Көрсетілген функцияға қолдау көрсетілмейді. Аутентификация қатесі орын алды

Серверлердің қауіпсіздігі мен жылдамдығының проблемалары әрқашан болды және жыл сайын олардың өзектілігі артып келеді. Нәтижесінде Microsoft корпорациясы бастапқы серверлік аутентификация үлгісінен желі деңгейіндегі аутентификацияға көшті.

Бұл модельдердің айырмашылығы неде?
Бұрын, Терминал қызметтеріне қосылған кезде, пайдаланушы сервермен сеанс жасайды, ол арқылы сервер пайдаланушыға кіру экранын жүктейді. Бұл әдіс пайдаланушы өзінің заңдылығын тексермей тұрып сервер ресурстарын тұтынады, бұл заңсыз пайдаланушыға сервер ресурстарын толығымен жүктеуге мүмкіндік береді. бірнеше сұрауларкіреберіске дейін. Сервер бұл сұрауларды өңдей алмай, заңды пайдаланушылардың сұрауларын өңдеуден бас тартады (DoS шабуылы).

Желілік деңгейдегі аутентификация (NLA) пайдаланушыны клиент жағындағы тілқатысу терезесіне тіркелгі деректерін енгізуге мәжбүр етеді. Әдепкі бойынша, егер клиент жағында желі деңгейінің аутентификациясы болмаса, сервер қосылымға рұқсат бермейді және ол болмайды. NLA сұраулары клиенттік компьютерсервермен сеанс жасамас бұрын да аутентификация үшін тіркелгі деректерін беріңіз. Бұл процесс фронтальды аутентификация деп те аталады.

NLA RDP 6.0 нұсқасына қайта енгізілді және жергілікті түрде қолдау тапты Windows Vista. RDP 6.1 нұсқасынан – операциялық жүйемен жұмыс істейтін серверлер қолдау көрсетеді Windows сервері 2008 және одан жоғары және клиенттік қолдау Windows XP SP3 (тізімде жаңа қауіпсіздік провайдерін қосу қажет) және одан жоғары операциялық жүйелер үшін ұсынылады. Бұл әдіс CredSSP (Credential Security Support Provider) қауіпсіздік провайдерін пайдаланады. Басқа операциялық жүйе үшін қашықтағы жұмыс үстелі клиентін пайдаланған кезде оның NLA қолдауы туралы білуіңіз керек.

• Маңызды сервер ресурстарын қажет етпейді.
• DoS шабуылдарынан қорғау үшін қосымша қабат.
• Клиент пен сервер арасындағы делдалдық процесін жылдамдатады.
• Терминал серверімен жұмыс істеу үшін NT «бір логин» технологиясын кеңейтуге мүмкіндік береді.

• Басқа қауіпсіздік провайдерлеріне қолдау көрсетілмейді.
• Windows XP SP3 жүйесінен төмен клиент нұсқаларында және Windows Server 2008 жүйесінен төмен сервер нұсқаларында қолдау көрсетілмейді.
• Міндетті қолмен орнатуәрқайсысына тіркелу Windows клиенті XP SP3.
• Кез келген «бір логин» схемасы сияқты, ол «бүкіл бекіністің кілттерін» ұрлауға осал.
• «Келесі жүйеге кіру кезінде құпия сөзді өзгертуді талап ету» мүмкіндігін пайдалану мүмкін емес.

Серверге қосылу кезінде Windows XP жүйесін пайдаланып жатсаңыз, келесі қатені алуыңыз мүмкін: «Қашықтағы компьютер желі деңгейіндегі аутентификацияны қажет етеді, ол осы компьютерқолдамайды».

Бұл қатебастапқыда Windows XP ОЖ-де желі деңгейінде аутентификация жүзеге асырылмағандықтан туындайды, бұл мүмкіндікәзірлеушілер кейінгі операциялық жүйелерде енгізді. Жаңарту файлы да кейінірек шығарылды. KB951608бұл қатені түзетіп, Windows XP жүйесіне желі деңгейінің аутентификациясын енгізуге мүмкіндік берді.

