Грешка за отстраняване на оракул за криптиране на CredSSP

Въпреки факта, че поддръжката за Windows XP беше спряна преди 4 години (Windows XP End Of Support) - много външни и вътрешни клиенти продължават да използват тази ОС и изглежда, че този проблем няма да бъде решен радикално в близко бъдеще 🙁 ... На другия ден те откриха проблем : Клиентите на Windows XP не могат да се свържат чрез Remote Desktop с новия терминал Farm Farm Remote Desktop Services на Windows Server 2012 R2. Подобен проблем възниква, когато се опитате да се свържете чрез RDP от Windows XP към Windows 10 1803.

Съдържание:

  • Не може да се свърже чрез RDP от Windows XP към Windows Server 2016 / 2012R2 и Windows 10
  • Деактивирайте NLA на RDS Windows Server 2016/2012 R2
  • Активиране на NLA на клиентско ниво на Windows XP

Не може да се свърже чрез RDP от Windows XP към Windows Server 2016 / 2012R2 и Windows 10

Потребителите на XP се оплакват от тези грешки на клиент rdp:

Поради грешка в защитата, клиентът не можа да се свърже с отдалечения компютър. Проверете дали сте влезли в мрежата и след това опитайте да се свържете отново. Отдалечената сесия бе изключена, защото отдалеченият компютър получи невалидно съобщение за лицензиране от този компютър. Отдалечният компютър изисква удостоверяване на мрежово ниво, което вашият компютър не поддържа. За помощ се обърнете към системния администратор или техническа поддръжка.

За да разрешите този проблем, проверете дали версията на RDP клиента на компютрите, работещи под Windows XP, е актуализирана. Понастоящем максималната версия на RDP клиента, която може да бъде инсталирана на Windows XP - ПРСР версия на клиента 7.0 (KB969084 - https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol -rdp-7-0-или-7-1 /). Можете да инсталирате тази актуализация само на Windows XP SP3. Инсталирането на RDP клиент версия 8.0 и по-нова на Windows на XP не се поддържа. След инсталирането на тази актуализация, половината от клиентите решиха проблема с RDP връзка. Второто полувреме е останало ... .

Деактивирайте NLA на RDS Windows Server 2016/2012 R2

След като започнахме да изучаваме темата за RDS сървъра на базата на Windows 2012 R2 по-подробно, открихме, че в Windows Server 2012 (и по-горе) по подразбиране той изисква задължителна поддръжка на технологията от своите клиенти АНО (Удостоверяване на ниво мрежа - удостоверяване на мрежово ниво, повече за тази технология тук), но ако клиентът не поддържа NLA, той няма да успее да се свърже към RDS сървъра. По същия начин NLA е активиран по подразбиране, когато активирате RDP в Windows 10.

Има два извода от горното, така че останалите клиенти на XP да могат да се свързват чрез RDP към терминален сървър на Windows Server 2016/2012 R2 или към Windows 10:

  • Деактивирайте валидирането на NLA за отдалечени настолни услуги 2012 R2 / 2016 Farm Server или Windows 10
  • или активирайте поддръжката на NLA за XP клиенти;

За да деактивирате изискването за задължителна употреба на протокола NLA за клиенти на сървъра на Windows Server 2012 R2 RDS в конзолата на Server Manager, отидете на отдалечен Desktop Услуги -> Колекции -> QuickSessionCollection, да избирам Задачи -> Редактиране Имоти, изберете раздел  сигурност и премахнете опцията: Позволете връзки само от компютри тичане отдалечен Desktop с мрежа ниво заверка

В Windows 10 можете да деактивирате удостоверяване на мрежово ниво в свойствата на системата (Система - Конфигуриране на отдалечен достъп). Премахнете отметката от „Разрешаване на връзки само от компютри, работещи на отдалечен работен плот с удостоверяване на ниво мрежа (препоръчително)“.

Естествено, трябва да разберете, че деактивирането на NLA на ниво сървър намалява сигурността на системата и като цяло не се препоръчва. За предпочитане е да се използва втората техника..

