Če uporabljate operacijski sistem Windows XP, ko se povezujete s strežnikom, boste morda prejeli napako: »Oddaljeni računalnik zahteva preverjanje pristnosti na ravni omrežja, kar ta računalnik ne podpiraj«.

Ta napaka nastane zaradi dejstva, da prvotno preverjanje pristnosti na ravni omrežja ni bilo implementirano v sistemu Windows XP, to priložnost razvijalci so ga implementirali v naslednje operacijske sisteme. Kasneje je bila izdana tudi posodobitvena datoteka KB951608 ki je popravil to napako in Windows XP omogočil izvajanje preverjanja pristnosti na ravni omrežja.

Da se lahko povežete s strežnikom oddaljenega namizja iz računalnika z operacijskim sistemom Windows XP, morate namestiti servisni paket 3 (SP3) in nato narediti naslednje:

Na uradni spletni strani Microsofta na ruski strani https://support.microsoft.com/ru-ru/kb/951608 prenesite datoteko s samodejnim popravkom. Pomaknite se navzdol po strani in v razdelku »Pomoč pri reševanju težave« kliknite gumb »Prenesi«.

Na voljo vam je tudi angleška stran. https://support.microsoft.com/en-us/kb/951608 kjer lahko prenesete to datoteko s klikom na gumb »Prenesi« v razdelku »Kako vklopiti CredSSP«

Ko je prenos datoteke končan, jo zaženite za izvedbo. Po zagonu ta datoteka Videli boste okno programa. V prvem koraku potrdite polje »Sprejmem«. V drugem koraku kliknite gumb »Naprej«.

Ko je namestitev končana, boste videli naslednje okno z obvestilom »Ta Microsoftov popravek je bil obdelan.« Vse kar morate storiti je, da kliknete »Zapri«.

Ko kliknete gumb »Zapri«, vam bo program sporočil, da morate znova zagnati računalnik, da bodo spremembe začele veljati, kliknite »Da« za ponovni zagon.

Težavo rešite sami, ne da bi prenesli datoteko

Če imate administrativne veščine, lahko ročno spremenite register svojega računalnika, ne da bi morali prenesti datoteko popravka.

1. Kliknite gumb Začetek, izberite predmet Teči, vnesite ukaz regedit in pritisnite tipko Vnesite

Po namestitvi posodobitve KB4103718 v računalnik z operacijskim sistemom Windows 7 se ne morem na daljavo povezati s strežnikom. Windows Server 2012 R2 prek oddaljenega namizja RDP. Ko v oknu odjemalca mstsc.exe določim naslov strežnika RDP in kliknem »Poveži«, se pojavi napaka:

Povezava z oddaljenim namizjem

Prišlo je do napake pri preverjanju pristnosti.

Določena funkcija ne podpira.
Oddaljeni računalnik: ime računalnika

Ko sem odstranil posodobitev KB4103718 in znova zagnal računalnik, je povezava RDP začela dobro delovati. Če prav razumem, je to le začasna rešitev, v naslednji mesec ali bo prišel nov kumulativni paket posodobitev in se bo napaka vrnila? Lahko kaj priporočite?

Odgovori

Popolnoma prav imate, da je težavo nesmiselno reševati, saj s tem izpostavite svoj računalnik tveganju izkoriščanja različnih ranljivosti, ki jih pokrivajo popravki v tej posodobitvi.

V svoji težavi niste sami. Ta napaka se lahko pojavi v katerem koli operacijskem sistemu Windows ali Windows Server (ne samo Windows 7). Za angleške uporabnike Windows različice 10, pri poskusu povezave s strežnikom RDP/RDS je podobna napaka videti takole:

Prišlo je do napake pri preverjanju pristnosti.

Zahtevana funkcija ni podprta.

Oddaljeni računalnik: ime računalnika

Napaka RDP »Prišlo je do napake pri preverjanju pristnosti« se lahko pojavi tudi pri poskusu zagona aplikacij RemoteApp.

Zakaj se to dogaja? Dejstvo je, da ima vaš računalnik najnovejše varnostne posodobitve (izdane po maju 2018), ki popravljajo resno ranljivost v protokolu CredSSP (Credential Security Support Provider), ki se uporablja za avtentikacijo na strežnikih RDP (CVE-2018-0886) (priporočam branje članek). Vendar pa na strani strežnika RDP / RDS, na katerega se povežete iz računalnika, te posodobitve niso nameščene, za dostop RDP pa je omogočen protokol NLA (Network Level Authentication). Protokol NLA uporablja mehanizme CredSSP za predhodno avtentikacijo uporabnikov prek TLS/SSL ali Kerberos. Vaš računalnik zaradi novih varnostnih nastavitev, ki jih uvaja posodobitev, ki ste jo namestili, preprosto blokira povezavo do oddaljeni računalnik, ki uporablja ranljivo različico CredSSP.

Kaj lahko storite, da popravite to napako in se povežete s strežnikom RDP?