Windows XP жүйесі бар компьютерден сервердің қашықтағы жұмыс үстеліне қосыла алу үшін Service Pack 3 (SP3) бағдарламасын орнатып, келесі әрекеттерді орындаңыз:

Орыс тіліндегі беттегі Microsoft ресми сайтында https://support.microsoft.com/en-us/kb/951608автоматты түзету файлын жүктеп алыңыз. Бетті сәл төмен айналдырып, «Мәселені шешуге көмектесу» бөліміндегі «Жүктеу» түймесін басыңыз.

Ағылшын тілі парақшасы да сізге қолжетімді. https://support.microsoft.com/en-us/kb/951608бұл файлды «CredSSP қосу әдісі» бөліміндегі «Жүктеу» түймесін басу арқылы жүктеп алуға болады.

Файлды жүктеу аяқталғаннан кейін оны орындау үшін іске қосыңыз. Іске қосылғаннан кейін берілген файлСіз бағдарлама терезесін көресіз. Онда бірінші қадамда «Мен қабылдаймын» құсбелгісін қойыңыз. Екінші қадамда «Келесі» түймесін басыңыз

Орнату аяқталғаннан кейін сіз келесі терезені көресіз «Бұл Microsoft түзетуіОны түзетіңіз» «Жабу» түймесін басу жеткілікті.

«Жабу» түймесін басқаннан кейін бағдарлама өзгерістер күшіне енуі үшін компьютерді қайта іске қосу керектігін айтады, қайта іске қосу үшін «Иә» түймесін басыңыз.

Файлды жүктеп алмай, мәселені өзіңіз шешіңіз

Әкімшілік дағдыларыңыз болса, патч файлын жүктеп алмай-ақ, компьютер тізіліміне өзгертулерді қолмен енгізуге болады.

1. түймешігін басыңыз Бастау, элементті таңдаңыз Жүгіру, пәрменін енгізіңіз regeditжәне пернені басыңыз Енгізіңіз

Windows 7 компьютерімде KB4103718 жаңартуын орнатқаннан кейін қашықтағы жұмыс үстелі арқылы Windows Server 2012 R2 серверіне қашықтан қосыла алмаймын. RDP кестесі. mstsc.exe клиент терезесінде RDP сервер мекенжайын көрсетіп, «Қосылу» түймесін басқаннан кейін қате пайда болады:

Қашықтағы жұмыс үстеліне қосылу

Аутентификация қатесі орын алды.

Көрсетілген функцияға қолдау көрсетілмейді.
Қашықтағы компьютер: компьютер атауы

KB4103718 жаңартуын жойып, компьютерді қайта іске қосқаннан кейін, RDP қосылымықалыпты жұмыс істей бастады. Егер мен дұрыс түсінсем, бұл уақытша шешім ғана келесі айжаңа жинақталған жаңарту бумасы келіп, қате қайтарылады ма? Сіз бірдеңе кеңес бере аласыз ба?

Жауап

Сіз бұл мәселені шешудің мағынасыз екеніне толықтай дұрыс айтасыз, өйткені осылай жасау арқылы сіз компьютеріңізді осы жаңартудағы патчтармен жабылған әртүрлі осалдықтарды пайдалану қаупіне ұшыратасыз.

Сіз өзіңіздің проблемаңызда жалғыз емессіз. Бұл қате кез келген операцияда пайда болуы мүмкін Windows жүйесінемесе Windows Server (тек Windows 7 емес). Ағылшын пайдаланушылары үшін Windows нұсқалары 10 RDP/RDS серверіне қосылу әрекеті кезінде ұқсас қате келесідей болады:

Аутентификация қатесі орын алды.

Сұралған функцияға қолдау көрсетілмейді.

қашықтағы компьютер:компьютердің аты

«Түпнұсқалық растама қатесі орын алды» RDP қатесі RemoteApp қолданбаларын іске қосу әрекеті кезінде де пайда болуы мүмкін.