Активиране на NLA на клиентско ниво на Windows XP

За правилната работа на Windows XP като клиент, трябва да имате поне Service Pack 3. Ако не, не забравяйте да изтеглите и инсталирате тази актуализация. Този Service Pack 3 е минималното изискване за актуализиране на RDP клиента от версия 6.1 до 7.0 и поддръжка на необходимите компоненти, включително доставчика на услуги за защита на поверителност (CredSSP -KB969084), което е описано по-долу..

Без поддръжка за CredSSP и NLA, по време на RDP връзка от Windows XP до нова версия на Windows ще се появи грешка

Грешка при удостоверяването (код: 0x80090327).

По-рано описахме как да активирате поддръжката за удостоверяване на мрежовото ниво на компютри, работещи под Windows XP, припомнете накратко основните моменти.

Поддръжката на NLA се появи в Windows XP, като се започне със SP3, но по подразбиране не е активирана. Могат да бъдат активирани само удостоверяването на NLA и CredSSP доставчик. За да направите това:

  1. В клона на регистъра HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders трябва да редактирате стойността на ключа SecurityProviders, добавяне в края credssp.dll (разделено със запетая от текущата му стойност);
  2. По-нататък в клона HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa в стойност на параметъра Пакети за сигурност добавете ред tspkg;
  3. След извършването на тези промени компютърът трябва да се рестартира.

След приключване на всички манипулации компютър, работещ с Windows XP SP3, трябва да се свърже чрез rdp към фермата на терминали на Windows Server 2016/2012 R2 или Windows 10. Въпреки това, не можете да запазите паролата за RDP връзката на клиента на Windows XP (ще трябва да въвеждате паролата всеки път връзка).

съвет. Успоредно с това имаше и друг проблем с печата чрез Easy Print. За да могат компютрите с Windows XP да печатат на RDS 2012 с помощта на Easy Print, клиентите трябва да отговарят на следните изисквания: ОС - Windows XP SP3, rdp версията на клиента е поне 6.1, наличие на .NET Framework 3.5 (как да разберете версията на NET Framework).

Грешка за отстраняване на оракул за криптиране на CredSSP

През 2018 г. в протокола CredSSP (бюлетин CVE-2018-0886) беше открита сериозна уязвимост, която беше фиксирана в актуализациите за сигурност на Microsoft. През май 2018 г. MSFT пусна допълнителна актуализация, която забранява на клиентите да се свързват към RDP компютри и сървъри с уязвима версия на CredSSP (вижте статия: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka- credssp-криптиране-оракул-отстраняване /). При свързване към отдалечени компютри чрез RDP се появява грешка. Възникна грешка в удостоверяването. Посочената функция не се поддържа..

Поради факта, че Microsoft не пуска актуализации за сигурност за Windows XP и Windows Server 2003, няма да можете да се свържете с поддържани версии на Windows от тези ОС.

За да активирате RDP свързаност от Windows XP до актуализиран Windows 10 / 8.1 / 7 и Windows Server 2016 / 2012R2 / 2012/2008 R2, трябва да активирате правилата на страната на RDP сървъра Encryption оракул саниране / Поправяне на уязвимостта на oracle за криптиране (компютър Конфигурация -> Административно Templates -> Система -> Удостоверения делегация / Конфигурация на компютъра -> Административни шаблони -> Система -> Прехвърляне на идентификационни данни) със стойност смекчени, което, както разбирате, е опасно.

съвет. За Windows XP (версия, наречена Windows Embedded POSReady 2009) всъщност има отделна актуализация за уязвимостта на CredSSP Remote Execution уязвимост - https://support.microsoft.com/en-us/help/4056564 (WindowsXP-KB4056564-x86-Embedded- ENU.exe) и на теория има възможност за инсталиране на актуализации за Embedded POSReady както в обикновената версия на Windows XP x86, така и на Windows Server 2003.