Belgilangan funksiya qo'llab -quvvatlanmaydi. Autentifikatsiya xatosi yuz berdi

KB4103718 yangilanishini Windows 7 kompyuterimga o'rnatgandan so'ng, men serverga masofadan ulana olmayapman Windows Server 2012 R2 RDP masofaviy ish stoli orqali. Mstsc.exe mijoz oynasida RDP serverining manzilini ko'rsatganimdan so'ng "Ulanish" tugmasini bosganimda, xato paydo bo'ladi:

Masofaviy ish stoliga ulanish

Autentifikatsiya xatosi yuz berdi.

Belgilangan funktsiya qo'llab -quvvatlanmaydi.
Masofadagi kompyuter: hisoblash nomi

KB4103718 yangilanishini olib tashlab, kompyuterimni qayta ishga tushirgandan so'ng, RDP aloqasi yaxshi ishladi. Agar men to'g'ri tushunsam, bu vaqtinchalik echim, kelgusi oy yangi kümülatif yangilanish paketi keladi va xato qaytadi? Har qanday maslahat?

Javob

Siz muammoni hal qilish befoyda, deb mutlaqo haqsiz, chunki shu orqali siz kompyuteringizni ushbu yangilanishdagi yamalar bilan yopilgan turli xil zaifliklardan foydalanish xavfiga duchor qilasiz.

Muammoingizda yolg'iz emassiz. Bu xato har qanday holatda paydo bo'lishi mumkin operatsion tizim Windows yoki Windows Server (faqat Windows 7 emas). Ingliz foydalanuvchilari Windows versiyalari 10 RDP / RDS serveriga ulanishga urinishda shunga o'xshash xato quyidagicha ko'rinadi:

Autentifikatsiya xatosi yuz berdi.

Talab qilingan funksiya qo'llab -quvvatlanmaydi.

Masofaviy kompyuter: hisoblash nomi

RemoteApp dasturlarini ishga tushirishda "autentifikatsiya xatosi yuz berdi" RDP xatosi ham paydo bo'lishi mumkin.

Nega bunday bo'lyapti? Gap shundaki, sizning kompyuteringizda RDP serverlarida (CVE-2018-0886) autentifikatsiya qilish uchun ishlatiladigan CredSSP (Credential Security Support Provider) protokolining jiddiy zaifligini tuzatadigan (2018 yil may oyidan keyin chiqarilgan) so'nggi xavfsizlik yangilanishlari mavjud. Maqolani o'qishni tavsiya qilaman). Shu bilan birga, siz kompyuterdan ulanadigan RDP / RDS serverining yon tomonida bu yangilanishlar o'rnatilmagan va RDP -ga kirish uchun NLA protokoli (tarmoq darajasidagi autentifikatsiya) yoqilgan. NLA TLS / SSL yoki Kerberos orqali foydalanuvchilarni oldindan tasdiqlash uchun CredSSP mexanizmlaridan foydalanadi. Sizning kompyuteringiz, siz o'rnatgan yangi xavfsizlik sozlamalari tufayli, CredSSP -ning zaif versiyasini ishlatadigan masofaviy kompyuterga ulanishni bloklaydi.

Ushbu xatoni tuzatish va RDP serveringizga ulanish uchun nima qilish kerak?

1. Ko'pchilik to'g'ri muammoni hal qilish usuli - o'rnatish oxirgi yangilanishlar RDP orqali ulanayotgan kompyuterda / serverda Windows xavfsizligi;
2. Vaqtinchalik usul 1 ... RDP server tomonida tarmoq darajasida autentifikatsiyani (NLA) o'chirib qo'yishingiz mumkin (quyida tasvirlangan);
3. Vaqtinchalik usul 2 ... Mijoz tomondan, yuqoridagi havoladagi maqolada tasvirlanganidek, xavfsiz bo'lmagan CredSSP versiyasi bo'lgan RDP serverlariga ulanishga ruxsat berishingiz mumkin. Buning uchun ro'yxatga olish kitobi kalitini o'zgartirish kerak AllowEncryptionOracle(REG ADD buyrug'i
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) yoki mahalliy siyosat sozlamalarini o'zgartiring. Oracle shifrlash tuzatish/ Shifrlash oracle zaifligini tuzatish) qiymatini belgilash orqali = Xavfsiz / Chiqish zaifligi).

