Chyba nápravy šifrovania CredSSP

Napriek tomu, že podpora pre systém Windows XP bola zastavená pred 4 rokmi (koniec podpory systému Windows XP) - tento systém používa mnoho externých a interných zákazníkov a zdá sa, že tento problém sa v blízkej budúcnosti radikálne nevyrieši 🙁 ... Inokedy našli problém : Klienti Windows XP sa nemôžu pripojiť cez vzdialenú plochu k novej farme Remote Desktop Services na Windows Server 2012 R2. Podobný problém sa vyskytuje, keď sa pokúsite pripojiť cez RDP zo systému Windows XP k systému Windows 10 1803.

obsah:

  • Nedá sa pripojiť cez RDP zo systému Windows XP k systému Windows Server 2016 / 2012R2 a Windows 10
  • Zakázať NLA v systéme RDS Windows Server 2016/2012 R2
  • Povolenie NLA na úrovni klienta Windows XP

Nedá sa pripojiť cez RDP zo systému Windows XP k systému Windows Server 2016 / 2012R2 a Windows 10

Používatelia systému XP sa sťažovali na tieto chyby klientov rdp:

Z dôvodu chyby zabezpečenia sa klient nemohol pripojiť k vzdialenému počítaču. Skontrolujte, či ste prihlásení do siete, a potom sa skúste znova pripojiť. Vzdialená relácia bola odpojená, pretože vzdialený počítač dostal od tohto počítača neplatnú licenčnú správu. Vzdialený počítač vyžaduje overenie na úrovni siete, ktoré váš počítač nepodporuje. Ak potrebujete pomoc, kontaktujte správcu systému alebo technickú podporu.

Ak chcete tento problém vyriešiť, overte, či je aktualizovaná verzia klienta RDP v počítačoch so systémom Windows XP. V súčasnosti je maximálna verzia klienta RDP, ktorý sa dá nainštalovať do systému Windows XP - rdp verzia klienta 7.0 (KB969084 - https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol -rdp-7-0- alebo -7-1 /). Túto aktualizáciu môžete nainštalovať iba na Windows XP SP3. Inštalácia klienta RDP verzie 8.0 a vyššej na Windows v systéme XP nie je podporovaná. Po inštalácii tejto aktualizácie polovica klientov vyriešila problém s pripojením RDP. Druhá polovica zostáva ... .

Zakázať NLA v systéme RDS Windows Server 2016/2012 R2

Keď sme začali podrobnejšie študovať tému servera RDS založeného na systéme Windows 2012 R2, zistili sme, že v systéme Windows Server 2012 (a vyššie) v predvolenom nastavení vyžaduje povinnú podporu technológie od svojich zákazníkov. NLA (Autentifikácia na úrovni siete - autentifikácia na úrovni siete, viac o tejto technológii tu), ale ak klient nepodporuje NLA, nepodarí sa pripojiť k serveru RDS. Podobne je NLA v predvolenom nastavení povolená, keď povolíte RDP v systéme Windows 10.

Existujú dva závery z vyššie uvedeného, ​​takže zostávajúci klienti XP sa môžu pripojiť cez RDP k terminálovému serveru v systéme Windows Server 2016/2012 R2 alebo Windows 10:

  • Zakázať overovanie NLA na serveroch Farmy so vzdialenou pracovnou službou 2012 R2 / 2016 alebo Windows 10
  • alebo povoliť podporu NLA pre klientov XP;

Ak chcete zakázať požiadavku na povinné používanie protokolu NLA na klientoch na serveri Windows Server 2012 R2 RDS, v konzole Server Manager prejdite na diaľkový Desktop služby -> Zbierky -> QuickSessionCollection, vybrať úlohy -> Upraviť vlastnosti, vyberte sekciu  zabezpečenia a odstráňte možnosť: dovoliť pripojenie iba z počítače tečúcou diaľkový Desktop s sieť hladina overenie pravosti

V systéme Windows 10 môžete vypnúť overovanie na úrovni siete vo vlastnostiach systému (Systém - Konfigurácia vzdialeného prístupu). Zrušte začiarknutie políčka „Povoliť pripojenia iba z počítačov so vzdialenou pracovnou plochou s overením na úrovni siete (odporúča sa)“.

Samozrejme musíte pochopiť, že zakázanie NLA na úrovni servera znižuje bezpečnosť systému a vo všeobecnosti sa neodporúča. Je lepšie použiť druhú techniku..

