სერვერების უსაფრთხოება და სიჩქარე ყოველთვის პრობლემა იყო და ყოველწლიურად მათი აქტუალობა მხოლოდ იზრდება. ამის გამო, მაიკროსოფტი გადავიდა სერვერის მხრიდან ავტორიზაციის ორიგინალური მოდელიდან ქსელის დონის ავთენტიფიკაციაზე.
რა განსხვავებაა ამ მოდელებს შორის?
ადრე, Terminal Services-თან დაკავშირებისას, მომხმარებელი ქმნიდა სესიას სერვერთან, რომლის მეშვეობითაც ეს უკანასკნელი ატვირთავდა ეკრანს მომხმარებლისთვის რწმუნებათა სიგელების შესაყვანად. ეს მეთოდი მოიხმარს სერვერის რესურსებს მანამ, სანამ მომხმარებელი არ დაადასტურებს მათ ლეგიტიმურობას, რაც საშუალებას აძლევს არალეგალურ მომხმარებელს მთლიანად გადალახოს სერვერის რესურსები მრავალი შესვლის მოთხოვნით. სერვერი, რომელსაც არ შეუძლია ამ მოთხოვნების დამუშავება, უარყოფს მოთხოვნებს ლეგიტიმური მომხმარებლებისთვის (DoS შეტევა).
ქსელის დონის ავთენტიფიკაცია (NLA) აიძულებს მომხმარებელს შეიყვანოს რწმუნებათა სიგელები კლიენტის მხარეს დიალოგურ ფანჯარაში. ნაგულისხმევად, თუ კლიენტის მხარეს არ არის ავთენტიფიკაციის შემოწმების ქსელის დონის სერტიფიკატი, მაშინ სერვერი არ დაუშვებს კავშირს და ეს არ მოხდება. NLA ითხოვს კლიენტის კომპიუტერისერვერთან სესიის შექმნამდე მიაწოდეთ თქვენი ავთენტიფიკაციის სერთიფიკატები. ამ პროცესს ასევე უწოდებენ წინა ავთენტიფიკაციას.
NLA დაინერგა ისევ RDP 6.0-ში და თავდაპირველად მხარდაჭერილი იყო Windows Vista. RDP 6.1 ვერსიიდან - მხარდაჭერილია სერვერებზე, რომლებიც მუშაობენ Windows Server 2008 და უფრო მაღალი ოპერაციული სისტემით, ხოლო კლიენტის მხარდაჭერა უზრუნველყოფილია Windows XP SP3 ოპერაციულ სისტემებზე (თქვენ უნდა ჩართოთ უსაფრთხოების ახალი პროვაიდერი რეესტრში) და უფრო მაღალი. მეთოდი იყენებს CredSSP (Credential Security Support Provider) უსაფრთხოების პროვაიდერს. სხვა ოპერაციული სისტემისთვის დისტანციური დესკტოპის კლიენტის გამოყენებისას, თქვენ უნდა გაიგოთ მისი NLA მხარდაჭერის შესახებ.
NLA-ს უპირატესობები:
- არ საჭიროებს სერვერის მნიშვნელოვან რესურსებს.
- დამატებითი ფენა DoS შეტევებისგან დაცვისთვის.
- აჩქარებს მედიაციის პროცესს კლიენტსა და სერვერს შორის.
- საშუალებას გაძლევთ გააფართოვოთ NT "ერთჯერადი შესვლის" ტექნოლოგია ტერმინალის სერვერთან მუშაობისთვის.
- უსაფრთხოების სხვა პროვაიდერები არ არის მხარდაჭერილი.
- არ არის მხარდაჭერილი კლიენტის ვერსიებით Windows XP SP3 ქვემოთ და სერვერის ვერსიებით Windows Server 2008-ის ქვემოთ.
- საჭირო ხელით დაყენებარეესტრი თითოეულზე Windows კლიენტი XP SP3.
- ნებისმიერი „ერთჯერადი შესვლის“ სქემის მსგავსად, ის დაუცველია „მთელი ციხესიმაგრის გასაღებების“ მოპარვისგან.
