Avaa rekisterieditori.

Haara HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Avaa Security Packages -parametri ja etsi sieltä sana tspkg. Jos sitä ei ole, lisää se olemassa oleviin parametreihin.

Haara HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Avaa SecurityProviders-parametri ja lisää credssp.dll olemassa oleviin palveluntarjoajiin, jos se puuttuu.

Sulje rekisterieditori.

Nyt sinun on käynnistettävä uudelleen. Jos näin ei tehdä, tietokone pyytää meiltä käyttäjätunnusta ja salasanaa, mutta etätyöpöydän sijaan se vastaa seuraavasti:

Siinä kaikki.

Windows 2008 -palvelimen järjestelmänvalvojat voivat kohdata seuraavan ongelman:

Yhteyden muodostaminen rdp-protokollan kautta suosikkipalvelimeesi Windows XP SP3 -asemalta epäonnistuu ja ilmenee seuraava virhe:

Etätyöpöytä on poistettu käytöstä.

Etätietokone vaatii verkkotason todennuksen, jota tietokone ei tue. Ota yhteyttä järjestelmänvalvojaan tai tekniseen tukeen saadaksesi apua.

Ja vaikka lupaava Win7 uhkaa lopulta korvata isoäitinsä WinXP:n, ongelma pysyy ajan tasalla vielä vuoden tai kaksi.

Tässä on mitä sinun on tehtävä ottaaksesi verkkokerroksen todennus käyttöön:

Avaa rekisterieditori.

Haara HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Avaa parametri Turvapaketit ja etsi sanaa sieltä tspkg. Jos sitä ei ole, lisää se olemassa oleviin parametreihin.

Haara HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Avaa parametri SecurityProviders ja lisätä olemassa oleviin palveluntarjoajiin credssp.dll, jos sellaista ei ole.

Sulje rekisterieditori.

Nyt sinun on käynnistettävä uudelleen. Jos näin ei tehdä, tietokone pyytää meiltä käyttäjätunnusta ja salasanaa, kun yritämme muodostaa yhteyden, mutta etätyöpöydän sijaan se vastaa seuraavasti:

Etätyöpöytäyhteys

Todennusvirhe (koodi 0x507)

Siinä kaikki.

Palvelinten turvallisuus ja nopeus ovat aina olleet ongelma, ja joka vuosi niiden merkitys vain kasvaa. Tämän vuoksi Microsoft on siirtynyt alkuperäisestä palvelinpuolen todennusmallista verkkotason todentamiseen.

Mitä eroa näillä malleilla on?
Aiemmin päätepalveluihin yhdistäessään käyttäjä loi istunnon palvelimen kanssa, jonka kautta palvelin lataa näytön käyttäjän valtuustietojen syöttämiseksi. Tämä menetelmä kuluttaa palvelinresursseja jo ennen kuin käyttäjä on varmistanut laillisuutensa, jolloin laiton käyttäjä voi ylittää palvelinresurssit kokonaan useilla kirjautumispyynnöillä. Palvelin, joka ei pysty käsittelemään näitä pyyntöjä, hylkää pyynnöt laillisilta käyttäjiltä (DoS-hyökkäys).

Verkkotason todennus (NLA) pakottaa käyttäjän syöttämään tunnistetiedot asiakaspuolen valintaikkunaan. Oletuksena, jos asiakaspuolella ei ole verkkotason todennustarkistussertifikaattia, palvelin ei salli yhteyttä eikä sitä tapahdu. NLA pyytää asiakastietokonetta antamaan todennustietonsa ennen istunnon luomista palvelimen kanssa. Tätä prosessia kutsutaan myös käyttöliittymän todentamiseksi.

NLA otettiin käyttöön RDP 6.0:ssa, ja sitä tuki alun perin Windows Vista. Versiosta RDP 6.1 alkaen - tuettu palvelimilla, joissa on Windows Server 2008 -käyttöjärjestelmä tai uudempi, ja asiakastuki tarjotaan Windows XP SP3 -käyttöjärjestelmissä (sinun on otettava käyttöön uusi tietoturvan tarjoaja rekisterissä) ja uudemmissa. Menetelmä käyttää CredSSP (Credential Security Support Provider) -suojaustoimittajaa. Kun käytät etätyöpöytäasiakasta toisessa käyttöjärjestelmässä, sinun on otettava selvää sen NLA-tuesta.

• Ei vaadi merkittäviä palvelinresursseja.
• Lisäsuojaus DoS-hyökkäyksiä vastaan.
• Nopeuttaa sovitteluprosessia asiakkaan ja palvelimen välillä.
• Mahdollistaa NT:n "kertakirjautumistekniikan" laajentamisen toimimaan päätepalvelimen kanssa.

