Agar siz serverga ulanishda Windows XP dan foydalanayotgan bo'lsangiz, siz quyidagi xatoni olishingiz mumkin: “Masofaviy kompyuter tarmoq darajasida autentifikatsiyani talab qiladi. bu kompyuter qo'llab-quvvatlamang".

Bu xato dastlab tarmoq darajasida autentifikatsiya Windows XP da amalga oshirilmaganligi sababli yuzaga keladi, bu imkoniyat Ishlab chiquvchilar uni keyingi operatsion tizimlarda amalga oshirdilar. Yangilash fayli ham keyinroq chiqarildi KB951608 bu xatoni tuzatdi va Windows XP-ga tarmoq darajasida autentifikatsiyani amalga oshirishga imkon berdi.

Windows XP bilan ishlaydigan kompyuteringizdan masofaviy ish stoli serveriga ulanishingiz uchun siz Service Pack 3 (SP3) ni o'rnatishingiz va keyin quyidagilarni bajarishingiz kerak:

Rus sahifasida Microsoft rasmiy veb-saytida https://support.microsoft.com/ru-ru/kb/951608 avtomatik tuzatish faylini yuklab oling. Sahifani pastga aylantiring va "Muammoni hal qilishda yordam" bo'limidagi "Yuklab olish" tugmasini bosing.

Ingliz tilidagi sahifa ham siz uchun mavjud. https://support.microsoft.com/en-us/kb/951608"CredSSP-ni qanday yoqish kerak" bo'limidagi "Yuklab olish" tugmasini bosish orqali ushbu faylni yuklab olishingiz mumkin.

Faylni yuklab olish tugallangach, uni bajarish uchun ishga tushiring. Ishga tushgandan keyin bu fayl Siz dastur oynasini ko'rasiz. Birinchi bosqichda "Qabul qilaman" katagiga belgi qo'ying. Ikkinchi bosqichda "Keyingi" tugmasini bosing

O'rnatish tugallangandan so'ng, "Ushbu Microsoft tuzatishi qayta ishlandi" bildirishnomasi bilan quyidagi oynani ko'rasiz. Buning uchun "Yopish" tugmasini bosish kifoya.

"Yopish" tugmasini bosganingizdan so'ng, dastur o'zgarishlar kuchga kirishi uchun kompyuteringizni qayta ishga tushirishingiz kerakligini ko'rsatadi, qayta ishga tushirish uchun "Ha" tugmasini bosing.

Faylni yuklab olmasdan muammoni o'zingiz hal qiling

Agar siz ma'muriy ko'nikmalarga ega bo'lsangiz, yamoq faylini yuklab olmasdan, kompyuteringiz registriga o'zgartirishlarni qo'lda qilishingiz mumkin.

1. Tugmasini bosing Boshlash, elementni tanlang Yugurish, buyruqni kiriting regedit va tugmani bosing Kirish

Windows 7 kompyuterimga KB4103718 yangilanishini o'rnatganimdan so'ng serverga masofadan ulana olmayapman. Windows Server 2012 R2 RDP masofaviy ish stoli orqali. Mtsc.exe mijoz oynasida RDP server manzilini ko'rsatganimdan va "Ulanish" tugmasini bosganimdan so'ng, xato paydo bo'ladi:

Masofaviy ish stoliga ulanish

Haqiqiylikni tekshirishda xatolik yuz berdi.

Belgilangan funktsiya qo'llab-quvvatlanmaydi.
Masofaviy kompyuter: kompyuter nomi

KB4103718 yangilanishini o'chirib tashlaganimdan va kompyuterni qayta ishga tushirganimdan so'ng, RDP ulanishi yaxshi ishlay boshladi. Agar men to'g'ri tushungan bo'lsam, bu faqat vaqtinchalik vaqtinchalik yechim Keyingi oy yangi kümülatif yangilash paketi keladimi va xato qaytadi? Biror narsani tavsiya qila olasizmi?

Javob

Siz mutlaqo haqsiz, muammoni hal qilish befoyda, chunki bu bilan siz kompyuteringizni ushbu yangilanishda yamoqlar bilan qoplangan turli zaifliklardan foydalanish xavfiga duchor qilasiz.

Muammoingizda yolg'iz emassiz. Ushbu xato har qanday Windows yoki Windows Server operatsion tizimida paydo bo'lishi mumkin (nafaqat Windows 7). Ingliz foydalanuvchilar uchun Windows versiyalari 10, RDP/RDS serveriga ulanishga urinayotganda shunga o'xshash xatolik quyidagicha ko'rinadi:

Haqiqiylikni tekshirishda xatolik yuz berdi.

So‘ralgan funksiya qo‘llab-quvvatlanmaydi.

