Selepas memasang kemas kini KB4103718 pada komputer Windows 7 saya, saya tidak boleh menyambung dari jauh ke pelayan yang menjalankan Windows Server 2012 R2 melalui RDP. Selepas saya menentukan alamat pelayan RDP dalam tetingkap klien mstsc.exe dan klik "Sambung", ralat muncul:
Sambungan komputer jarak jauh
Ralat pengesahan berlaku.
Fungsi yang ditentukan tidak disokong.
Komputer jauh: nama komputer
Selepas saya menyahpasang kemas kini KB4103718 dan but semula komputer, sambungan RDP mula berfungsi dengan baik. Jika saya faham dengan betul, ini hanyalah penyelesaian sementara, bulan depan pakej kemas kini kumulatif baharu akan tiba dan ralat akan kembali? Bolehkah anda mengesyorkan apa-apa?
Jawab
Anda betul-betul betul bahawa ia adalah sia-sia untuk menyelesaikan masalah itu, kerana dengan itu anda mendedahkan komputer anda kepada risiko eksploitasi pelbagai kelemahan yang dilindungi oleh patch dalam kemas kini ini.
Anda tidak bersendirian dalam masalah anda. Ralat ini boleh muncul pada mana-mana sistem pengendalian Windows atau Windows Server (bukan sahaja Windows 7). Untuk pengguna versi Inggeris Windows 10, apabila cuba menyambung ke pelayan RDP/RDS, ralat yang serupa kelihatan seperti ini:
Ralat pengesahan telah berlaku.
Fungsi yang diminta tidak disokong.
Komputer jauh: nama komputer
Ralat RDP "Ralat pengesahan telah berlaku" juga mungkin muncul semasa cuba melancarkan aplikasi RemoteApp.
Kenapa ini terjadi? Hakikatnya ialah komputer anda mempunyai kemas kini keselamatan terkini (dikeluarkan selepas Mei 2018), yang membetulkan kerentanan serius dalam protokol CredSSP (Penyedia Sokongan Keselamatan Kredensial) yang digunakan untuk pengesahan pada pelayan RDP (CVE-2018-0886) (saya cadangkan baca rencana). Walau bagaimanapun, pada sisi pelayan RDP / RDS yang anda sambungkan dari komputer anda, kemas kini ini tidak dipasang dan protokol NLA (Pengesahan Tahap Rangkaian) didayakan untuk akses RDP. Protokol NLA menggunakan mekanisme CredSSP untuk pra-pengesahan pengguna melalui TLS/SSL atau Kerberos. Komputer anda, disebabkan tetapan keselamatan baharu yang diperkenalkan oleh kemas kini yang anda pasang, hanya menyekat sambungan ke komputer jauh yang menggunakan versi CredSSP yang terdedah.
Apakah yang boleh anda lakukan untuk membetulkan ralat ini dan menyambung ke pelayan RDP anda?
- Paling betul Cara untuk menyelesaikan masalah adalah dengan memasang kemas kini keselamatan Windows terkini pada komputer/pelayan yang anda sambungkan melalui RDP;
- Kaedah sementara 1 . Anda boleh melumpuhkan Pengesahan Tahap Rangkaian (NLA) pada bahagian pelayan RDP (diterangkan di bawah);
- Kaedah sementara 2
. Anda boleh, di sisi pelanggan, membenarkan sambungan ke pelayan RDP dengan versi CredSSP yang tidak selamat, seperti yang diterangkan dalam artikel yang dipautkan di atas. Untuk melakukan ini, anda perlu menukar kunci pendaftaran AllowEncryptionOracle(Arahan REG ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) atau tukar tetapan dasar setempat Penyulitan Oracle Remediation/ Betulkan kerentanan oracle penyulitan), tetapkan nilainya = Terdedah / Tinggalkan kelemahan).Ini adalah satu-satunya cara untuk mengakses pelayan jauh melalui RDP jika anda tidak mempunyai keupayaan untuk log masuk ke pelayan secara tempatan (melalui konsol ILO, mesin maya, antara muka awan, dll.). Dalam mod ini, anda akan dapat menyambung ke pelayan jauh dan memasang kemas kini keselamatan, dengan itu beralih ke kaedah yang disyorkan 1. Selepas mengemas kini pelayan, jangan lupa untuk melumpuhkan dasar atau kembalikan nilai kunci AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d
Melumpuhkan NLA untuk RDP pada Windows
Jika NLA didayakan pada sisi pelayan RDP yang anda sambungkan, ini bermakna CredSPP digunakan untuk pra-mengesahkan pengguna RDP. Anda boleh melumpuhkan Pengesahan Tahap Rangkaian dalam sifat sistem pada tab Akses jauh(Jauh) , menyahtanda kotak semak "Benarkan sambungan hanya dari komputer yang menjalankan Desktop Jauh dengan Pengesahan Tahap Rangkaian (disyorkan)" (Windows 10 / Windows 8).
