Po inštalácii aktualizácie KB4103718 v počítači so systémom Windows 7 sa nemôžem vzdialene pripojiť k serveru so systémom Windows Server 2012 R2 prostredníctvom vzdialenej pracovnej plochy RDP. Po zadaní adresy servera RDP v okne klienta mstsc.exe a kliknutí na tlačidlo „Pripojiť“ sa zobrazí chyba:
Pripojenie k vzdialenej plocheOverenie zlyhalo.
Zadaná funkcia nie je podporovaná..
Vzdialený počítač: názov počítača
Keď som odstránil aktualizáciu KB4103718 a reštartoval počítač, pripojenie RDP začalo fungovať dobre. Ak rozumiem správne, jedná sa iba o dočasné riešenie. Budúci mesiac príde nový balík kumulatívnej aktualizácie a chyba sa vráti? Môžete mi niečo poradiť?
Odpoveď
Máte úplnú pravdu, že nemá zmysel vyriešiť problém odstránením aktualizácií systému Windows, pretože tým vystavujete počítač riziku zneužitia rôznych zraniteľností, ktoré v tejto aktualizácii uzatvárajú záplaty..
Nie ste sami vo svojom probléme. Táto chyba sa môže objaviť na ľubovoľnom operačnom systéme Windows alebo Windows Server (nielen na Windows 7). Pre používateľov anglickej verzie systému Windows 10 sa pri pokuse o pripojenie k serveru RDP / RDS zdá podobná chyba:
Vyskytla sa chyba overenia.Požadovaná funkcia nie je podporovaná.
Vzdialený počítač: názov počítača
Chyba RDP Pri pokuse o spustenie aplikácií RemoteApp sa môže zobraziť správa „Vyskytla sa chyba overenia“.
Prečo sa to deje? Faktom je, že váš počítač má najnovšie bezpečnostné aktualizácie (vydané po máji 2018), ktoré opravujú vážnu zraniteľnosť v protokole CredSSP (Credential Security Support Provider), ktorý sa používa na autentifikáciu na serveroch RDP (CVE-2018-0886) (odporúčam pozrite si článok Chyba pripojenia RDP: Náprava šifrovania Oracle CredSSP). Tieto aktualizácie sa zároveň nenainštalujú na strane servera RDP / RDS, ku ktorej sa pripájate z počítača, a pre prístup RDP je povolená NLA (Network Level Authentication / Network Level Authentication). Protokol NLA používa mechanizmy CredSSP na predbežnú autentifikáciu používateľov prostredníctvom TLS / SSL alebo Kerberos. Váš počítač z dôvodu nových nastavení zabezpečenia, ktoré ste nainštalovali aktualizáciu, iba blokuje pripojenie k vzdialenému počítaču, ktorý používa zraniteľnú verziu CredSSP.
Ako je možné túto chybu opraviť a pripojiť sa k serveru RDP?
- Najviac ten pravý spôsob, ako vyriešiť problém, je nainštalovať najnovšie kumulatívne aktualizácie zabezpečenia systému Windows na počítač / server, ku ktorému sa pripájate pomocou protokolu RDP;
- Dočasná metóda 1. Na strane servera RDP môžete vypnúť overovanie na úrovni siete (NLA) (opísané nižšie);
- Dočasná metóda 2. Môžete povoliť pripojenia na strane klienta k serverom RDP s nebezpečnou verziou CredSSP, ako je to opísané v článku na vyššie uvedenom odkaze. Ak to chcete urobiť, zmeňte kľúč databázy Registry AllowEncryptionOracle (team
REG ADD) alebo zmeniť nastavenia miestnych pravidiel Šifrovanie Remediation Oracle / Opravte zraniteľnosť šifrovacieho Oracle) nastavením jeho hodnoty = Zraniteľné / Zanechajte zraniteľnosť). Toto je jediný spôsob prístupu k vzdialenému serveru prostredníctvom protokolu RDP, ak máte možnosť prihlásiť sa na server lokálne (prostredníctvom konzoly ILO, virtuálneho počítača, cloudového rozhrania atď.). V tomto režime sa môžete pripojiť k vzdialenému serveru a nainštalovať aktualizácie zabezpečenia, takže prejdite na odporúčanú metódu 1. Po aktualizácii servera nezabudnite vypnúť politiku alebo vrátiť kľúčovú hodnotu AllowEncryptionOracle = 0:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0
Zakázanie NLA pre RDP v systéme Windows
Ak je na strane RDP servera, ku ktorému sa pripájate, povolená NLA, znamená to, že CredSPP sa používa na predbežnú autentifikáciu RDP používateľa. Zakážte overovanie na úrovni siete vo vlastnostiach systému na karte Vzdialený prístup (diaľkový), zrušením začiarknutia “Povoliť pripojenia iba z počítačov so vzdialenou pracovnou plochou s overením na úrovni siete / Povoliť pripojenie iba z počítačov so vzdialenou pracovnou plochou s overením na úrovni siete (odporúčané) “(Windows 10 / Windows 8).
V systéme Windows 7 sa táto možnosť nazýva inak. pútko Vzdialený prístup je potrebné vybrať možnosť “Povoliť pripojenia z počítačov s akoukoľvek verziou vzdialenej pracovnej plochy (nebezpečné) / Povoliť pripojenia z počítačov s ľubovoľnou verziou vzdialenej pracovnej plochy (menej zabezpečené) “.
Autentifikáciu na úrovni siete (NLA) môžete tiež zakázať pomocou editora politiky miestnej skupiny - gpedit.msc (v systéme Windows 10 Home je možné spustiť editor politiky gpedit.msc takto) alebo pomocou konzoly správy politiky domény GPMC.msc. Ak to chcete urobiť, choďte na Konfigurácia počítača -> Šablóny pre správu -> Komponenty windows -> Služby vzdialenej pracovnej plochy - Hostiteľ relácie vzdialenej pracovnej plochy -> Zabezpečenie (Konfigurácia počítača -> Šablóny pre správu -> Komponenty Windows -> Služby vzdialenej pracovnej plochy - Hostiteľ relácie vzdialenej pracovnej plochy -> Zabezpečenie), disable politika Vyžadovať overenie používateľa pre vzdialené pripojenia autentifikáciou na úrovni siete (Vyžadovať overenie používateľa pre vzdialené pripojenia pomocou overenia na úrovni siete).
Potrebné aj v politike “Vyžadovať použitie špeciálnej úrovne zabezpečenia pre vzdialené pripojenia RDP„(Vyžadovať použitie špecifickej bezpečnostnej vrstvy pre vzdialené (RDP) pripojenia) vyberte úroveň zabezpečenia (Bezpečnostná vrstva) - RDP.
Ak chcete použiť nové nastavenia RDP, musíte aktualizovať politiky (gpupdate / force) alebo reštartovať počítač. Potom sa musíte úspešne pripojiť k vzdialenej ploche servera.