- არ არსებობს ვარიანტი, რომ გამოიყენოთ "პაროლის შეცვლა მომდევნო შესვლისას".
გახსენით რეესტრის რედაქტორი.
ფილიალი HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
გახსენით უსაფრთხოების პაკეტების პარამეტრი და მოძებნეთ სიტყვა tspkg. თუ ის იქ არ არის, დაამატეთ იგი არსებულ პარამეტრებს.
ფილიალი HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
გახსენით SecurityProviders პარამეტრი და დაამატეთ credssp.dll არსებულ პროვაიდერებს, თუ ის აკლია.
დახურეთ რეესტრის რედაქტორი.
ახლა თქვენ უნდა გადატვირთოთ. თუ ეს არ გაკეთებულა, კომპიუტერი მოგვთხოვს მომხმარებლის სახელსა და პაროლს, მაგრამ დისტანციური დესკტოპის ნაცვლად ის გიპასუხებს შემდეგნაირად:
Სულ ეს არის.
სერვერის ადმინისტრატორები მისამართზე Windows-ზე დაფუძნებული 2008 წელს შეიძლება შემდეგი პრობლემა შეექმნას:
rdp პროტოკოლით დაკავშირება თქვენს საყვარელ სერვერთან Windows XP SP3 სადგურიდან ვერ ხერხდება შემდეგი შეცდომით:
დისტანციური სამუშაო მაგიდა გამორთულია.
დისტანციური კომპიუტერიმოითხოვს ქსელის დონის ავთენტიფიკაციას, რომელიც ამ კომპიუტერსარ უჭერს მხარს. დაუკავშირდით დახმარებისთვის სისტემის ადმინისტრატორიან დაუკავშირდით ტექნიკურ მხარდაჭერას.
და მიუხედავად იმისა, რომ პერსპექტიული Win7 ემუქრება საბოლოოდ შეცვლის ბებიას WinXP-ს, პრობლემა აქტუალური დარჩება კიდევ ერთი ან ორი წლის განმავლობაში.
აი, რა უნდა გააკეთოთ ქსელის ფენის ავტორიზაციის გასააქტიურებლად:
გახსენით რეესტრის რედაქტორი.
ფილიალი HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
გახსენით პარამეტრი უსაფრთხოების პაკეტები და ეძებეთ სიტყვა იქ ც.კგ. თუ ის იქ არ არის, დაამატეთ იგი არსებულ პარამეტრებს.
ფილიალი HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
გახსენით პარამეტრი უსაფრთხოების პროვაიდერები და დაამატეთ არსებულ პროვაიდერებს credssp.dll, თუ არ არსებობს.
დახურეთ რეესტრის რედაქტორი.
ახლა თქვენ უნდა გადატვირთოთ. თუ ეს არ გაკეთებულა, მაშინ, როდესაც ჩვენ ვცდილობთ დაკავშირებას, კომპიუტერი მოგვთხოვს მომხმარებლის სახელს და პაროლს, მაგრამ დისტანციური დესკტოპის ნაცვლად ის გიპასუხებს შემდეგნაირად:
დისტანციური დესკტოპის კავშირი
ავტორიზაციის შეცდომა (კოდი 0x507)
Სულ ეს არის.
ჩემს Windows 7 კომპიუტერზე განახლების KB4103718 დაყენების შემდეგ, მე არ შემიძლია დისტანციურად დაკავშირება სერვერთან, რომელიც მუშაობს Windows Server 2012 R2 RDP-ის საშუალებით. მას შემდეგ რაც mstsc.exe კლიენტის ფანჯარაში დავაზუსტებ RDP სერვერის მისამართს და დავაწკაპუნებ "დაკავშირება", ჩნდება შეცდომა:
დისტანციური დესკტოპის კავშირი
მოხდა ავტორიზაციის შეცდომა.
მითითებული ფუნქციაარ არის მხარდაჭერილი.
