Baada ya kusakinisha sasisho KB4103718 kwenye kompyuta yangu ya Windows 7, siwezi kuunganisha kwa mbali kwa seva inayoendesha Windows Server 2012 R2 kupitia RDP. Baada ya kutaja anwani ya seva ya RDP kwenye dirisha la mteja la mstsc.exe na bonyeza "Unganisha", hitilafu inaonekana:

Muunganisho wa Kompyuta ya Mbali

Hitilafu ya uthibitishaji imetokea.

Chaguo za kukokotoa zilizobainishwa hazitumiki.
Kompyuta ya mbali: jina la kompyuta

Baada ya kusanidua sasisho la KB4103718 na kuwasha tena kompyuta, unganisho la RDP lilianza kufanya kazi vizuri. Ikiwa ninaelewa kwa usahihi, hii ni suluhisho la muda tu, mwezi ujao kifurushi kipya cha sasisho kitafika na kosa litarudi? Je, unaweza kupendekeza chochote?

Jibu

Uko sahihi kabisa kwamba haina maana kutatua tatizo, kwa sababu kwa hivyo unaweka kompyuta yako kwenye hatari ya unyonyaji wa udhaifu mbalimbali ambao umefunikwa na patches katika sasisho hili.

Hauko peke yako katika shida yako. Hitilafu hii inaweza kuonekana kwenye mfumo wowote wa uendeshaji wa Windows au Windows Server (si tu Windows 7). Kwa watumiaji wa toleo la Kiingereza la Windows 10, wakati wa kujaribu kuunganishwa na seva ya RDP/RDS, hitilafu kama hiyo inaonekana kama hii:

Hitilafu ya uthibitishaji imetokea.

Chaguo za kukokotoa zilizoombwa hazitumiki.

Kompyuta ya mbali: jina la kompyuta

Hitilafu ya RDP "Hitilafu ya uthibitishaji imetokea" inaweza pia kuonekana wakati wa kujaribu kuzindua programu za RemoteApp.

Kwa nini hii inatokea? Ukweli ni kwamba kompyuta yako ina masasisho ya hivi punde ya usalama (yaliyotolewa baada ya Mei 2018), ambayo yanarekebisha udhaifu mkubwa katika itifaki ya CredSSP (Mtoa Huduma wa Usaidizi wa Kitambulisho) inayotumiwa kwa uthibitishaji kwenye seva za RDP (CVE-2018-0886) (Ninapendekeza usome. makala). Walakini, kwa upande wa seva ya RDP / RDS ambayo unaunganisha kutoka kwa kompyuta yako, masasisho haya hayajasakinishwa, na itifaki ya NLA (Uthibitishaji wa Kiwango cha Mtandao) imewezeshwa kwa ufikiaji wa RDP. Itifaki ya NLA hutumia mbinu za CredSSP ili kuthibitisha mapema watumiaji kupitia TLS/SSL au Kerberos. Kompyuta yako, kwa sababu ya mipangilio mipya ya usalama iliyoletwa na sasisho ulilosakinisha, huzuia tu muunganisho wa kompyuta ya mbali inayotumia toleo hatarishi la CredSSP.

Unaweza kufanya nini ili kurekebisha hitilafu hii na kuunganisha kwenye seva yako ya RDP?

1. Wengi sahihi Njia ya kutatua tatizo ni kusakinisha sasisho za hivi karibuni za usalama wa Windows kwenye kompyuta/seva ambayo unaunganisha kupitia RDP;
2. Mbinu ya muda 1 . Unaweza kuzima Uthibitishaji wa Kiwango cha Mtandao (NLA) kwenye upande wa seva ya RDP (ilivyoelezwa hapa chini);
3. Mbinu ya muda 2 . Unaweza, kwa upande wa mteja, kuruhusu miunganisho kwa seva za RDP na toleo lisilo salama la CredSSP, kama ilivyoelezwa katika makala iliyounganishwa hapo juu. Ili kufanya hivyo unahitaji kubadilisha ufunguo wa Usajili RuhusuEncryptionOracle(amri ya REG ADD
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) au ubadilishe mipangilio ya sera ya ndani Urekebishaji wa Oracle ya Usimbaji/ Rekebisha uwezekano wa kuathiriwa na oracle ya usimbaji fiche), ukiweka thamani yake = Inaweza kuathiriwa / Ondoka katika mazingira magumu).