Povolenie NLA na úrovni klienta Windows XP

Pre správnu činnosť systému Windows XP ako klienta musíte mať aspoň Service Pack 3. Ak nie, nezabudnite si túto aktualizáciu stiahnuť a nainštalovať. Táto aktualizácia Service Pack 3 je minimálnou požiadavkou na aktualizáciu klienta RDP od verzie 6.1 do 7.0 a podporu potrebných komponentov vrátane poskytovateľa služieb bezpečnostnej ochrany (CredSSP -KB969084), ktorý je opísaný nižšie..

Bez podpory programov CredSSP a NLA sa počas pripojenia RDP zo systému Windows XP na novú verziu systému Windows objaví chyba

Chyba overenia (kód: 0x80090327).

Už sme opísali, ako povoliť podporu sieťovej autentifikácie v počítačoch so systémom Windows XP, stručne si pripomenieme hlavné body.

Podpora NLA sa objavila v systéme Windows XP od SP3, ale v predvolenom nastavení nie je povolená. Povoliť možno len autentifikáciu poskytovateľa NLA a CredSSP. Postupujte takto:

  1. Vo vetve registra HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders je potrebné upraviť hodnotu kľúča SecurityProviders, pridanie na konci credssp.dll (oddelené čiarkou od jej aktuálnej hodnoty);
  2. Ďalej vo vetve HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa v hodnote parametra Bezpečnostné balíčky pridať riadok tspkg;
  3. Po vykonaní týchto zmien sa počítač musí reštartovať.

Po dokončení všetkých manipulácií by sa mal počítač s operačným systémom Windows XP SP3 pripojiť cez rdp k terminálovej farme v systéme Windows Server 2016/2012 R2 alebo Windows 10. Heslo pre pripojenie RDP však nemôžete uložiť na klientovi Windows XP (heslo musíte zadať zakaždým) pripojenie).

rada. Paralelne s tým sa vyskytol ďalší problém s tlačou prostredníctvom funkcie Easy Print. Na počítačoch so systémom Windows XP, ktoré umožňujú tlačiť na server RDS 2012 pomocou služby Easy Print, musia klienti spĺňať tieto požiadavky: OS - Windows XP SP3, verzia rdp klienta najmenej 6.1, .NET Framework 3.5 (ako zistiť verziu NET Framework).

Chyba nápravy šifrovania CredSSP

V roku 2018 bola objavená závažná zraniteľnosť v protokole CredSSP (bulletin CVE-2018-0886), ktorý bol opravený v aktualizáciách zabezpečenia spoločnosti Microsoft. V máji 2018 spoločnosť MSFT vydala ďalšiu aktualizáciu, ktorá zakazuje klientom pripojenie k počítačom a serverom RDP s zraniteľnou verziou CredSSP (pozri článok: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka- credssp -ryption-oracle-remediation /). Pri pripájaní k vzdialeným počítačom prostredníctvom protokolu RDP sa vyskytla chyba Vyskytla sa chyba autentifikácie. Zadaná funkcia nie je podporovaná..

Pretože spoločnosť Microsoft neuvoľňuje aktualizácie zabezpečenia pre systémy Windows XP a Windows Server 2003, nebudete sa môcť pripojiť k podporovaným verziám systému Windows z týchto operačných systémov.

Ak chcete povoliť pripojenie RDP zo systému Windows XP k aktualizovaným systémom Windows 10 / 8.1 / 7 a Windows Server 2016 / 2012R2 / 2012/2008 R2, musíte povoliť politiku na strane servera RDP. šifrovanie veštec sanácie / Oprava zraniteľnosti šifrovacieho Oracle (počítačový konfigurácia -> Administratívne šablóny -> Systém -> Poverenia delegácia / Konfigurácia počítača -> Šablóny pre správu -> Systém -> Prenos poverení) s hodnotou zmierniť, čo, ako viete, nie je bezpečné.

rada. V prípade systému Windows XP (verzia s názvom Windows Embedded POSReady 2009) sa v skutočnosti vyskytuje samostatná aktualizácia pre zraniteľnosť pri spustení kódu CredSSP - https://support.microsoft.com/en-us/help/4056564 (WindowsXP-KB4056564-x86-Embedded- ENU.exe) a teoreticky je možné nainštalovať aktualizácie programu Embedded POSReady na bežnú verziu systému Windows XP x86 aj Windows Server 2003.