Masofaviy kompyuter: kompyuter nomi

"Autentifikatsiya xatosi yuz berdi" RDP xatosi RemoteApp ilovalarini ishga tushirishga urinayotganda ham paydo bo'lishi mumkin.

Nima uchun bu sodir bo'lmoqda? Gap shundaki, sizning kompyuteringizda RDP serverlarida autentifikatsiya qilish uchun foydalaniladigan CredSSP (CredSSP (Credential Security Support Provider)) protokolidagi jiddiy zaiflikni tuzatuvchi so‘nggi xavfsizlik yangilanishlari (2018-yil may oyidan keyin chiqarilgan) mavjud (CVE-2018-0886) (o‘qishni tavsiya etaman) maqola). Biroq, siz kompyuteringizdan ulangan RDP / RDS server tomonida ushbu yangilanishlar o'rnatilmagan va RDP kirish uchun NLA (Tarmoq darajasidagi autentifikatsiya) protokoli yoqilgan. NLA protokoli foydalanuvchilarni TLS/SSL yoki Kerberos orqali oldindan autentifikatsiya qilish uchun CredSSP mexanizmlaridan foydalanadi. Siz o'rnatgan yangilanish tomonidan kiritilgan yangi xavfsizlik sozlamalari tufayli kompyuteringiz ulanishni bloklaydi masofaviy kompyuter, CredSSP ning zaif versiyasidan foydalanadi.

Ushbu xatoni tuzatish va RDP serveringizga ulanish uchun nima qilishingiz mumkin?

1. Ko'pchilik to'g'ri muammoni hal qilish yo'li - o'rnatish so'nggi yangilanishlar Windows xavfsizligi RDP orqali ulanayotgan kompyuter/serverda;
2. Vaqtinchalik usul 1 . RDP server tomonida Tarmoq darajasidagi autentifikatsiyani (NLA) o'chirib qo'yishingiz mumkin (quyida tasvirlangan);
3. Vaqtinchalik usul 2 . Siz mijoz tomonida yuqorida havola qilingan maqolada ta'riflanganidek, CredSSP ning xavfli versiyasi bilan RDP serverlariga ulanishga ruxsat berishingiz mumkin. Buning uchun siz ro'yxatga olish kitobi kalitini o'zgartirishingiz kerak AllowEncryptionOracle(REG ADD buyrug'i
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) yoki sozlamalarni o'zgartiring mahalliy siyosat Oracle Remediation shifrlash/ Oracle shifrlash zaifligini tuzatish), uning qiymatini belgilash = Zaiflik / zaiflikni qoldirish).

   Bu yagona yo'l RDP orqali uzoq serverga kirish, agar siz serverga mahalliy ravishda kirish imkoniga ega bo'lmasangiz (XMT konsoli orqali, virtual mashina, bulutli interfeys va boshqalar). Ushbu rejimda siz masofaviy serverga ulanishingiz va xavfsizlik yangilanishlarini o'rnatishingiz mumkin, shu bilan tavsiya etilgan usul 1 ga o'tasiz. Serverni yangilagandan so'ng, siyosatni o'chirishni yoki kalit qiymatini qaytarishni unutmang AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d0

Windows-da RDP uchun NLA-ni o'chirib qo'yish

Agar siz ulanayotgan RDP server tomonida NLA yoqilgan bo'lsa, bu CredSPP RDP foydalanuvchisini oldindan autentifikatsiya qilish uchun foydalanilganligini anglatadi. Yorliqdagi tizim xususiyatlarida Tarmoq darajasidagi autentifikatsiyani o'chirib qo'yishingiz mumkin Masofaviy kirish (Masofadan) , "Tarmoq darajasidagi autentifikatsiya (tavsiya etiladi) bilan masofaviy ish stoli bilan ishlaydigan kompyuterlardan ulanishga ruxsat berish" katagiga belgini olib tashlang (Windows 10 / Windows 8).

Windows 7 da bu variant boshqacha nomlanadi. Yorliqda Masofaviy kirish variantni tanlashingiz kerak " Masofaviy ish stolining istalgan versiyasida ishlaydigan kompyuterlardan ulanishga ruxsat berish (xavfli)/ Masofaviy ish stolining istalgan versiyasida ishlaydigan kompyuterlardan ulanishga ruxsat berish (kamroq xavfsiz)".

Shuningdek, siz mahalliy guruh siyosati muharriri yordamida tarmoq darajasidagi autentifikatsiyani (NLA) o'chirib qo'yishingiz mumkin - gpedit.msc(Windows 10 Home-da gpedit.msc siyosat muharriri ishga tushirilishi mumkin) yoki domen siyosatini boshqarish konsoli - GPMC.msc yordamida. Buning uchun bo'limga o'ting Kompyuter konfiguratsiyasi -> Ma'muriy shablonlar -> KomponentlarWindows–> Masofaviy ish stoli xizmatlari – Masofaviy ish stoli sessiyasi xosti –> Xavfsizlik(Kompyuter konfiguratsiyasi -> Ma'muriy shablonlar -> Windows komponentlari -> Masofaviy ish stoli xizmatlari - Masofaviy ish stoli sessiyasi xosti -> Xavfsizlik), o'chirib qo'yish siyosat (Tarmoq darajasidagi autentifikatsiya yordamida masofaviy ulanishlar uchun foydalanuvchi autentifikatsiyasini talab qilish).

