Det har alltid funnits problem med säkerheten och hastigheten på servrar, och varje år växer deras relevans bara. Följaktligen har Microsoft flyttat från den ursprungliga autentiseringsmodellen på serversidan till autentisering på nätverksnivå.
Vad är skillnaden mellan dessa modeller?
Tidigare, när han anslöt till Terminal Services, skapade användaren en session med servern, genom vilken den senare laddade in inloggningsskärmen för användaren. Denna metod förbrukar serverresurser redan innan användaren har bekräftat sin laglighet, vilket gör det möjligt för en olaglig användare att ladda serverresurserna fullständigt med flera inloggningsförfrågningar. En server som inte kan behandla dessa förfrågningar vägrar att behandla förfrågningar till legitima användare (DoS -attack).
Nätverksautentisering (NLA) tvingar användaren att ange autentiseringsuppgifter i en dialogruta på klientsidan. Som standard, om det inte finns någon autentisering på nätverksnivå på klientsidan, tillåter inte servern anslutningen och det kommer inte att hända. NLA ber klientdatorn att ange autentiseringsuppgifter, även innan han skapar en session med servern. Denna process kallas också frontal autentisering.
NLA introducerades tillbaka i RDP 6.0 och stöds av Windows Vista. Från version RDP 6.1 - stöds av servrar som kör Windows Server 2008 och senare, och klientsupport finns för Windows XP SP3 (du måste tillåta en ny säkerhetsleverantör i registret) och senare. Metoden använder säkerhetsleverantören Credential Security Support Provider (CredSSP). Om du använder en fjärrskrivbordsklient för ett annat operativsystem - måste du fråga om dess NLA -stöd.
Fördelar med NLA:
- Kräver inte betydande serverresurser.
- Ytterligare ett lager för att skydda mot DoS -attacker.
- Påskyndar förmedlingsprocessen mellan klient och server.
- Låter dig utöka NT "enkel inloggning" -teknologi till att fungera med en terminalserver.
- Andra säkerhetsleverantörer stöds inte.
- Stöds inte av klientversioner som är lägre än Windows XP SP3 och serverversioner som är lägre än Windows Server 2008.
- Behövs manuell inställning registret på varje Windows XP SP3 -klient.
- Precis som alla andra system för enkel inloggning är den sårbar för stöld av "nycklar till hela fästningen".
- Det är inte möjligt att använda funktionen "Kräv lösenordsändring vid nästa inloggning".
Vi öppnar registerredigeraren.
Gren HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa
Öppna parametern Säkerhetspaket och leta efter ordet tspkg där. Om det inte finns där, lägg till det i de befintliga parametrarna.
Gren HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders
Öppna parametern SecurityProviders och lägg till credssp.dll till de befintliga leverantörerna, om det inte finns någon.
Stäng registerredigeraren.
Nu måste du starta om. Om detta inte görs kommer datorn att be oss om ett användarnamn och lösenord, men istället för fjärrskrivbordet kommer det att svara på följande:
Det är allt, faktiskt.
Serveradministratörer baserade på Windows 2008 kan behöva möta följande problem:
Anslutning via rdp -protokoll till din favoritserver från en Windows XP SP3 -station misslyckas med följande fel:
Fjärrskrivbord är inaktiverat.
Fjärrdatorn kräver autentisering på nätverksnivå, vilket den här datorn stöder inte. Be om hjälp från systemadministratör eller kontakta teknisk support.
Och även om den lovande Win7 hotar att så småningom ersätta sin mormor WinXP, kommer problemet att vara brådskande i ytterligare ett eller två år.
Här är vad du behöver göra för att aktivera nätverksskiktsautentiseringsmekanismen:
Vi öppnar registerredigeraren.
Gren HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa
Öppnar parametern Säkerhetspaket och letar efter ett ord där tskkg... Om den inte finns där, lägg till den i de befintliga parametrarna.
Gren HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders
Öppnar parametern Säkerhetsleverantörer och lägga till befintliga leverantörer credssp.dll om det inte finns någon.