• Muita tietoturvan tarjoajia ei tueta.
• Ei tue Windows XP SP3:a alemmilla asiakasversioilla ja Windows Server 2008:aa vanhemmilla palvelinversioilla.
• Jokaisessa Windows XP SP3 -asiakkaassa vaaditaan manuaalinen rekisterimääritys.
• Kuten mikä tahansa "kertakirjautumisen" järjestelmä, se on alttiina "koko linnoituksen avainten" varastamiselle.
• "Vaadi salasanan vaihto seuraavan kirjautumisen yhteydessä" -ominaisuutta ei voi käyttää.

Kun olen asentanut päivityksen KB4103718 Windows 7 -tietokoneelleni, en voi muodostaa etäyhteyttä Windows Server 2012 R2:ta käyttävään palvelimeen RDP:n kautta. Kun olen määrittänyt RDP-palvelimen osoitteen mstsc.exe-asiakasikkunassa ja napsauttanut "Yhdistä", tulee virheilmoitus:

Etätyöpöytäyhteys

Tapahtui todennusvirhe.

Määritettyä toimintoa ei tueta.
Etätietokone: tietokoneen nimi

Kun poistin päivityksen KB4103718 asennuksen ja käynnistin tietokoneen uudelleen, RDP-yhteys alkoi toimia hyvin. Jos ymmärrän oikein, tämä on vain väliaikainen ratkaisu, ensi kuussa saapuu uusi kumulatiivinen päivityspaketti ja virhe palautuu? Voitko suositella mitään?

Vastaus

Olet täysin oikeassa siinä, että ongelman ratkaiseminen on turhaa, koska altistat siten tietokoneesi useiden tämän päivityksen korjaustiedostojen kattamien haavoittuvuuksien hyödyntämisriskille.

Et ole yksin ongelmasi kanssa. Tämä virhe voi ilmetä missä tahansa Windows- tai Windows Server -käyttöjärjestelmässä (ei vain Windows 7:ssä). Windows 10:n englanninkielisen version käyttäjille, kun he yrittävät muodostaa yhteyden RDP/RDS-palvelimeen, samanlainen virhe näyttää tältä:

Tapahtui todennusvirhe.

Pyydettyä toimintoa ei tueta.

Etätietokone: tietokoneen nimi

RDP-virhe "Todennusvirhe on tapahtunut" voi myös ilmestyä, kun yritetään käynnistää RemoteApp-sovelluksia.

Miksi näin tapahtuu? Tosiasia on, että tietokoneessasi on uusimmat tietoturvapäivitykset (julkaistu toukokuun 2018 jälkeen), jotka korjaavat vakavan haavoittuvuuden RDP-palvelimien todentamiseen käytetyssä CredSSP (Credential Security Support Provider) -protokollassa (CVE-2018-0886) (suosittelen lukemaan artikkeli). Näitä päivityksiä ei kuitenkaan asenneta sillä RDP/RDS-palvelimen puolella, johon muodostat yhteyden tietokoneeltasi, ja NLA (Network Level Authentication) -protokolla on otettu käyttöön RDP-käyttöä varten. NLA-protokolla käyttää CredSSP-mekanismeja käyttäjien esitodentamiseen TLS/SSL:n tai Kerberosin kautta. Tietokoneesi estää asentamasi päivityksen uusien suojausasetusten vuoksi yhteyden etätietokoneeseen, joka käyttää CredSSP:n haavoittuvaa versiota.

Mitä voit tehdä korjataksesi tämän virheen ja muodostaaksesi yhteyden RDP-palvelimeesi?

1. Useimmat korjata Tapa ratkaista ongelma on asentaa uusimmat Windows-tietoturvapäivitykset tietokoneeseen/palvelimeen, johon muodostat yhteyden RDP:n kautta.
2. Väliaikainen menetelmä 1 . Voit poistaa verkkotason todennuksen (NLA) käytöstä RDP-palvelinpuolella (kuvattu alla);
3. Väliaikainen menetelmä 2 . Asiakaspuolella voit sallia yhteydet RDP-palvelimiin suojaamattomalla CredSSP-versiolla, kuten yllä linkitetyssä artikkelissa on kuvattu. Tätä varten sinun on vaihdettava rekisteriavain SalliSalausOracle(REG ADD -komento
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) tai muuta paikallisia käytäntöasetuksia Salaus Oracle Remediation/ Korjaa salausoraakkelin haavoittuvuus), asettamalla sen arvon = Vulnerable / Jätä haavoittuvuus).

