Securitatea și viteza serverelor au fost întotdeauna o problemă, iar în fiecare an relevanța lor crește doar. Din acest motiv, Microsoft a trecut de la modelul original de autentificare pe partea de server la autentificarea la nivel de rețea.
Care este diferența dintre aceste modele?
Anterior, la conectarea la Terminal Services, utilizatorul crea o sesiune cu serverul prin care acesta din urmă încărca un ecran pentru a introduce acreditările pentru utilizator. Această metodă consumă resursele serverului chiar înainte ca utilizatorul să-și verifice legitimitatea, permițând unui utilizator ilegal să copleșească complet resursele serverului cu mai multe solicitări de conectare. Un server care nu poate procesa aceste solicitări refuză solicitările utilizatorilor legitimi (atac DoS).
Autentificarea la nivel de rețea (NLA) forțează utilizatorul să introducă acreditările într-o casetă de dialog la nivelul clientului. În mod implicit, dacă nu există un certificat de autentificare la nivel de rețea pe partea clientului, atunci serverul nu va permite conexiunea și nu se va întâmpla. solicitările NLA computer client furnizați-vă acreditările de autentificare înainte de a crea o sesiune cu serverul. Acest proces se mai numește și autentificare front-end.
NLA a fost introdus înapoi în RDP 6.0 și a fost acceptat inițial Windows Vista. Din versiunea RDP 6.1 - acceptat pe servere care rulează sistemul de operare Windows Server 2008 și versiuni ulterioare, iar suportul pentru clienți este furnizat pe sistemele de operare Windows XP SP3 (trebuie să activați noul furnizor de securitate în registru) și o versiune ulterioară. Metoda folosește furnizorul de securitate CredSSP (Credential Security Support Provider). Când utilizați un client desktop la distanță pentru un alt sistem de operare, trebuie să aflați despre suportul NLA al acestuia.
Avantajele NLA:
- Nu necesită resurse semnificative de server.
- Nivel suplimentar de protecție împotriva atacurilor DoS.
- Accelerează procesul de mediere între client și server.
- Vă permite să extindeți tehnologia NT „autentificare unică” pentru a lucra cu un server terminal.
- Alți furnizori de securitate nu sunt acceptați.
- Nu este acceptat de versiunile client mai mici decât Windows XP SP3 și versiunile de server mai mici decât Windows Server 2008.
- Necesar setare manuală registru pe fiecare Client Windows XP SP3.
- Ca orice schemă de „autentificare unică”, este vulnerabilă la furtul „cheilor întregii cetăți”.
- Nu există nicio opțiune de a utiliza funcția „Solicită modificarea parolei la următoarea conectare”.
Deschideți editorul de registry.
Filială HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Deschideți parametrul Pachete de securitate și căutați acolo cuvântul tspkg. Dacă nu există, adăugați-l la parametrii existenți.
Filială HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
Deschideți parametrul SecurityProviders și adăugați credssp.dll la furnizorii existenți dacă acesta lipsește.
Închideți editorul de registry.
Acum trebuie să reporniți. Dacă acest lucru nu se face, computerul ne va cere un nume de utilizator și o parolă, dar în loc de desktopul de la distanță va răspunde cu următoarele:
Asta e tot.
Administratorii de server la Bazat pe Windows 2008 ar putea avea de înfruntat următoarea problemă:
Conectarea prin protocolul rdp la serverul preferat de la o stație Windows XP SP3 eșuează cu următoarea eroare:
Desktop la distanță este dezactivat.
Computerul de la distanță necesită autentificare la nivel de rețea, care acest calculator nu suporta. Contactați pentru ajutor administrator de sistem sau contactați asistența tehnică.
Și deși promițătorul Win7 amenință să o înlocuiască în cele din urmă pe bunica sa WinXP, problema va rămâne relevantă încă un an sau doi.
Iată ce trebuie să faceți pentru a activa autentificarea stratului de rețea:
Deschideți editorul de registry.
Ramura HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Deschideți parametrul Pachete de securitate și caută cuvântul acolo tspkg. Dacă nu există, adăugați-l la parametrii existenți.
Ramura HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
Deschideți parametrul Furnizori de securitate și adăugați la furnizorii existenți credssp.dll, dacă nu există.