Stäng registerredigeraren.
Nu måste du starta om. Om detta inte är gjort kommer datorn att be oss om ett användarnamn och lösenord när du försöker ansluta, men istället för fjärrskrivbordet kommer det att svara på följande:
Anslutning till fjärrskrivbord
Autentiseringsfel (kod 0x507)
Det är allt, faktiskt.
Om du använder Windows XP när du ansluter till servern kan du få ett felmeddelande: "Fjärrdatorn kräver autentisering på nätverksnivå, som den här datorn inte stöder."
Det här felet uppstår på grund av att autentisering på nätverksnivå ursprungligen inte genomfördes i Windows XP, utvecklarna har implementerat denna funktion i efterföljande operativsystem. En uppdateringsfil släpptes också senare. KB951608 som fixade det här felet och gjorde det möjligt för Windows XP att implementera autentisering på nätverksnivå.
För att du ska kunna ansluta till serverns fjärrskrivbord från din dator med Windows XP måste du installera Service Pack 3 (SP3) och sedan göra följande:
På den officiella Microsoft-webbplatsen på den ryskspråkiga sidan https://support.microsoft.com/ru-ru/kb/951608 ladda ner den automatiska fixfilen. Rulla ner på sidan och klicka på knappen "Hämta" i avsnittet "Hjälp med att lösa problemet".
En engelskspråkig sida är också tillgänglig för dig https://support.microsoft.com/en-us/kb/951608 där du kan ladda ner den här filen genom att klicka på "Ladda ner" -knappen i avsnittet "Hur man aktiverar CredSSP"
Efter nedladdning av filen kör du den för körning. Efter lansering av den här filen Du kommer att se programfönstret. I det första steget markerar du rutan "Jag accepterar". I det andra steget klickar du på knappen "Nästa"
När installationen är klar ser du följande fönster med meddelandet "Denna Microsoft Fix det har bearbetats" Du behöver bara klicka på "Stäng".
När du har klickat på knappen "Stäng" kommer programmet att berätta att ändringarna träder i kraft, du måste starta om datorn, klicka på "Ja" för att starta om.
Lös problemet själv utan att ladda ner filen
Om du har administrativa färdigheter kan du göra ändringar i datorns register manuellt utan att behöva ladda ner uppdateringsfilen.
1. Klicka på knappen Start, Välj föremål Springa, ange kommandot regedit och tryck på knappen Stiga på
Efter att ha installerat uppdatering KB4103718 på min Windows 7 -dator kan jag inte fjärransluta till servern som kör Windows Server 2012 R2 via RDP Remote Desktop. När jag har angett adressen till RDP -servern i klientfönstret mstsc.exe och klickat på "Anslut" visas ett fel:
Anslutning till fjärrskrivbord
Ett autentiseringsfel har inträffat.
Specificerad funktion stöds inte.
Fjärrdator: datornamn
Efter att jag avinstallerade KB4103718 -uppdateringen och startade om min dator fungerade RDP -anslutningen bra. Om jag förstår rätt är detta bara en tillfällig lösning nästa månad kommer ett nytt kumulativt uppdateringspaket och felet återkommer? Några råd?
Svar
Du har helt rätt i att det är meningslöst att lösa problemet, eftersom du därigenom utsätter din dator för risken att utnyttja olika sårbarheter som stängs av patchar i den här uppdateringen.
Du är inte ensam om ditt problem. Det här felet kan visas i alla operationsrum. Windows -system eller Windows Server (inte bara Windows 7). Engelska användare Windows -versioner 10 när man försöker ansluta till RDP / RDS -servern ser ett liknande fel ut så här:
Ett autentiseringsfel har inträffat.
Den begärda funktionen stöds inte.
Fjärrdator: datornamn
RDP -felet "Ett autentiseringsfel har inträffat" kan också visas när du försöker starta RemoteApp -program.