დისტანციური კომპიუტერი: კომპიუტერის სახელი
KB4103718 განახლების დეინსტალაციისა და კომპიუტერის გადატვირთვის შემდეგ, RDP კავშირმა კარგად დაიწყო მუშაობა. თუ სწორად მესმის, ეს მხოლოდ დროებითი გამოსავალია შემდეგი თვეჩამოვა ახალი კუმულაციური განახლების პაკეტი და დაბრუნდება შეცდომა? შეგიძლიათ რაიმეს მირჩიოთ?
უპასუხე
თქვენ აბსოლუტურად მართალი ხართ, რომ უაზროა პრობლემის მოგვარება, რადგან ამით თქვენს კომპიუტერს აყენებთ სხვადასხვა მოწყვლადობის ექსპლუატაციის რისკს, რომლებიც დაფარულია ამ განახლების პატჩებით.
თქვენ მარტო არ ხართ თქვენს პრობლემაში. ეს შეცდომა შეიძლება გამოჩნდეს ნებისმიერ საოპერაციო ოთახში. Windows სისტემაან Windows Server (არა მხოლოდ Windows 7). ინგლისელი მომხმარებლებისთვის ვინდოუსის ვერსიები 10, RDP/RDS სერვერთან დაკავშირების მცდელობისას, მსგავსი შეცდომა ასე გამოიყურება:
მოხდა ავტორიზაციის შეცდომა.
მოთხოვნილი ფუნქცია არ არის მხარდაჭერილი.
დისტანციური კომპიუტერი: კომპიუტერის სახელი
RDP შეცდომა „მოხდა ავთენტიფიკაციის შეცდომა“ ასევე შეიძლება გამოჩნდეს RemoteApp აპლიკაციების გაშვების მცდელობისას.
Რატომ ხდება ეს? ფაქტია, რომ თქვენ დააინსტალირეთ თქვენს კომპიუტერში მიმდინარე განახლებებიუსაფრთხოება (გამოშვებული 2018 წლის მაისის შემდეგ), რომელიც აფიქსირებს სერიოზულ დაუცველობას CredSSP (Credential Security Support Provider) პროტოკოლში, რომელიც გამოიყენება RDP სერვერებზე ავთენტიფიკაციისთვის (CVE-2018-0886) (მე გირჩევთ სტატიის წაკითხვას). თუმცა, RDP / RDS სერვერის მხარეს, რომელსაც უკავშირდებით თქვენი კომპიუტერიდან, ეს განახლებები არ არის დაინსტალირებული და NLA (ქსელის დონის ავთენტიფიკაცია) პროტოკოლი ჩართულია RDP წვდომისთვის. NLA პროტოკოლი იყენებს CredSSP მექანიზმებს მომხმარებლების წინასწარი ავთენტიფიკაციისთვის TLS/SSL ან Kerberos-ის საშუალებით. თქვენი კომპიუტერი, თქვენს მიერ დაინსტალირებული განახლებით დანერგილი უსაფრთხოების ახალი პარამეტრების გამო, უბრალოდ ბლოკავს კავშირს დისტანციურ კომპიუტერთან, რომელიც იყენებს CredSSP-ის დაუცველ ვერსიას.
რა შეგიძლიათ გააკეთოთ ამ შეცდომის გამოსასწორებლად და თქვენს RDP სერვერთან დასაკავშირებლად?