Неліктен бұл болып жатыр? Мәселе мынада, сіздің компьютеріңіз бар нақты жаңартулар RDP серверлерінде (CVE-2018-0886) аутентификация үшін пайдаланылатын CredSSP (Тіркелгі деректері қауіпсіздігін қолдау провайдері) протоколындағы елеулі осалдықты түзететін қауіпсіздік (2018 жылдың мамырынан кейін шығарылған) (Мақаланы оқуды ұсынамын). Сонымен қатар, бұл жаңартулар компьютерден қосылатын RDP/RDS серверінің жағында орнатылмаған және RDP қатынасы үшін NLA протоколы (Желі деңгейінің аутентификациясы/Желі деңгейінің аутентификациясы) қосылған. NLA протоколы TLS/SSL немесе Kerberos арқылы пайдаланушыларды алдын ала аутентификациялау үшін CredSSP механизмдерін пайдаланады. Сіз орнатқан жаңарту жаңа қауіпсіздік параметрлеріне байланысты компьютер қосылымды блоктайды қашықтағы компьютер, ол CredSSP осал нұсқасын пайдаланады.

Бұл қатені түзету және RDP серверіне қосылу үшін не істеуге болады?

1. Көпшілігі дұрысмәселені шешу жолы – орнату соңғы жаңартулар Windows қауіпсіздігі RDP арқылы қосылатын компьютерде/серверде;
2. Уақытша әдіс 1 . RDP сервер жағында желі деңгейінің аутентификациясын (NLA) өшіруге болады (төменде сипатталған);
3. Уақытша әдіс 2 . Жоғарыда сілтеме жасалған мақалада сипатталғандай, CredSSP бағдарламасының қауіпті нұсқасы бар RDP серверлеріне клиенттік қосылымдарға рұқсат бере аласыз. Мұны істеу үшін тізілім кілтін өзгерту керек AllowEncryptionOracle(REG ADD пәрмені
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) немесе параметрлерді өзгертіңіз жергілікті саясат Шифрлау Oracle Remediation/ Oracle осалдығын шифрлау) мәнін орнату арқылы түзетіңіз = осал / осалдықты қалдырыңыз).

   Бұл RDP арқылы қашықтағы серверге қол жеткізудің жалғыз жолы, егер сізде серверге жергілікті түрде кіру мүмкіндігі болмаса (ХЕҰ консолі арқылы, виртуалды машина, бұлттық интерфейс және т.б.). Бұл режимде қашықтағы серверге қосылып, қауіпсіздік жаңартуларын орната аласыз, осылайша ұсынылған 1-әдіске көше аласыз. Серверді жаңартқаннан кейін саясатты өшіруді немесе AllowEncryptionOracle = 0 кілтінің мәнін қайтаруды ұмытпаңыз: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Windows жүйесінде RDP үшін NLA өшірілуде

Егер сіз қосылып жатқан RDP серверінің жағында NLA қосылған болса, бұл CredSPP RDP пайдаланушысын алдын ала аутентификациялау үшін пайдаланылатынын білдіреді. Қойындыдағы жүйе сипаттарында желі деңгейінің аутентификациясын өшіруге болады Қашықтан қол жеткізу (Қашықтан) , «Тек желі деңгейінің аутентификациясы бар қашықтағы жұмыс үстелі жұмыс істейтін компьютерлерден қосылымдарға рұқсат ету / Желілік деңгей аутентификациясы бар қашықтағы жұмыс үстелін басқаратын компьютерлерден қосылуға рұқсат беру (ұсынылады)» (Windows 10 / Windows 8) құсбелгісін алып тастаңыз.

Windows 7 жүйесінде бұл опция басқаша аталады. Қойындыда Қашықтан қол жеткізуопциясын таңдау керек Қашықтағы жұмыс үстелінің кез келген нұсқасымен жұмыс істейтін компьютерлерден қосылымдарға рұқсат ету (қауіпті)/ Қашықтағы жұмыс үстелінің кез келген нұсқасын басқаратын компьютерлерден қосылымдарға рұқсат ету (қауіпсіздігі төмен)».