1. večina pravilno način za rešitev problema - namestitev najnovejše posodobitve Windows varnost na računalniku/strežniku, s katerim se povezujete prek RDP;
2. Začasna metoda 1 . Preverjanje pristnosti na ravni omrežja (NLA) lahko onemogočite na strani strežnika RDP (opisano spodaj);
3. Začasna metoda 2 . Na strani odjemalca lahko dovolite povezave s strežniki RDP z nevarno različico CredSSP, kot je opisano v članku s povezavo zgoraj. Če želite to narediti, morate spremeniti registrski ključ AllowEncryptionOracle(Ukaz REG ADD
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) ali spremenite nastavitve lokalna politika Šifriranje Oracle Remediation/ Popravi ranljivost šifriranja Oracle), nastavitev njegove vrednosti = Ranljivost / Pusti ranljivost).

   to edina pot dostop do oddaljenega strežnika preko RDP, če nimate možnosti lokalne prijave v strežnik (preko ILO konzole, navidezni stroj, vmesnik v oblaku itd.). V tem načinu se boste lahko povezali z oddaljenim strežnikom in namestili varnostne posodobitve ter tako prešli na priporočeno metodo 1. Po posodobitvi strežnika ne pozabite onemogočiti pravilnika ali vrniti vrednosti ključa AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Onemogočanje NLA za RDP v sistemu Windows

Če je NLA omogočen na strani strežnika RDP, s katerim se povezujete, to pomeni, da se CredSPP uporablja za predhodno preverjanje pristnosti uporabnika RDP. Preverjanje pristnosti na ravni omrežja lahko onemogočite v lastnostih sistema na zavihku Oddaljen dostop (Daljinsko) , pri čemer počistite potrditveno polje »Dovoli povezavo samo iz računalnikov, v katerih se izvaja oddaljeno namizje s preverjanjem pristnosti na omrežni ravni (priporočeno)« (Windows 10 / Windows 8).

V sistemu Windows 7 se ta možnost imenuje drugače. Na zavihku Oddaljen dostop morate izbrati možnost " Dovoli povezave iz računalnikov, ki izvajajo katero koli različico oddaljenega namizja (nevarno)/ Dovoli povezave iz računalnikov, ki izvajajo katero koli različico oddaljenega namizja (manj varno)".

Preverjanje pristnosti na ravni omrežja (NLA) lahko tudi onemogočite z urejevalnikom pravilnika lokalne skupine - gpedit.msc(v sistemu Windows 10 Home je mogoče zagnati urejevalnik pravilnika gpedit.msc) ali z uporabo konzole za upravljanje pravilnika domene - GPMC.msc. Če želite to narediti, pojdite na razdelek Konfiguracija računalnika –> Administrativne predloge –> KomponenteWindows–> Storitve oddaljenega namizja – Gostitelj seje oddaljenega namizja –> Varnost(Konfiguracija računalnika –> Administrativne predloge –> Komponente sistema Windows –> Storitve oddaljenega namizja – Gostitelj seje oddaljenega namizja –> Varnost), ugasni pravilnik (Zahtevaj avtentikacijo uporabnika za oddaljene povezave z uporabo avtentikacije na ravni omrežja).

Potreben tudi v politiki" Zahtevajte uporabo posebne varnostne stopnje za oddaljene povezave prek protokola RDP» (Zahtevaj uporabo posebne varnostne plasti za oddaljene (RDP) povezave) izberite Varnostna plast - RDP.

Če želite uporabiti nove nastavitve RDP, morate posodobiti pravilnike (gpupdate /force) ali znova zagnati računalnik. Po tem bi se morali uspešno povezati s strežnikom oddaljenega namizja.

Varnost in hitrost strežnikov sta že od nekdaj problem, vsako leto pa njun pomen le še narašča. Zaradi tega je Microsoft prešel s prvotnega modela preverjanja pristnosti na strani strežnika na preverjanje pristnosti na ravni omrežja.

Kakšna je razlika med temi modeli?
Prej je uporabnik ob povezovanju s terminalskimi storitvami ustvaril sejo s strežnikom, prek katere je slednji naložil zaslon za vnos poverilnic za uporabnika. Ta metoda porablja strežniške vire, še preden je uporabnik preveril svojo legitimnost, kar nezakonitemu uporabniku omogoča, da popolnoma preobremeni strežniške vire z več zahtevami za prijavo. Strežnik, ki ne more obdelati teh zahtev, zavrne zahteve legitimnim uporabnikom (DoS napad).

Preverjanje pristnosti na ravni omrežja (NLA) prisili uporabnika, da vnese poverilnice v pogovorno okno na strani odjemalca. Če na strani odjemalca ni potrdila o preverjanju pristnosti na ravni omrežja, strežnik ne bo dovolil povezave in se ta ne bo zgodila. NLA zahteva odjemalski računalnik, da zagotovi svoje poverilnice za preverjanje pristnosti, preden ustvari sejo s strežnikom. Ta postopek se imenuje tudi sprednja avtentikacija.

NLA je bil predstavljen že v RDP 6.0 in je bil na začetku podprt Windows Vista. Od različice RDP 6.1 - podpirajo strežniki z operacijskim sistemom Windows Server 2008 in novejšim, podporo za odjemalce pa zagotavljajo operacijski sistemi Windows sistemi XP SP3 (v registru morate omogočiti novega ponudnika varnosti) in višje. Metoda uporablja ponudnika varnosti CredSSP (Credential Security Support Provider). Ko uporabljate odjemalca oddaljenega namizja za drugega operacijski sistem- izvedeti morate o njegovi podpori za NLA.

Prednosti NLA:

• Ne zahteva znatnih virov strežnika.
• Dodatna raven zaščite pred napadi DoS.
• Pospeši postopek posredovanja med odjemalcem in strežnikom.
• Omogoča razširitev tehnologije NT "single login" za delo s terminalskim strežnikom.

Slabosti NLA:

• Drugi ponudniki varnosti niso podprti.
• Ne podpirajo različice odjemalcev, nižje od Windows XP SP3, in različice strežnikov, nižje od Windows Server 2008.
• Obvezno ročna nastavitev registra na vsakem odjemalcu Windows XP SP3.
• Kot vsaka shema »enotne prijave« je tudi ta ranljiva za krajo »ključev celotne trdnjave«.
• Ni možnosti za uporabo funkcije »Zahtevaj spremembo gesla ob naslednji prijavi«.