   Hii ndiyo njia pekee ya kufikia seva ya mbali kupitia RDP ikiwa huna uwezo wa kuingia kwenye seva ndani ya nchi (kupitia console ya ILO, mashine ya kawaida, interface ya wingu, nk). Katika hali hii, utaweza kuunganisha kwenye seva ya mbali na kusakinisha masasisho ya usalama, hivyo kuhamia njia iliyopendekezwa 1. Baada ya kusasisha seva, usisahau kuzima sera au kurudisha thamani muhimu AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Inalemaza NLA kwa RDP kwenye Windows

Ikiwa NLA imewashwa kwa upande wa seva ya RDP unayounganisha, hii inamaanisha kuwa CredSPP inatumika kuthibitisha mapema mtumiaji wa RDP. Unaweza kuzima Uthibitishaji wa Kiwango cha Mtandao katika sifa za mfumo kwenye kichupo Ufikiaji wa mbali(Mbali) , ikiondoa tiki kisanduku cha kuteua "Ruhusu muunganisho kutoka kwa kompyuta zinazotumia Kompyuta ya Mbali yenye Uthibitishaji wa Kiwango cha Mtandao (inapendekezwa)" (Windows 10 / Windows 8).

Katika Windows 7 chaguo hili linaitwa tofauti. Kwenye kichupo Ufikiaji wa mbali unahitaji kuchagua chaguo " Ruhusu miunganisho kutoka kwa kompyuta zinazoendesha toleo lolote la Kompyuta ya Mbali (hatari)/ Ruhusu miunganisho kutoka kwa kompyuta zinazoendesha toleo lolote la Kompyuta ya Mbali (salama kidogo)".

Unaweza pia kuzima Uthibitishaji wa Kiwango cha Mtandao (NLA) kwa kutumia Kihariri cha Sera ya Kikundi cha Mitaa - gpedit.msc(katika Windows 10 Nyumbani, kihariri cha sera ya gpedit.msc kinaweza kuzinduliwa) au kwa kutumia kiweko cha usimamizi wa sera ya kikoa - GPMC.msc. Ili kufanya hivyo, nenda kwenye sehemu Usanidi wa Kompyuta -> Violezo vya Utawala -> VipengeeWindows-> Huduma za Eneo-kazi la Mbali - Mpangishi wa Kipindi cha Eneo-kazi la Mbali -> Usalama(Usanidi wa Kompyuta -> Violezo vya Utawala -> Vipengee vya Windows -> Huduma za Eneo-kazi la Mbali - Kipangishi cha Kipindi cha Kompyuta ya Mbali -> Usalama), kuzima sera (Inahitaji uthibitishaji wa mtumiaji kwa miunganisho ya mbali kwa kutumia Uthibitishaji wa Kiwango cha Mtandao).

Pia inahitajika katika siasa" Inahitaji kiwango maalum cha usalama kwa miunganisho ya mbali ya RDP» (Inahitaji matumizi ya safu maalum ya usalama kwa viunganisho vya mbali (RDP) chagua Tabaka la Usalama - RDP.

Ili kutumia mipangilio mipya ya RDP, unahitaji kusasisha sera (gpupdate/force) au uwashe upya kompyuta. Baada ya hayo, unapaswa kuunganisha kwa ufanisi kwenye seva ya mbali ya desktop.

Fungua mhariri wa Usajili.

Tawi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Fungua parameta ya Vifurushi vya Usalama na utafute neno tspkg hapo. Ikiwa haipo, ongeza kwa vigezo vilivyopo.

Tawi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Fungua kigezo cha SecurityProviders na uongeze credssp.dll kwa watoa huduma waliopo ikiwa hakipo.