Сондай-ақ, LAN өңдегіші арқылы желі деңгейінің аутентификациясын (NLA) өшіруге болады. топтық саясат - gpedit.msc(Windows 10 Home жүйесінде gpedit.msc саясат өңдегішін іске қосуға болады) немесе домен саясатын басқару консолін - GPMC.msc арқылы. Мұны істеу үшін бөлімге өтіңіз Компьютер конфигурациясы -> Әкімшілік үлгілер -> Құрамдас бөліктерWindows–> Қашықтағы жұмыс үстелі қызметтері – Қашықтағы жұмыс үстелі сеансының хосты –> Қауіпсіздік(Компьютер конфигурациясы –> Әкімшілік үлгілер –> Windows құрамдастары –> Қашықтағы жұмыс үстелі қызметтері – Қашықтағы жұмыс үстелі сеансының хосты –> Қауіпсіздік), өшірусаясат (Желі деңгейіндегі аутентификацияны пайдалану арқылы қашықтағы қосылымдар үшін пайдаланушы аутентификациясын талап ету).

Саясатқа да қажет үшін арнайы қауіпсіздік деңгейін пайдалануды талап етеді қашықтағы қосылымдар RDP протоколы арқылы» (Қашықтағы (RDP) қосылымдар үшін арнайы қауіпсіздік деңгейін пайдалануды талап ету) Қауіпсіздік деңгейін таңдаңыз - RDP.

Жаңа RDP параметрлерін қолдану үшін саясаттарды жаңарту керек (gpupdate /force) немесе компьютерді қайта іске қосыңыз. Осыдан кейін қашықтағы жұмыс үстелі серверіне сәтті қосылу керек.

Тіркеу редакторын ашыңыз.

Филиал HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Қауіпсіздік бумалары параметрін ашыңыз және сол жерден tspkg сөзін іздеңіз. Егер ол жоқ болса, біз оны бұрыннан бар параметрлерге қосамыз.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders бөлімшесі

SecurityProviders параметрін ашыңыз және ол жоқ болса, credssp.dll файлын бар провайдерлерге қосыңыз.

Тіркеу редакторын жабыңыз.

Енді қайта жүктеу керек. Егер бұл жасалмаса, компьютер бізден пайдаланушы аты мен құпия сөзді сұрайды, бірақ қашықтағы жұмыс үстелінің орнына келесіге жауап береді:

Бар болғаны.

Сервер әкімшілері қосулы Windows негізі 2008 жылы келесі мәселеге тап болуы мүмкін:

Windows XP SP3 станциясынан таңдаулы серверге rdp протоколы арқылы қосылу келесі қатемен орындалмайды:

Қашықтағы жұмыс үстелі өшірілген.

Қашықтағы компьютер бұл компьютер қолдамайтын желі деңгейіндегі аутентификацияны қажет етеді. Көмек сұрау жүйелік әкімшінемесе техникалық қолдау көрсету.

Келешегі зор Win7 әжесі WinXP-ді ауыстырады деп қорқытса да, тағы бір-екі жыл бұл мәселе өзекті болады.

Желілік деңгейдің аутентификация механизмін қосу үшін не істеу керек:

Тіркеу редакторын ашыңыз.

Филиал HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Параметрді ашу Қауіпсіздік пакеттері және сөзді іздейді шай қасық. Егер ол жоқ болса, біз оны бұрыннан бар параметрлерге қосамыз.

Филиал HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Параметрді ашу Қауіпсіздік провайдерлері және бар провайдерлерге қосыңыз credssp.dll, егер жоқ болса.

Тіркеу редакторын жабыңыз.

Енді қайта жүктеу керек. Егер бұл жасалмаса, қосылу әрекеті кезінде компьютер бізден пайдаланушы аты мен құпия сөзді сұрайды, бірақ қашықтағы жұмыс үстелінің орнына келесіге жауап береді:

Қашықтағы жұмыс үстеліне қосылу

Аутентификация сәтсіз аяқталды (коды 0x507)

Бар болғаны.