Închideți editorul de registry.
Acum trebuie să reporniți. Dacă acest lucru nu se face, atunci când încercăm să ne conectăm, computerul ne va cere un nume de utilizator și o parolă, dar în loc de desktopul de la distanță va răspunde cu următoarele:
Conexiune la desktop la distanță
Eroare de autentificare (cod 0x507)
Asta e tot.
Dacă utilizați Windows XP când vă conectați la server, este posibil să primiți o eroare: „Computerul de la distanță necesită autentificare la nivel de rețea, pe care acest computer nu o acceptă”.
Această eroare apare din cauza faptului că inițial sistemul de operare Windows XP nu a implementat autentificarea la nivel de rețea; dezvoltatorii au implementat această caracteristică în sistemele de operare ulterioare. Ulterior a fost lansat și un fișier de actualizare KB951608 care a corectat această eroare și a permis Windows XP să implementeze autentificarea la nivel de rețea.
Pentru a vă putea conecta la un server desktop la distanță de pe computerul dvs. care rulează Windows XP, trebuie să instalați Service Pack 3 (SP3) și apoi să faceți următoarele:
Pe site-ul oficial Microsoft pe pagina rusă https://support.microsoft.com/ru-ru/kb/951608 descărcați fișierul de remediere automată. Derulați în jos în pagină și faceți clic pe butonul „Descărcare” din secțiunea „Ajutor la rezolvarea problemei”.
De asemenea, aveți la dispoziție o pagină în limba engleză. https://support.microsoft.com/en-us/kb/951608 de unde puteți descărca acest fișier făcând clic pe butonul „Descărcare” din secțiunea „Cum se activează CredSSP”
După ce descărcarea fișierului este completă, rulați-l pentru execuție. După lansare acest fișier Veți vedea o fereastră de program. În primul pas, bifați caseta „Accept”. În al doilea pas, faceți clic pe butonul „Următorul”.
Odată ce instalarea este finalizată, veți vedea următoarea fereastră cu notificarea „Această remediere Microsoft a fost procesată”. Tot ce trebuie să faceți este să faceți clic pe „Închidere”.
După ce faceți clic pe butonul „Închidere”, programul vă va spune că trebuie să reporniți computerul pentru ca modificările să aibă efect, faceți clic pe „Da” pentru a reporni.
Rezolvați singur problema fără a descărca un fișier
Dacă aveți abilități administrative, puteți face modificări în registrul computerului dvs. manual, fără a fi nevoie să descărcați un fișier de corecție.
1. Faceți clic pe butonul start, selectați elementul Alerga, introduceți comanda regeditși apăsați tasta introduce
După instalarea actualizării KB4103718 pe computerul meu cu Windows 7, nu mă pot conecta de la distanță la un server care rulează Windows Server 2012 R2 prin RDP. După ce specific adresa serverului RDP în fereastra clientului mstsc.exe și dau clic pe „Conectează”, apare eroarea:
Conexiune la desktop la distanță
A apărut o eroare de autentificare.
Funcția specificată nu este acceptată.
Computer la distanță: nume computer
După ce am dezinstalat actualizarea KB4103718 și am repornit computerul, conexiunea RDP a început să funcționeze bine. Dacă am înțeles bine, aceasta este doar o soluție temporară, în luna viitoare va sosi un nou pachet de actualizare cumulativă și va reveni eroarea? Poti recomanda ceva?
Răspuns
Aveți perfectă dreptate că nu are rost să rezolvați problema, deoarece vă expuneți astfel computerul la riscul exploatării diferitelor vulnerabilități care sunt închise de patch-uri în această actualizare.
Nu ești singur în problema ta. Această eroare poate apărea în orice sală de operație. sistem Windows sau Windows Server (nu numai Windows 7). Pentru utilizatorii englezi versiuni Windows 10, când încercați să vă conectați la un server RDP/RDS, o eroare similară arată astfel:
A apărut o eroare de autentificare.
Funcția solicitată nu este acceptată.
Computer la distanță: nume computer
Eroarea RDP „A apărut o eroare de autentificare” poate apărea și atunci când încercați să lansați aplicații RemoteApp.
