienta neexistuje žiadny certifikát overenia overenia na úrovni siete, server spojenie nepovolí a nestane sa tak. NLA požaduje, aby klientsky počítač poskytol svoje overovacie poverenia pred vytvorením relácie so serverom. Tento proces sa tiež nazýva front-end autentifikácia.

NLA bol predstavený späť v RDP 6.0 a bol spočiatku podporovaný Windows Vista. Od verzie RDP 6.1 - podporované servermi s operačným systémom Windows Server 2008 a vyššie a podpora klienta je poskytovaná pre operačné systémy Windows XP SP3 (musíte povoliť nového poskytovateľa zabezpečenia v registri) a vyššie. Metóda využíva poskytovateľa zabezpečenia CredSSP (Credential Security Support Provider). Ak používate klienta vzdialenej plochy pre iný operačný systém, musíte sa informovať o jeho podpore NLA.

Výhody NLA:

• Nevyžaduje značné zdroje servera.
• Ďalšia úroveň ochrany pred útokmi DoS.
• Urýchľuje proces sprostredkovania medzi klientom a serverom.
• Umožňuje rozšíriť technológiu NT "jednotného prihlásenia" na prácu s terminálovým serverom.

Nevýhody NLA:

• Iní poskytovatelia zabezpečenia nie sú podporovaní.
• Nie je podporované verziami klientov nižšími ako Windows XP SP3 a serverovými verziami nižšími ako Windows Server 2008.
• Požadovaný manuálne nastavenie registra na každom klientovi Windows XP SP3.
• Ako každá schéma „jednotného prihlásenia“ je zraniteľná voči krádeži „kľúčov od celej pevnosti“.
• Neexistuje žiadna možnosť použiť funkciu „Vyžadovať zmenu hesla pri ďalšom prihlásení“.

Po nainštalovaní aktualizácie KB4103718 na môj počítač so systémom Windows 7 sa nemôžem vzdialene pripojiť k serveru so systémom Windows Server 2012 R2 prostredníctvom protokolu RDP. Po zadaní adresy servera RDP v okne klienta mstsc.exe a kliknutí na tlačidlo „Pripojiť“ sa zobrazí chyba:

Pripojenie vzdialenej pracovnej plochy

Vyskytla sa chyba overenia.

Zadaná funkcia nie je podporovaná.
Vzdialený počítač: názov počítača

Po odinštalovaní aktualizácie KB4103718 a reštartovaní počítača začalo pripojenie RDP fungovať dobre. Ak tomu dobre rozumiem, ide len o dočasné riešenie ďalší mesiac príde nový balík kumulatívnej aktualizácie a chyba sa vráti? Viete niečo odporučiť?

Odpoveď

Máte úplnú pravdu, že je zbytočné problém riešiť, pretože tým vystavujete svoj počítač riziku zneužitia rôznych zraniteľností, ktoré sú kryté záplatami v tejto aktualizácii.

Vo svojom probléme nie ste sami. Táto chyba sa môže objaviť na ktorejkoľvek operačnej sále. systém Windows alebo Windows Server (nielen Windows 7). Pre používateľov angličtiny Verzie systému Windows 10, pri pokuse o pripojenie k serveru RDP/RDS podobná chyba vyzerá takto:

Vyskytla sa chyba overenia.

Požadovaná funkcia nie je podporovaná.

Vzdialený počítač: názov počítača

Chyba RDP „Vyskytla sa chyba overenia“ sa môže objaviť aj pri pokuse o spustenie aplikácií RemoteApp.

Prečo sa to deje? Faktom je, že váš počítač má najnovšie bezpečnostné aktualizácie (vydané po máji 2018), ktoré opravujú vážnu zraniteľnosť v protokole CredSSP (Credential Security Support Provider) používanom na autentifikáciu na serveroch RDP (CVE-2018-0886) (odporúčam prečítať článok). Na strane servera RDP / RDS, ku ktorému sa pripájate z počítača, však tieto aktualizácie nie sú nainštalované a pre prístup RDP je povolený protokol NLA (Network Level Authentication). Protokol NLA využíva mechanizmy CredSSP na predbežnú autentifikáciu používateľov prostredníctvom protokolu TLS/SSL alebo Kerberos. Váš počítač kvôli novým nastaveniam zabezpečenia zavedeným aktualizáciou, ktorú ste nainštalovali, jednoducho zablokuje pripojenie k vzdialený počítač, ktorý používa zraniteľnú verziu CredSSP.

Čo môžete urobiť na odstránenie tejto chyby a pripojenie k serveru RDP?

1. Väčšina správne spôsob riešenia problému - inštalácia najnovšie aktualizácie Zabezpečenie systému Windows na počítači/serveri, ku ktorému sa pripájate cez RDP;
2. Dočasný spôsob 1 . Môžete zakázať overenie na úrovni siete (NLA) na strane servera RDP (popísané nižšie);
3. Dočasný spôsob 2 . Na strane klienta môžete povoliť pripojenia k serverom RDP s nezabezpečenou verziou CredSSP, ako je popísané v článku prepojenom vyššie. Ak to chcete urobiť, musíte zmeniť kľúč databázy Registry AllowEncryptionOracle(príkaz REG ADD
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) alebo zmeňte nastavenia miestnej politike Šifrovanie Oracle Remediation/ Opravte zraniteľnosť šifrovania oracle), nastavenie jej hodnoty = Zraniteľné / Ponechajte zraniteľnosť).