Funga kihariri cha Usajili.

Sasa unahitaji kuwasha upya. Hili lisipofanyika, kompyuta itatuuliza jina la mtumiaji na nenosiri, lakini badala ya eneo-kazi la mbali itajibu kwa yafuatayo:

Ni hayo tu.

Wasimamizi wa seva ya Windows 2008 wanaweza kukutana na shida ifuatayo:

Kuunganisha kupitia itifaki ya rdp kwa seva yako uipendayo kutoka kwa kituo cha Windows XP SP3 haifaulu na hitilafu ifuatayo:

Eneo-kazi la Mbali limezimwa.

Kompyuta ya mbali inahitaji uthibitishaji wa kiwango cha mtandao ambao kompyuta haitumii. Wasiliana na msimamizi wa mfumo wako au usaidizi wa kiufundi kwa usaidizi.

Na ingawa Win7 inayoahidi inatishia kuchukua nafasi ya bibi yake WinXP, shida itabaki kuwa muhimu kwa mwaka mwingine au miwili.

Hivi ndivyo unahitaji kufanya ili kuwezesha uthibitishaji wa safu ya mtandao:

Fungua mhariri wa Usajili.

Tawi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Fungua parameter Vifurushi vya Usalama na utafute neno hapo tspkg. Ikiwa haipo, ongeza kwa vigezo vilivyopo.

Tawi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Fungua parameter Watoa Usalama na kuongeza kwa watoa huduma waliopo credssp.dll, ikiwa hakuna.

Funga kihariri cha Usajili.

Sasa unahitaji kuwasha upya. Ikiwa hii haijafanywa, basi tunapojaribu kuunganisha, kompyuta itatuuliza jina la mtumiaji na nenosiri, lakini badala ya desktop ya mbali itajibu kwa zifuatazo:

Muunganisho wa Kompyuta ya Mbali

Hitilafu ya uthibitishaji (msimbo 0x507)

Ni hayo tu.

Usalama na kasi ya seva daima imekuwa tatizo, na kila mwaka umuhimu wao unakua tu. Kwa sababu hii, Microsoft imehama kutoka kwa mtindo asili wa uthibitishaji wa upande wa seva hadi uthibitishaji wa kiwango cha mtandao.

Kuna tofauti gani kati ya mifano hii?
Hapo awali, wakati wa kuunganisha kwa Huduma za Kituo, mtumiaji aliunda kipindi na seva ambayo seva hiyo ingepakia skrini ili kuingiza kitambulisho kwa mtumiaji. Njia hii hutumia rasilimali za seva hata kabla ya mtumiaji kuthibitisha uhalali wao, ikiruhusu mtumiaji haramu kuzidi kabisa rasilimali za seva kwa maombi mengi ya kuingia. Seva ambayo haiwezi kushughulikia maombi haya inakataa maombi kwa watumiaji halali (Shambulio la DoS).

Uthibitishaji wa Kiwango cha Mtandao (NLA) humlazimisha mtumiaji kuingiza vitambulisho kwenye kisanduku cha mazungumzo cha upande wa mteja. Kwa chaguo-msingi, ikiwa hakuna cheti cha kiwango cha mtandao cha hundi ya uthibitishaji kwa upande wa mteja, basi seva haitaruhusu uunganisho na haitatokea. NLA inaomba kompyuta ya mteja kutoa vitambulisho vyake vya uthibitishaji kabla ya kuunda kipindi na seva. Utaratibu huu pia huitwa uthibitishaji wa mwisho wa mbele.