Dalam Windows 7 pilihan ini dipanggil secara berbeza. Pada tab Akses jauh anda perlu memilih pilihan " Benarkan sambungan daripada komputer yang menjalankan sebarang versi Desktop Jauh (berbahaya)/ Benarkan sambungan daripada komputer yang menjalankan sebarang versi Desktop Jauh (kurang selamat)".
Anda juga boleh melumpuhkan Pengesahan Tahap Rangkaian (NLA) menggunakan Editor Dasar Kumpulan Tempatan - gpedit.msc(dalam Windows 10 Home, editor dasar gpedit.msc boleh dilancarkan) atau menggunakan konsol pengurusan dasar domain - GPMC.msc. Untuk melakukan ini, pergi ke bahagian Konfigurasi Komputer -> Templat Pentadbiran -> KomponenWindows-> Perkhidmatan Desktop Jauh – Hos Sesi Desktop Jauh -> Keselamatan(Konfigurasi Komputer -> Templat Pentadbiran -> Komponen Windows -> Perkhidmatan Desktop Jauh - Hos Sesi Desktop Jauh -> Keselamatan), matikan dasar (Memerlukan pengesahan pengguna untuk sambungan jauh dengan menggunakan Pengesahan Tahap Rangkaian).
Juga diperlukan dalam politik" Memerlukan tahap keselamatan khas untuk sambungan RDP jauh» (Memerlukan penggunaan lapisan keselamatan khusus untuk sambungan jauh (RDP)) pilih Lapisan Keselamatan - RDP.
Untuk menggunakan tetapan RDP baharu, anda perlu mengemas kini dasar (gpupdate /force) atau mulakan semula komputer. Selepas ini, anda harus berjaya menyambung ke pelayan desktop jauh.
Buka editor pendaftaran.
Cawangan HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Buka parameter Pakej Keselamatan dan cari perkataan tspkg di sana. Jika tiada, tambahkannya pada parameter sedia ada.
Cawangan HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
Buka parameter SecurityProviders dan tambah credssp.dll kepada pembekal sedia ada jika ia tiada.
Tutup editor pendaftaran.
Sekarang anda perlu but semula. Jika ini tidak dilakukan, komputer akan meminta kami nama pengguna dan kata laluan, tetapi bukannya desktop jauh ia akan bertindak balas dengan yang berikut:
Itu sahaja.
Pentadbir pelayan Windows 2008 mungkin menghadapi masalah berikut:
Menyambung melalui protokol rdp ke pelayan kegemaran anda daripada stesen Windows XP SP3 gagal dengan ralat berikut:
Desktop Jauh dilumpuhkan.
Komputer jauh memerlukan pengesahan peringkat rangkaian yang tidak disokong oleh komputer. Hubungi pentadbir sistem anda atau sokongan teknikal untuk mendapatkan bantuan.
Dan walaupun Win7 yang menjanjikan mengancam untuk akhirnya menggantikan neneknya WinXP, masalah itu akan kekal relevan untuk satu atau dua tahun lagi.
Berikut ialah perkara yang perlu anda lakukan untuk mendayakan pengesahan lapisan rangkaian:
Buka editor pendaftaran.
Cawangan HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Buka parameter Pakej Keselamatan dan cari perkataan di sana tspkg. Jika tiada, tambahkannya pada parameter sedia ada.
Cawangan HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
Buka parameter Penyedia Keselamatan dan tambah kepada pembekal sedia ada credssp.dll, jika tiada.
Tutup editor pendaftaran.
Sekarang anda perlu but semula. Jika ini tidak dilakukan, maka apabila kami cuba menyambung, komputer akan meminta kami nama pengguna dan kata laluan, tetapi bukannya desktop jauh ia akan bertindak balas dengan yang berikut:
Sambungan komputer jarak jauh
Ralat pengesahan (kod 0x507)
Itu sahaja.
Keselamatan dan kelajuan pelayan sentiasa menjadi masalah, dan setiap tahun perkaitannya hanya berkembang. Oleh sebab itu, Microsoft telah beralih daripada model pengesahan bahagian pelayan asal kepada pengesahan peringkat rangkaian.
Apakah perbezaan antara model ini?
Sebelum ini, apabila menyambung ke Perkhidmatan Terminal, pengguna mencipta sesi dengan pelayan yang melaluinya ia akan memuatkan skrin untuk memasukkan bukti kelayakan untuk pengguna. Kaedah ini menggunakan sumber pelayan walaupun sebelum pengguna mengesahkan kesahihan mereka, membenarkan pengguna yang tidak sah untuk mengatasi sepenuhnya sumber pelayan dengan berbilang permintaan log masuk. Pelayan yang tidak dapat memproses permintaan ini menolak permintaan kepada pengguna yang sah (serangan DoS).