   Toto jediná cesta prístup na vzdialený server cez RDP, ak nemáte možnosť prihlásiť sa na server lokálne (cez konzolu ILO, virtuálny prístroj, cloudové rozhranie atď.). V tomto režime sa budete môcť pripojiť k vzdialenému serveru a nainštalovať aktualizácie zabezpečenia, čím prejdete na odporúčaný spôsob 1. Po aktualizácii servera nezabudnite zakázať politiku alebo vrátiť hodnotu kľúča AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Zakázanie NLA pre RDP v systéme Windows

Ak je NLA povolená na strane servera RDP, ku ktorému sa pripájate, znamená to, že CredSPP sa používa na predbežnú autentifikáciu používateľa RDP. Overenie na úrovni siete môžete zakázať vo vlastnostiach systému na karte Vzdialený prístup (Diaľkové ovládanie) zrušením začiarknutia políčka „Povoliť pripojenie iba z počítačov so vzdialenou pracovnou plochou s overením na úrovni siete (odporúča sa)“ (Windows 10 / Windows 8).

V systéme Windows 7 sa táto možnosť nazýva inak. Na karte Vzdialený prístup musíte vybrať možnosť " Povoliť pripojenia z počítačov s akoukoľvek verziou vzdialenej pracovnej plochy (nebezpečné)/ Povoliť pripojenia z počítačov s akoukoľvek verziou vzdialenej pracovnej plochy (menej bezpečné)“.

Môžete tiež zakázať overovanie na úrovni siete (NLA) pomocou Editora miestnej politiky skupiny - gpedit.msc(vo Windowse 10 Home je možné spustiť editor zásad gpedit.msc) alebo pomocou konzoly na správu zásad domény – GPMC.msc. Ak to chcete urobiť, prejdite do sekcie Konfigurácia počítača –> Šablóny pre správu –> KomponentyWindows–> Služby vzdialenej pracovnej plochy – Hostiteľ relácie vzdialenej pracovnej plochy –> Zabezpečenie(Konfigurácia počítača –> Šablóny pre správu –> Komponenty systému Windows –> Služby vzdialenej pracovnej plochy – Hostiteľ relácie vzdialenej pracovnej plochy –> Zabezpečenie), vypnúť politika (Vyžadovať overenie používateľa pre vzdialené pripojenia pomocou overenia na úrovni siete).

Potrebné aj v politike“ Vyžadovať použitie špeciálnej úrovne zabezpečenia pre vzdialené pripojenia cez protokol RDP» (Vyžadovať použitie špecifickej bezpečnostnej vrstvy pre vzdialené pripojenia (RDP)) vyberte Security Layer - PRV.

Ak chcete použiť nové nastavenia RDP, musíte aktualizovať zásady (gpupdate /force) alebo reštartovať počítač. Potom by ste sa mali úspešne pripojiť k serveru vzdialenej pracovnej plochy.

Otvorte editor databázy Registry.

Vetva HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Otvorte parameter Security Packages a vyhľadajte tam slovo tspkg. Ak tam nie je, pridajte ho k existujúcim parametrom.

Vetva HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Otvorte parameter SecurityProviders a pridajte súbor credssp.dll k existujúcim poskytovateľom, ak chýba.

Zatvorte editor databázy Registry.

Teraz musíte reštartovať. Ak tak neurobíte, počítač nás požiada o používateľské meno a heslo, ale namiesto vzdialenej plochy odpovie nasledujúcim spôsobom:

To je všetko.

Administrátori servera na Na báze Windows 2008 možno bude musieť čeliť nasledujúcim problémom:

Pripojenie cez protokol rdp k vášmu obľúbenému serveru zo stanice Windows XP SP3 zlyhá s nasledujúcou chybou:

Vzdialená plocha je zakázaná.

Vzdialený počítač vyžaduje overenie na úrovni siete, ktoré počítač nepodporuje. Kontakt so žiadosťou o pomoc systémový administrátor alebo kontaktujte technickú podporu.

A hoci sľubný Win7 hrozí, že časom nahradí svoju babičku WinXP, problém bude aktuálny ešte rok či dva.

Tu je to, čo musíte urobiť, aby ste povolili autentifikáciu sieťovej vrstvy:

Otvorte editor databázy Registry.

Pobočka HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Otvorte parameter Bezpečnostné balíčky a tam hľadaj slovo tspkg. Ak tam nie je, pridajte ho k existujúcim parametrom.

Pobočka HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Otvorte parameter Poskytovatelia zabezpečenia a pridať k existujúcim poskytovateľom credssp.dll, ak žiadny neexistuje.

Zatvorte editor databázy Registry.

Teraz musíte reštartovať. Ak sa tak nestane, pri pokuse o pripojenie nás počítač požiada o používateľské meno a heslo, ale namiesto vzdialenej plochy odpovie nasledujúcim spôsobom:

Pripojenie vzdialenej pracovnej plochy

Chyba overenia (kód 0x507)

To je všetko.