- უმეტესობა სწორიპრობლემის გადაჭრის გზა - ინსტალაცია უახლესი განახლებები Windows უსაფრთხოებაკომპიუტერზე/სერვერზე, რომელსაც უკავშირდებით RDP-ის საშუალებით;
- დროებითი მეთოდი 1 . შეგიძლიათ გამორთოთ ქსელის დონის ავთენტიფიკაცია (NLA) RDP სერვერის მხარეს (აღწერილია ქვემოთ);
- დროებითი მეთოდი 2
. თქვენ შეგიძლიათ, კლიენტის მხრიდან, დაუშვათ კავშირი RDP სერვერებთან CredSSP-ის არასაიმედო ვერსიით, როგორც ეს აღწერილია ზემოთ დაკავშირებულ სტატიაში. ამისათვის თქვენ უნდა შეცვალოთ რეესტრის გასაღები AllowEncryptionOracle(REG ADD ბრძანება
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) ან შეცვალეთ პარამეტრები ადგილობრივი პოლიტიკა დაშიფვრა Oracle Remediation/ დააფიქსირეთ დაშიფვრის ორაკულის დაუცველობა), დააყენეთ მისი მნიშვნელობა = დაუცველი / დატოვეთ დაუცველობა).ეს არის წვდომის ერთადერთი გზა დისტანციური სერვერი RDP-ის საშუალებით, თუ არ გაქვთ სერვერზე ლოკალურად შესვლის შესაძლებლობა (ILO კონსოლის მეშვეობით, ვირტუალური ხელსაწყო, ღრუბლოვანი ინტერფეისი და ა.შ.). ამ რეჟიმში, თქვენ შეძლებთ დაუკავშირდეთ დისტანციურ სერვერს და დააინსტალიროთ უსაფრთხოების განახლებები, რითაც გადადით რეკომენდებულ მეთოდზე 1. სერვერის განახლების შემდეგ არ დაგავიწყდეთ პოლიტიკის გამორთვა ან საკვანძო მნიშვნელობის დაბრუნება AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle/t/t
NLA გამორთვა RDP-სთვის Windows-ზე
თუ NLA ჩართულია RDP სერვერის მხარეს, რომელსაც უკავშირდებით, ეს ნიშნავს, რომ CredSPP გამოიყენება RDP მომხმარებლის წინასწარი ავთენტიფიკაციისთვის. თქვენ შეგიძლიათ გამორთოთ ქსელის დონის ავთენტიფიკაცია სისტემის თვისებებში ჩანართზე დისტანციური წვდომა (დისტანციური) , მოხსნით მონიშვნის ველს „დაკავშირების დაშვება მხოლოდ კომპიუტერებიდან, რომლებიც მუშაობენ დისტანციური დესკტოპით ქსელის დონის ავთენტიფიკაციით (რეკომენდებულია)“ (Windows 10 / Windows 8).
Windows 7-ში ამ პარამეტრს სხვანაირად უწოდებენ. ჩანართზე დისტანციური წვდომათქვენ უნდა აირჩიოთ ვარიანტი " დაუშვით კავშირები კომპიუტერებიდან, რომლებსაც აქვთ დისტანციური დესკტოპის ნებისმიერი ვერსია (საშიში)/ დაუშვით კავშირები კომპიუტერებიდან, რომლებიც მუშაობენ დისტანციური დესკტოპის ნებისმიერი ვერსიით (ნაკლებად უსაფრთხო)".
თქვენ ასევე შეგიძლიათ გამორთოთ ქსელის დონის ავთენტიფიკაცია (NLA) ადგილობრივი რედაქტორის გამოყენებით ჯგუფის პოლიტიკა - gpedit.msc(Windows 10 Home-ში შესაძლებელია gpedit.msc პოლიტიკის რედაქტორის გაშვება) ან დომენის პოლიტიკის მართვის კონსოლის გამოყენებით - GPMC.msc. ამისათვის გადადით განყოფილებაში კომპიუტერის კონფიგურაცია –> ადმინისტრაციული შაბლონები –> კომპონენტებიფანჯრები–> დისტანციური დესკტოპის სერვისები – დისტანციური დესკტოპის სესიის ჰოსტი –> უსაფრთხოება(კომპიუტერის კონფიგურაცია –> ადმინისტრაციული შაბლონები –> Windows კომპონენტები –> დისტანციური დესკტოპის სერვისები – დისტანციური დესკტოპის სესიის ჰოსტი –> უსაფრთხოება), გამორთვაპოლიტიკა (მოითხოვეთ მომხმარებლის ავტორიზაცია დისტანციური კავშირებისთვის ქსელის დონის ავთენტიფიკაციის გამოყენებით).