   u yagona yo'l RDP orqali masofaviy serverga kirish, agar sizda serverga mahalliy kirish imkoni bo'lmasa (XMT konsoli orqali, virtual mashina, bulutli interfeys va boshqalar). Ushbu rejimda siz uzoq serverga ulanishingiz va xavfsizlik yangilanishlarini o'rnatishingiz mumkin bo'ladi, shuning uchun siz tavsiya etilgan 1 -usulga o'tasiz. Serverni yangilaganingizdan so'ng, siyosatni o'chirishni yoki kalit qiymatini qaytarishni unutmang AllowEncryptionOracle = 0: REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0

Windowsda RDP uchun NLA -ni o'chirib qo'ying

Agar siz ulanayotgan RDP serverining yon tomonida NLA yoqilgan bo'lsa, demak CredSPP RDP foydalanuvchisini oldindan tasdiqlash uchun ishlatiladi. Yorliqdagi tizim xususiyatlarida tarmoq darajasidagi autentifikatsiyani o'chirib qo'yishingiz mumkin Masofadan kirish (Masofadan boshqarish pulti) "Tarmoq darajasida autentifikatsiya qilingan masofaviy ish stolida ishlaydigan kompyuterlardan ulanishga ruxsat berish / faqat ishlaydigan kompyuterlar bilan ulanishga ruxsat berish" katagiga belgi olib tashlang. Masofaviy ish stoli tarmoq darajasidagi autentifikatsiya bilan (tavsiya etiladi) ”(Windows 10 / Windows 8).

Windows 7 bu variant uchun boshqa nomga ega. Yorliqda Masofadan kirish variantni tanlashingiz kerak " Masofaviy ish stolining har qanday versiyasi bo'lgan kompyuterlardan ulanishga ruxsat berish (xavfli)/ Masofaviy ish stolining har qanday versiyasida ishlaydigan kompyuterlarning ulanishiga ruxsat berish (xavfsizligi pastroq) ".

Mahalliy muharrir yordamida tarmoq darajasidagi autentifikatsiyani (NLA) o'chirib qo'yishingiz mumkin guruh siyosati - gpedit.msc(Windows 10 Home -da, gpedit.msc siyosat muharriri ishga tushirilishi mumkin) yoki Domen siyosatini boshqarish konsoli - GPMC.msc yordamida. Buning uchun bo'limga o'ting Kompyuter konfiguratsiyasi -Ma'muriy shablonlar -KomponentlarWindows-> Masofaviy ish stoli xizmatlari -Masofaviy ish stoli xosti -> Xavfsizlik(Kompyuter konfiguratsiyasi -> Ma'muriy shablonlar -> Windows komponentlari -> Masofaviy ish stoli xizmatlari -Masofaviy ish stoli sessiyasi xosti -> Xavfsizlik), uzmoq siyosat (Tarmoq darajasidagi autentifikatsiya yordamida masofadan ulanish uchun foydalanuvchi autentifikatsiyasini talab qilish).

Siyosatda ham kerak " Uchun ma'lum bir xavfsizlik darajasidan foydalanishni talab qiling masofaviy ulanishlar RDP protokoli orqali»(Masofaviy (RDP) ulanishlar uchun maxsus xavfsizlik qatlamidan foydalanishni talab qiling) Xavfsizlik qatlamini tanlang - RDP.

Yangi RDP sozlamalarini qo'llash uchun siz siyosatni yangilashingiz (gpupdate / force) yoki kompyuterni qayta ishga tushirishingiz kerak. Shundan so'ng, siz serverning uzoq ish stoliga muvaffaqiyatli ulanishingiz kerak.

Agar siz serverga ulanishda Windows XP dan foydalanayotgan bo'lsangiz, unda sizda xato paydo bo'lishi mumkin: “Masofaviy kompyuter tarmoq darajasida autentifikatsiyani talab qiladi. bu kompyuter qo'llab -quvvatlamang ".

Bu xato dastlab Windows XP da tarmoq darajasida autentifikatsiya qilinmaganligi tufayli yuzaga keladi. bu imkoniyat Ishlab chiquvchilar keyingi operatsion tizimlarida joriy etishdi. Keyinchalik yangilanish fayli chiqarildi. KB951608 kim tuzatdi berilgan xato va Windows XP-ga tarmoq darajasida autentifikatsiyani amalga oshirishga ruxsat berdi.