Siyosatda ham kerak" uchun maxsus xavfsizlik darajasidan foydalanishni talab qiling masofaviy ulanishlar RDP protokoli orqali» (Masofaviy (RDP) ulanishlar uchun maxsus xavfsizlik qatlamidan foydalanishni talab qilish) Xavfsizlik qatlamini tanlang - RDP.

Yangi RDP sozlamalarini qo'llash uchun siz siyosatlarni yangilashingiz (gpupdate /force) yoki kompyuterni qayta ishga tushirishingiz kerak. Shundan so'ng siz masofaviy ish stoli serveriga muvaffaqiyatli ulanishingiz kerak.

Serverlarning xavfsizligi va tezligi har doim muammo bo'lib kelgan va har yili ularning ahamiyati ortib bormoqda. Shu sababli, Microsoft server tomonidagi autentifikatsiyaning asl modelidan tarmoq darajasidagi autentifikatsiyaga o'tdi.

Ushbu modellar o'rtasidagi farq nima?
Ilgari, Terminal xizmatlariga ulanishda foydalanuvchi server bilan sessiya yaratgan, u orqali ikkinchisi foydalanuvchi uchun hisob ma'lumotlarini kiritish uchun ekranni yuklaydi. Bu usul server resurslarini foydalanuvchi qonuniyligini tekshirishdan oldin ham iste'mol qiladi, bu noqonuniy foydalanuvchiga bir nechta kirish so'rovlari bilan server resurslarini to'liq bosib olish imkonini beradi. Ushbu so'rovlarni qayta ishlay olmaydigan server qonuniy foydalanuvchilarga so'rovlarni rad etadi (DoS hujumi).

Tarmoq darajasidagi autentifikatsiya (NLA) foydalanuvchini mijoz tomonidagi dialog oynasiga hisob ma'lumotlarini kiritishga majbur qiladi. Odatiy bo'lib, agar mijoz tomonida tarmoq darajasidagi autentifikatsiya sertifikati bo'lmasa, server ulanishga ruxsat bermaydi va bu sodir bo'lmaydi. NLA server bilan seans yaratishdan oldin mijoz kompyuteridan o'z autentifikatsiya ma'lumotlarini taqdim etishni so'raydi. Ushbu jarayon front-end autentifikatsiya deb ham ataladi.

NLA RDP 6.0 da qaytadan kiritilgan va dastlab qo'llab-quvvatlangan Windows Vista. RDP 6.1 versiyasidan - Windows Server 2008 va undan yuqori operatsion tizimida ishlaydigan serverlar tomonidan qo'llab-quvvatlanadi va mijozlarni qo'llab-quvvatlash operatsion tizimlar tomonidan ta'minlanadi. Windows tizimlari XP SP3 (ro'yxatga olish kitobida yangi xavfsizlik provayderini yoqishingiz kerak) va undan yuqori. Usul CredSSP (Kredit ma'lumotlari xavfsizligini qo'llab-quvvatlash provayderi) xavfsizlik provayderidan foydalanadi. Masofaviy ish stoli mijozidan boshqasi uchun foydalanilganda operatsion tizim- uning NLA qo'llab-quvvatlashi haqida bilib olishingiz kerak.

NLA ning afzalliklari:

• Muhim server resurslarini talab qilmaydi.
• DoS hujumlaridan himoya qilish uchun qo'shimcha daraja.
• Mijoz va server o'rtasidagi vositachilik jarayonini tezlashtiradi.
• Terminal serveri bilan ishlash uchun NT "yagona login" texnologiyasini kengaytirish imkonini beradi.

NLA ning kamchiliklari:

• Boshqa xavfsizlik provayderlari qo'llab-quvvatlanmaydi.
• Windows XP SP3 dan past mijoz versiyalari va Windows Server 2008 dan pastroq server versiyalari tomonidan qo'llab-quvvatlanmaydi.
• Majburiy qo'lda sozlash har bir Windows XP SP3 mijozida ro'yxatga olish kitobi.
• Har qanday "yagona kirish" sxemasi singari, u "butun qal'aning kalitlari" ning o'g'irlanishiga qarshi himoyasiz.
• "Keyingi kirishda parolni o'zgartirishni talab qilish" funksiyasidan foydalanish imkoniyati yo'q.