ასევე საჭიროა პოლიტიკაში" მოითხოვს უსაფრთხოების სპეციალური დონის გამოყენებას დისტანციური კავშირები RDP პროტოკოლის საშუალებით» (მოითხოვს უსაფრთხოების სპეციფიკური ფენის გამოყენებას დისტანციური (RDP) კავშირებისთვის) აირჩიეთ უსაფრთხოების ფენა - RDP.
ახალი RDP პარამეტრების გამოსაყენებლად, თქვენ უნდა განაახლოთ პოლიტიკა (gpupdate /force) ან გადატვირთოთ კომპიუტერი. ამის შემდეგ, თქვენ წარმატებით უნდა დაუკავშირდეთ დისტანციური დესკტოპის სერვერს.
თუ სერვერთან დაკავშირებისას იყენებთ Windows XP-ს, შეიძლება მიიღოთ შეცდომა: „დისტანციური კომპიუტერი საჭიროებს ქსელის დონის ავთენტიფიკაციას, რომელსაც ეს კომპიუტერი არ უჭერს მხარს“.
ეს შეცდომა ჩნდება იმის გამო, რომ თავდაპირველად ქსელის დონის ავტორიზაცია არ იყო დანერგილი Windows XP-ში, დეველოპერებმა განახორციელეს ეს ფუნქცია მომდევნო ოპერაციულ სისტემებში. მოგვიანებით გამოვიდა განახლების ფაილიც KB951608რომელმაც გაასწორა ეს შეცდომადა საშუალება მისცა Windows XP-ს განახორციელოს ქსელის დონის ავტორიზაცია.
იმისათვის, რომ შეძლოთ დაკავშირება დისტანციური დესკტოპის სერვერთან თქვენი კომპიუტერიდან, რომელიც მუშაობს Windows XP, თქვენ უნდა დააინსტალიროთ Service Pack 3 (SP3) და შემდეგ გააკეთოთ შემდეგი:
Microsoft-ის ოფიციალურ ვებსაიტზე რუსულ გვერდზე https://support.microsoft.com/ru-ru/kb/951608ჩამოტვირთეთ ავტომატური გამოსწორების ფაილი. გადაახვიეთ გვერდი ქვემოთ და დააჭირეთ ღილაკს "ჩამოტვირთვა" განყოფილებაში "დახმარება პრობლემის გადაჭრაში".
თქვენთვის ხელმისაწვდომია ინგლისური გვერდიც. https://support.microsoft.com/en-us/kb/951608საიდანაც შეგიძლიათ ჩამოტვირთოთ ეს ფაილი ღილაკზე „ჩამოტვირთვა“ დაწკაპუნებით „როგორ ჩართოთ CredSSP“ განყოფილებაში
ფაილის ჩამოტვირთვის დასრულების შემდეგ, გაუშვით იგი შესასრულებლად. გაშვების შემდეგ ამ ფაილისთქვენ ნახავთ პროგრამის ფანჯარას. პირველ ეტაპზე, შეამოწმეთ ყუთი "მე ვეთანხმები". მეორე ეტაპზე დააჭირეთ ღილაკს "შემდეგი".
ინსტალაციის დასრულების შემდეგ, თქვენ იხილავთ შემდეგ ფანჯარას შეტყობინებებით "ეს Microsoft Fix არის დამუშავებული".
მას შემდეგ რაც დააწკაპუნებთ ღილაკზე „დახურვა“, პროგრამა მიუთითებს, რომ თქვენ უნდა გადატვირთოთ კომპიუტერი ცვლილებების ძალაში შესვლისთვის, დააჭირეთ „დიახ“ გადატვირთვისთვის.
თავად მოაგვარეთ პრობლემა ფაილის ჩამოტვირთვის გარეშე
თუ თქვენ გაქვთ ადმინისტრაციული უნარები, შეგიძლიათ ხელით შეიტანოთ ცვლილებები თქვენი კომპიუტერის რეესტრში პატჩი ფაილის ჩამოტვირთვის გარეშე.
1. დააჭირეთ ღილაკს დაწყება, აირჩიეთ ელემენტი გაიქეცი, შეიყვანეთ ბრძანება რეგედიტიდა დააჭირეთ ღილაკს შედი