Windows XP bilan ishlaydigan kompyuterdan serverning ish stoliga ulanish uchun siz Service Pack 3 (SP3) ni o'rnatishingiz va keyin quyidagilarni bajarishingiz kerak:

Microsoft rasmiy veb-saytida rus tilidagi sahifada https://support.microsoft.com/ru-ru/kb/951608 avtomatik tuzatish faylini yuklab oling. Sahifani pastga aylantiring va "Muammoni hal qilishda yordam" bo'limidagi "Yuklab olish" tugmasini bosing.

Siz uchun ingliz tilidagi sahifa ham mavjud https://support.microsoft.com/en-us/kb/951608 bu faylni "CredSSP -ni qanday yoqish" bo'limidagi "Yuklab olish" tugmasini bosish orqali yuklab olishingiz mumkin

Faylni yuklab olgandan so'ng, uni ijro etish uchun ishga tushiring. Ishga tushgandan keyin bu faylning Siz dastur oynasini ko'rasiz. Unda birinchi qadamda "Qabul qilaman" katagiga belgi qo'ying. Ikkinchi bosqichda "Keyingi" tugmasini bosing

O'rnatish tugagandan so'ng, siz quyidagi oynani ko'rasiz: "Ushbu Microsoft tuzatmasi qayta ishlangan", siz faqat "Yopish" tugmasini bosishingiz kerak.

"Yopish" tugmachasini bosganingizdan so'ng, dastur sizga o'zgarishlar kuchga kirishini aytadi, siz kompyuterni qayta ishga tushirishingiz kerak, qayta ishga tushirish uchun "Ha" tugmasini bosing.

Faylni yuklamasdan muammoni o'zingiz hal qiling

Agar siz ma'muriy ko'nikmalarga ega bo'lsangiz, tuzatish faylini yuklamasdan, kompyuter ro'yxatga olish kitobiga qo'lda o'zgartirishlar kiritishingiz mumkin.

1. Tugmani bosing Boshlash, elementni tanlang Yugurish, buyruqni kiriting regedit va tugmani bosing Kirish

Biz ro'yxatga olish kitobi muharririni ochamiz.

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa bo'limi

Xavfsizlik paketlari parametrini oching va u erda tspkg so'zini qidiring. Agar u yo'q bo'lsa, uni mavjud parametrlarga qo'shing.

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders bo'limi

SecurityProviders parametrini oching va agar mavjud bo'lmasa, credssp.dll -ni qo'shing.

Ro'yxatdan o'tish kitobi muharririni yoping.

Endi siz qayta ishga tushirishingiz kerak. Agar bu bajarilmasa, kompyuter bizdan foydalanuvchi nomi va parolni so'raydi, lekin masofaviy ish stoli o'rniga u javob beradi:

Hammasi shu, aslida.

Server administratorlari yoqilgan Windows -ga asoslangan 2008 yilda siz quyidagi muammolarga duch kelishingiz mumkin:

Windows XP SP3 stantsiyasidan rdp protokoli orqali sevimli serveringizga ulanish quyidagi xato bilan muvaffaqiyatsiz tugadi:

Masofaviy ish stoli o'chirilgan.

Masofaviy kompyuter bu kompyuter qo'llab-quvvatlamaydigan tarmoq darajasidagi autentifikatsiyani talab qiladi. Kimdan yordam so'rang tizim ma'muri yoki texnik yordam bilan bog'laning.

Garchi umidli Win7 oxir -oqibat buvisi WinXP -ni almashtirish bilan tahdid qilsa -da, muammo yana bir -ikki yil dolzarb bo'lib qoladi.

Tarmoq sathining autentifikatsiya mexanizmini yoqish uchun nima qilish kerak:

Biz ro'yxatga olish kitobi muharririni ochamiz.

Filial HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa

Parametrni ochish Xavfsizlik paketlari va u erda so'z izlaydilar tspkg... Agar u yo'q bo'lsa, uni mavjud parametrlarga qo'shing.

Filial HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders

Parametrni ochish Xavfsizlik ta'minlovchilari va mavjud provayderlarga qo'shing credssp.dll agar yo'q bo'lsa.

Ro'yxatdan o'tish kitobi muharririni yoping.

Endi siz qayta ishga tushirishingiz kerak. Agar bu bajarilmasa, ulanishga urinayotganda kompyuter bizdan foydalanuvchi nomi va parolni so'raydi, lekin masofaviy ish stoli o'rniga u quyidagicha javob beradi:

Masofaviy ish stoliga ulanish

Autentifikatsiya xatosi (kod 0x507)

Hammasi shu, aslida.