Varför händer det här? Faktum är att din dator har de senaste säkerhetsuppdateringarna (släpptes efter maj 2018), som åtgärdar en allvarlig sårbarhet i protokollet CredSSP (Credential Security Support Provider), som används för autentisering på RDP-servrar (CVE-2018-0886) ( Jag rekommenderar att du läser artikeln). Samtidigt, på sidan av RDP / RDS -servern som du ansluter från din dator, installeras inte dessa uppdateringar och NLA -protokollet (Network Level Authentication) är aktiverat för RDP -åtkomst. NLA använder CredSSP-mekanismer för att förautentifiera användare via TLS / SSL eller Kerberos. På grund av de nya säkerhetsinställningarna som uppdateringen du har installerat blockerar din dator helt enkelt anslutningen till fjärrdator som använder en sårbar version av CredSSP.
Vad kan göras för att åtgärda detta fel och ansluta till din RDP -server?
- Mest korrekt sättet att lösa problemet är att installera senaste uppdateringarna Windows säkerhet på datorn / servern som du ansluter till via RDP;
- Tillfällig metod 1 ... Du kan inaktivera Network Level Authentication (NLA) på RDP -serversidan (beskrivs nedan);
- Tillfällig metod 2
... Du kan på klientsidan tillåta anslutningar till RDP -servrar med en osäker version av CredSSP, som beskrivs i artikeln på länken ovan. För att göra detta måste du ändra registernyckeln AllowEncryptionOracle(REG ADD -kommando
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) eller ändra inställningar lokal politik Kryptering Oracle Remediation/ Fixa krypteringsoracle -sårbarhet) genom att ange dess värde = sårbart / lämna sårbarhet).Detta är det enda sättet att komma åt Fjärrserver via RDP, om du inte har möjlighet att logga in på servern lokalt (via ILO -konsolen, virtuell maskin, molngränssnitt, etc.). I det här läget kommer du att kunna ansluta till en fjärrserver och installera säkerhetsuppdateringar, så du går till den rekommenderade metoden 1. Efter att ha uppdaterat servern, glöm inte att inaktivera policyn eller returnera nyckelvärdet AllowEncryptionOracle = 0: REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0
Inaktivera NLA för RDP på Windows
Om NLA är aktiverat på sidan av RDP-servern du ansluter till betyder det att CredSPP används för att förautentifiera RDP-användaren. Du kan inaktivera nätverksautentisering i systemegenskaperna på fliken Fjärranslutning (Avlägsen) genom att avmarkera rutan "Tillåt endast anslutningar från datorer som kör fjärrskrivbord med nätverksnivåautentisering (rekommenderas)" (Windows 10 / Windows 8).
Windows 7 har ett annat namn för det här alternativet. I fliken Fjärranslutning du måste välja alternativet " Tillåt anslutningar från datorer med vilken version av fjärrskrivbord som helst (farligt)/ Tillåt anslutningar från datorer som kör vilken version av fjärrskrivbord som helst (mindre säker) ".
Du kan också inaktivera nätverksautentisering (NLA) med hjälp av den lokala redigeraren gruppolicy - gpedit.msc(i Windows 10 Home kan policyredigeraren gpedit.msc startas) eller med hjälp av domänpolicyhanteringskonsolen - GPMC.msc. För att göra detta, gå till avsnittet Datorkonfiguration -> Administrativa mallar -> KomponenterWindows-> Fjärrskrivbordstjänster -Värd för fjärrskrivbordssession -> Säkerhet(Datorkonfiguration -> Administrativa mallar -> Windows -komponenter -> Fjärrskrivbordstjänster -Fjärrskrivbordssessionvärd -> Säkerhet), koppla ifrån policy (Kräv användarautentisering för fjärranslutningar med hjälp av nätverksnivåautentisering).
Behövs också inom politiken ” Kräv en särskild säkerhetsnivå för fjärr -RDP -anslutningar»(Kräv användning av specifikt säkerhetslager för fjärranslutningar (RDP)) välj Säkerhetslager - RDP.
För att tillämpa de nya RDP -inställningarna måste du uppdatera policyn (gpupdate / force) eller starta om datorn. Därefter bör du ansluta till serverns fjärrskrivbord.