De ce se întâmplă asta? Faptul este că ați instalat pe computer actualizările curente securitate (lansat după mai 2018), care remediază o vulnerabilitate gravă în protocolul CredSSP (Credential Security Support Provider) utilizat pentru autentificare pe serverele RDP (CVE-2018-0886) (recomand să citești articolul). Cu toate acestea, pe partea serverului RDP / RDS la care vă conectați de pe computer, aceste actualizări nu sunt instalate, iar protocolul NLA (Network Level Authentication) este activat pentru acces RDP. Protocolul NLA utilizează mecanisme CredSSP pentru a pre-autentifica utilizatorii prin TLS/SSL sau Kerberos. Computerul dvs., datorită noilor setări de securitate introduse de actualizarea pe care ați instalat-o, pur și simplu blochează conexiunea la care computer la distanță, care utilizează o versiune vulnerabilă a CredSSP.
Ce puteți face pentru a remedia această eroare și a vă conecta la serverul RDP?
- Cel mai corect modalitate de a rezolva problema - instalare ultimele actualizări securitate Windows pe computerul/serverul la care vă conectați prin RDP;
- Metoda temporară 1 . Puteți dezactiva autentificarea la nivel de rețea (NLA) pe partea serverului RDP (descris mai jos);
- Metoda temporară 2
. Puteți, din partea clientului, să permiteți conexiuni la servere RDP cu o versiune nesigură a CredSSP, așa cum este descris în articolul de mai sus. Pentru a face acest lucru, trebuie să schimbați cheia de registry AllowEncryptionOracle(comanda REG ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) sau modificați setările politica locala Criptare Oracle Remediation/ Remediați vulnerabilitatea oracolului de criptare), stabilirea valorii acesteia = Vulnerabil / Lăsați vulnerabilitatea).Acesta este singurul mod de acces server la distanta prin RDP, dacă nu aveți capacitatea de a vă conecta la server local (prin consola ILO, mașină virtuală, interfață cloud etc.). În acest mod, veți putea să vă conectați la un server la distanță și să instalați actualizări de securitate, trecând astfel la metoda recomandată 1. După actualizarea serverului, nu uitați să dezactivați politica sau să returnați valoarea cheii AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0
Dezactivarea NLA pentru RDP pe Windows
Dacă NLA este activat pe partea serverului RDP la care vă conectați, aceasta înseamnă că CredSPP este utilizat pentru a pre-autentifica utilizatorul RDP. Puteți dezactiva autentificarea la nivel de rețea din proprietățile sistemului din filă Acces de la distanță (la distanta) , debifând caseta de selectare „Permite conectarea numai de pe computere care rulează Desktop la distanță cu autentificare la nivel de rețea (recomandat)” (Windows 10 / Windows 8).
În Windows 7, această opțiune este numită diferit. Pe fila Acces de la distanță trebuie să selectați opțiunea " Permite conexiuni de la computere care rulează orice versiune de Desktop la distanță (periculos)/ Permite conexiuni de la computere care rulează orice versiune de Desktop la distanță (mai puțin sigură)".
De asemenea, puteți dezactiva autentificarea la nivel de rețea (NLA) utilizând Editorul local Politica de grup - gpedit.msc(în Windows 10 Home, editorul de politici gpedit.msc poate fi lansat) sau folosind consola de gestionare a politicilor de domeniu - GPMC.msc. Pentru a face acest lucru, accesați secțiunea Configurare computer –> Șabloane administrative –> ComponenteWindows–> Servicii desktop la distanță – Gazdă sesiune desktop la distanță –> Securitate(Configurație computer –> Șabloane administrative –> Componente Windows –> Servicii desktop la distanță – Gazdă sesiune desktop la distanță –> Securitate), opriți politică (Necesită autentificarea utilizatorului pentru conexiunile la distanță utilizând autentificarea la nivel de rețea).
Este nevoie și în politică” Necesită utilizarea unui nivel de securitate special pentru conexiuni la distanță prin protocolul RDP» (Necesită utilizarea unui nivel de securitate specific pentru conexiunile la distanță (RDP)) selectați Stratul de securitate - RDP.
Pentru a aplica noile setări RDP, trebuie să actualizați politicile (gpupdate /force) sau să reporniți computerul. După aceasta, ar trebui să vă conectați cu succes la serverul desktop de la distanță.
