След като инсталирах актуализация KB4103718 на моя компютър с Windows 7, не мога да се свържа дистанционно със сървър, работещ с Windows Server 2012 R2, чрез отдалечения работен плот на RDP. След като посоча адреса на RDP сървъра в прозореца на клиента mstsc.exe и кликнете върху „Свързване“, се появява грешка:
Връзка към отдалечен работен плотУдостоверяването не бе успешно.
Посочената функция не се поддържа..
Отдален компютър: име на компютър
След като премахнах актуализацията на KB4103718 и рестартирах компютъра, RDP връзката започна да работи добре. Ако разбирам правилно, това е само временно решение, следващия месец ще пристигне нов пакет за актуализация и грешката ще се върне? Можете ли да посъветвате нещо?
Отговорът
Напълно сте прав, че няма смисъл да решавате проблема, като премахвате актуализациите на Windows, тъй като по този начин излагате компютъра си на риск от използване на различни уязвимости, които затварят кръпки в тази актуализация.
Не сте сами в проблема си. Тази грешка може да се появи във всяка операционна система Windows или Windows Server (не само Windows 7). За потребителите на английската версия на Windows 10, когато се опитват да се свържат към RDP / RDS сървъра, подобна грешка изглежда така:
Възникна грешка при удостоверяване.Исканата функция не се поддържа.
Отдален компютър: име на компютър
RDP грешка „Възникна грешка при удостоверяване“ може да се появи при опит за стартиране на RemoteApp приложения.
Защо това се случва? Факт е, че вашият компютър има най-новите актуализации за сигурност (пуснати след май 2018 г.), които коригират сериозна уязвимост в протокола CredSSP (Credential Security Support Provider), използван за удостоверяване на RDP сървъри (CVE-2018-0886) (препоръчвам вижте статията Грешка при свързване на RDP: отстраняване на оракул за криптиране на CredSSP). В същото време тези актуализации не са инсталирани от страната на RDP / RDS сървъра, към която се свързвате от вашия компютър, и за достъп до RDP е активиран NLA (удостоверяване на мрежово ниво / удостоверяване на мрежово ниво). Протоколът NLA използва CredSSP механизми за предварително удостоверяване на потребителите чрез TLS / SSL или Kerberos. Вашият компютър, поради новите настройки за сигурност, които актуализираната от вас инсталация просто блокира връзката с отдалечен компютър, който използва уязвимата версия на CredSSP.
Какво може да се направи, за да се отстрани тази грешка и да се свърже към вашия RDP сървър?
- Най-много правилната начинът за решаване на проблема е да инсталирате последните кумулативни актуализации за сигурност на Windows на компютъра / сървъра, към който се свързвате чрез RDP;
- Временен метод 1. Можете да деактивирате удостоверяване на мрежово ниво (NLA) от страна на RDP сървъра (описано по-долу);
- Временен метод 2. Можете да разрешите клиентски връзки към RDP сървъри с опасна версия на CredSSP, както е описано в статията на връзката по-горе. За да направите това, променете ключа на системния регистър AllowEncryptionOracle (екип
REG ADD
) или променете настройките на местната политика Шифроване Oracle Remedeation / Поправете уязвимостта на криптиращия оракул), като зададете неговата стойност = Уязвим / Оставете уязвимостта). Това е единственият начин за достъп до отдалечения сървър чрез RDP, ако имате възможност да влезете локално на сървъра (през конзолата ILO, виртуална машина, облачен интерфейс и т.н.). В този режим можете да се свържете с отдалечения сървър и да инсталирате актуализации за сигурност, така че отидете на препоръчания 1 метод. След актуализиране на сървъра, не забравяйте да деактивирате правилото или да върнете ключовата стойност AllowEncryptionOracle = 0:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Политики \ Система \ CredSSP \ Параметри / v AllowEncryptionOracle / t REG_DWORD / d 2REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Политики \ Система \ CredSSP \ Параметри / v AllowEncryptionOracle / t REG_DWORD / d 0
Деактивиране на NLA за RDP на Windows
Ако от страна на RDP на сървъра, към който се свързвате, NLA е активиран, това означава, че CredSPP се използва за предварително удостоверяване на RDP на потребителя. Деактивирайте удостоверяването на мрежово ниво в системните свойства в раздела Отдалечен достъп (отдалечен), премахнете отметката „Разрешаване на връзки само от компютри, работещи с отдалечен работен плот с автентификация на ниво мрежа / Разрешаване на връзка само от компютри, работещи с отдалечен работен плот с удостоверяване на мрежово ниво (препоръчително) "(Windows 10 / Windows 8).
В Windows 7 тази опция се нарича по различен начин. етикет Отдалечен достъп трябва да изберете опцията "Разрешаване на връзки от компютри с всяка версия на отдалечен работен плот (опасно) / Разрешаване на връзки от компютри, работещи с всяка версия на отдалечен работен плот (по-малко защитена) ".
Можете също да деактивирате удостоверяване на мрежово ниво (NLA), като използвате редактора на местните групови правила - gpedit.MSC (в Windows 10 Home, редакторът на политики gpedit.msc може да бъде стартиран така) или с помощта на конзолата за управление на политики за домейни, GPMC.msc. За да направите това, отидете на Конфигурация на компютъра -> Административни шаблони -> Компоненти Windows -> Услуги за отдалечен работен плот - Устройство за отдалечен работен плот -> Защита (Конфигурация на компютъра -> Административни шаблони -> Компоненти на Windows -> Услуги за отдалечен работен плот - Хост на отдалечен работен плот -> Защита), деактивиране политика на Изисквайте удостоверяване на потребителя за отдалечени връзки чрез удостоверяване на ниво мрежа (Изискване на удостоверяване на потребителя за отдалечени връзки чрез използване на удостоверяване на мрежово ниво).
Също така е необходимо в политиката "Изисквайте използването на специално ниво на сигурност за отдалечени RDP връзки"(Изисквайте използването на специфичен защитен слой за отдалечени (RDP) връзки) изберете ниво на защита (слой за защита) - ПРСР.
За да приложите новите настройки за RDP, трябва да актуализирате политики (gpupdate / force) или да рестартирате компютъра. След това трябва успешно да се свържете с отдалечения работен плот на сървъра.