   Tämä on ainoa tapa päästä etäpalvelimeen RDP:n kautta, jos et pysty kirjautumaan palvelimelle paikallisesti (ILO-konsolin, virtuaalikoneen, pilvirajapinnan jne. kautta). Tässä tilassa voit muodostaa yhteyden etäpalvelimeen ja asentaa tietoturvapäivitykset, jolloin siirryt suositeltuun tapaan 1. Kun olet päivittänyt palvelimen, älä unohda poistaa käytäntöä käytöstä tai palauttaa avainarvo AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

RDP:n NLA:n poistaminen käytöstä Windowsissa

Jos NLA on käytössä sen RDP-palvelimen puolella, johon muodostat yhteyden, tämä tarkoittaa, että CredSPP:tä käytetään RDP-käyttäjän esitodentamiseen. Voit poistaa verkkotason todennuksen käytöstä välilehden järjestelmäominaisuuksista Etäkäyttö(Kauko) , poista valinta "Salli yhteys vain tietokoneista, joissa on etätyöpöytä ja verkkotason todennus (suositus)" -valintaruudusta (Windows 10 / Windows 8).

Windows 7:ssä tätä vaihtoehtoa kutsutaan eri tavalla. Välilehdellä Etäkäyttö sinun on valittava vaihtoehto " Salli yhteydet tietokoneista, joissa on mitä tahansa Remote Desktop -versiota (vaarallinen)/ Salli yhteydet tietokoneista, joissa on mitä tahansa Remote Desktopin versio (vähemmän turvallinen)".

Voit myös poistaa verkkotason todennuksen (NLA) käytöstä paikallisen ryhmäkäytäntöeditorin avulla - gpedit.msc(Windows 10 Homessa gpedit.msc-käytäntöeditori voidaan käynnistää) tai käyttämällä toimialueen käytännön hallintakonsolia - GPMC.msc. Voit tehdä tämän siirtymällä osioon Tietokoneen asetukset -> Hallintamallit -> KomponentitWindows-> Etätyöpöytäpalvelut - Etätyöpöytäistunnon isäntä -> Suojaus(Tietokoneen asetukset -> Hallintamallit -> Windows-komponentit -> Etätyöpöytäpalvelut - Etätyöpöytäistunnon isäntä -> Suojaus), sammuta käytäntö (Vaadi käyttäjän todennus etäyhteyksille käyttämällä verkkotason todennusta).

Tarvitaan myös politiikassa" Vaadi erityistä suojaustasoa RDP-etäyhteyksille» (Edellyttää tietyn suojakerroksen käyttöä etäyhteyksille (RDP)) valitse suojauskerros - RDP.

Jotta voit ottaa käyttöön uusia RDP-asetuksia, sinun on päivitettävä käytännöt (gpupdate /force) tai käynnistettävä tietokone uudelleen. Tämän jälkeen sinun pitäisi muodostaa yhteys etätyöpöytäpalvelimeen.

Jos käytät Windows XP:tä muodostaessasi yhteyttä palvelimeen, saatat saada virheilmoituksen: "Etätietokone vaatii verkkotason todennuksen, jota tämä tietokone ei tue."

Tämä virhe johtuu siitä, että alun perin verkkotason todennusta ei otettu käyttöön Windows XP:ssä. Päivitystiedosto julkaistiin myös myöhemmin KB951608 joka korjasi tämän virheen ja salli Windows XP:n toteuttaa verkkotason todennuksen.

Jotta voit muodostaa yhteyden etätyöpöytäpalvelimeen Windows XP -tietokoneeltasi, sinun on asennettava Service Pack 3 (SP3) ja toimittava sitten seuraavasti:

Microsoftin virallisella verkkosivustolla venäjänkielisellä sivulla https://support.microsoft.com/ru-ru/kb/951608 lataa automaattinen korjaustiedosto. Vieritä sivua alas ja napsauta "Apua ongelman ratkaisemiseen" -osiossa "Lataa" -painiketta.

Saatavillasi on myös englanninkielinen sivu. https://support.microsoft.com/en-us/kb/951608 josta voit ladata tämän tiedoston napsauttamalla "Lataa" -painiketta "CredSSP:n käyttöönotto" -osiossa

Kun tiedosto on ladattu, suorita se suorittamista varten. Kun olet suorittanut tämän tiedoston, näet ohjelmaikkunan. Valitse ensimmäisessä vaiheessa "Hyväksyn" -ruutu. Napsauta toisessa vaiheessa "Seuraava" -painiketta

Kun asennus on valmis, näet seuraavan ikkunan, jossa on ilmoitus "Tämä Microsoftin korjaus on käsitelty". Sinun tarvitsee vain napsauttaa "Sulje".

Kun napsautat "Sulje" -painiketta, ohjelma ilmoittaa, että sinun on käynnistettävä tietokone uudelleen, jotta muutokset tulevat voimaan, napsauta "Kyllä" käynnistääksesi uudelleen.

Ratkaise ongelma itse lataamatta tiedostoa

Jos sinulla on hallinnollisia taitoja, voit tehdä muutoksia tietokoneesi rekisteriin manuaalisesti ilman, että sinun tarvitsee ladata korjaustiedostoa.

1. Napsauta painiketta Aloita, valitse kohde Juokse, anna komento regedit ja paina näppäintä Enter