Pengesahan Tahap Rangkaian (NLA) memaksa pengguna memasukkan bukti kelayakan dalam kotak dialog sebelah klien. Secara lalai, jika tiada semakan sijil pengesahan tahap rangkaian pada sisi klien, maka pelayan tidak akan membenarkan sambungan dan ia tidak akan berlaku. NLA meminta komputer klien untuk memberikan bukti kelayakan pengesahannya sebelum membuat sesi dengan pelayan. Proses ini juga dipanggil pengesahan front-end.
NLA telah diperkenalkan kembali dalam RDP 6.0 dan pada mulanya disokong oleh Windows Vista. Daripada versi RDP 6.1 - disokong pada pelayan yang menjalankan sistem pengendalian Windows Server 2008 dan lebih tinggi, dan sokongan pelanggan disediakan pada sistem pengendalian Windows XP SP3 (anda mesti mendayakan pembekal keselamatan baharu dalam pendaftaran) dan lebih tinggi. Kaedah ini menggunakan pembekal keselamatan CredSSP (Credential Security Support Provider). Apabila menggunakan klien desktop jauh untuk sistem pengendalian lain, anda perlu mengetahui tentang sokongan NLAnya.
Kelebihan NLA:
- Tidak memerlukan sumber pelayan yang ketara.
- Tahap tambahan untuk perlindungan terhadap serangan DoS.
- Mempercepatkan proses pengantaraan antara klien dan pelayan.
- Membolehkan anda memanjangkan teknologi "log masuk tunggal" NT untuk berfungsi dengan pelayan terminal.
- Pembekal keselamatan lain tidak disokong.
- Tidak disokong oleh versi klien yang lebih rendah daripada Windows XP SP3 dan versi pelayan yang lebih rendah daripada Windows Server 2008.
- Konfigurasi pendaftaran manual diperlukan pada setiap klien Windows XP SP3.
- Seperti mana-mana skim "log masuk tunggal", ia terdedah kepada kecurian "kunci seluruh kubu".
- Tiada pilihan untuk menggunakan ciri "Memerlukan perubahan kata laluan pada log masuk seterusnya".
Jika anda menggunakan Windows XP semasa menyambung ke pelayan, anda mungkin menerima ralat: "Komputer jauh memerlukan pengesahan peringkat rangkaian, yang tidak disokong oleh komputer ini."
Ralat ini berlaku disebabkan fakta bahawa pada mulanya pengesahan peringkat rangkaian tidak dilaksanakan dalam Windows XP; pembangun melaksanakan ciri ini dalam sistem pengendalian berikutnya. Fail kemas kini juga dikeluarkan kemudian KB951608 yang membetulkan ralat ini dan membenarkan Windows XP melaksanakan pengesahan peringkat rangkaian.
Untuk membolehkan anda menyambung ke pelayan desktop jauh dari komputer anda yang menjalankan Windows XP, anda perlu memasang Pek Perkhidmatan 3 (SP3), dan kemudian lakukan perkara berikut:
Di laman web rasmi Microsoft di halaman Rusia https://support.microsoft.com/ru-ru/kb/951608 muat turun fail pembetulan automatik. Tatal ke bawah halaman dan klik butang "Muat turun" dalam bahagian "Bantuan dalam menyelesaikan masalah".
Halaman bahasa Inggeris juga tersedia untuk anda. https://support.microsoft.com/en-us/kb/951608 di mana anda boleh memuat turun fail ini dengan mengklik butang "Muat turun" dalam bahagian "Cara menghidupkan CredSSP"
Selepas muat turun fail selesai, jalankan untuk pelaksanaan. Selepas menjalankan fail ini, anda akan melihat tetingkap program. Dalam langkah pertama, tandai kotak "Saya Terima". Dalam langkah kedua, klik butang "Seterusnya".
Setelah pemasangan selesai, anda akan melihat tetingkap berikut dengan pemberitahuan "Microsoft Fix ini telah diproses." Apa yang anda perlu lakukan ialah klik "Tutup".
Selepas anda mengklik butang "Tutup", program akan memberitahu anda bahawa anda perlu memulakan semula komputer anda untuk perubahan berkuat kuasa, klik "Ya" untuk memulakan semula.
Selesaikan masalah itu sendiri tanpa memuat turun fail
Jika anda mempunyai kemahiran pentadbiran, anda boleh membuat perubahan pada pendaftaran komputer anda secara manual tanpa perlu memuat turun fail tampalan.
1. Klik butang Mulakan, pilih barang Lari, masukkan arahan regedit dan tekan kekunci Masuk