NLA ilianzishwa nyuma katika RDP 6.0 na iliungwa mkono mwanzoni na Windows Vista. Kutoka kwa toleo la RDP 6.1 - inayoungwa mkono kwenye seva zinazoendesha mfumo wa uendeshaji wa Windows Server 2008 na ya juu zaidi, na usaidizi wa mteja hutolewa kwenye mifumo ya uendeshaji ya Windows XP SP3 (lazima uwezesha mtoa huduma mpya wa usalama kwenye Usajili) na juu zaidi. Mbinu hutumia mtoa huduma wa usalama wa CredSSP (Mtoa Huduma wa Usaidizi wa Uthibitisho). Unapotumia mteja wa eneo-kazi la mbali kwa mfumo mwingine wa uendeshaji, unahitaji kujua kuhusu usaidizi wake wa NLA.

• Haihitaji rasilimali muhimu za seva.
• Kiwango cha ziada cha ulinzi dhidi ya mashambulizi ya DoS.
• Huharakisha mchakato wa upatanishi kati ya mteja na seva.
• Inakuruhusu kupanua teknolojia ya NT ya "kuingia moja" kufanya kazi na seva ya terminal.

• Watoa huduma wengine wa usalama hawatumiki.
• Haitumiki na matoleo ya mteja chini ya Windows XP SP3 na matoleo ya seva ya chini kuliko Windows Server 2008.
• Usanidi wa usajili wa mwongozo unahitajika kwa kila mteja wa Windows XP SP3.
• Kama mpango wowote wa "kuingia mara moja", inaweza kuathiriwa na wizi wa "funguo za ngome nzima."
• Hakuna chaguo la kutumia kipengele cha "Inahitaji mabadiliko ya nenosiri wakati wa kuingia tena".

Ikiwa unatumia Windows XP unapounganisha kwenye seva, unaweza kupokea hitilafu: "Kompyuta ya mbali inahitaji uthibitishaji wa kiwango cha mtandao, ambao kompyuta hii haiungi mkono."

Hitilafu hii hutokea kutokana na ukweli kwamba awali uthibitishaji wa kiwango cha mtandao haukutekelezwa katika Windows XP; watengenezaji walitekeleza kipengele hiki katika mifumo ya uendeshaji iliyofuata. Faili ya sasisho pia ilitolewa baadaye KB951608 ambayo ilirekebisha hitilafu hii na kuruhusu Windows XP kutekeleza uthibitishaji wa kiwango cha mtandao.

Ili uweze kuunganisha kwenye seva ya kompyuta ya mbali kutoka kwa kompyuta yako inayoendesha Windows XP, unahitaji kusakinisha Service Pack 3 (SP3), na kisha ufanye yafuatayo:

Kwenye tovuti rasmi ya Microsoft kwenye ukurasa wa Kirusi https://support.microsoft.com/ru-ru/kb/951608 pakua faili ya kurekebisha kiotomatiki. Tembeza chini ya ukurasa na ubofye kitufe cha "Pakua" katika sehemu ya "Msaada katika kutatua tatizo".

Ukurasa wa Kiingereza pia unapatikana kwako. https://support.microsoft.com/en-us/kb/951608 ambapo unaweza kupakua faili hii kwa kubofya kitufe cha "Pakua" katika sehemu ya "Jinsi ya kuwasha CredSSP"

Baada ya upakuaji wa faili kukamilika, iendesha kwa utekelezaji. Baada ya kuendesha faili hii utaona dirisha la programu. Katika hatua ya kwanza, chagua kisanduku "Ninakubali". Katika hatua ya pili, bofya kitufe cha "Next".

Mara tu usakinishaji utakapokamilika, utaona dirisha lifuatalo na arifa "Urekebishaji huu wa Microsoft umechakatwa." Unachohitajika kufanya ni kubofya "Funga."

Baada ya kubofya kitufe cha "Funga", programu itakuambia kwamba unahitaji kuanzisha upya kompyuta yako ili mabadiliko yatekeleze, bofya "Ndiyo" ili uanze upya.

Tatua tatizo mwenyewe bila kupakua faili

Ikiwa una ujuzi wa utawala, unaweza kufanya mabadiliko kwenye sajili ya kompyuta yako mwenyewe bila kupakua faili ya kiraka.

1. Bofya kitufe Anza, chagua kipengee Kimbia, ingiza amri regedit na bonyeza kitufe Ingiza