CredSSP titkosítási orakula helyreállítási hiba

Annak ellenére, hogy a Windows XP támogatását négy évvel ezelőtt leállították (a Windows XP támogatásának vége) - sok külső és belső ügyfél továbbra is használja ezt az operációs rendszert, és úgy tűnik, hogy ezt a problémát a közeljövőben radikálisan nem oldják meg 🙁 ... Másnap problémát találtak. : A Windows XP kliensek nem tudnak csatlakozni a Távoli Asztalon keresztül a Windows Server 2012 R2 új Távoli asztali szolgáltatások farmjához. Hasonló probléma merül fel, amikor megkísérel RDP-n keresztül csatlakozni a Windows XP-ből a Windows 10 1803-hoz.

Tartalom:

  • Nem lehet RDP-n keresztül csatlakozni a Windows XP-ből a Windows Server 2016 / 2012R2-hez és a Windows 10-hez
  • Tilos letiltani az NLA-t az RDS Windows Server 2016/2012 R2 rendszeren
  • Az NLA engedélyezése a Windows XP kliens szintjén

Nem lehet RDP-n keresztül csatlakozni a Windows XP-ből a Windows Server 2016 / 2012R2-hez és a Windows 10-hez

Az XP felhasználók panaszkodtak a következő rdp kliens hibákra:

Biztonsági hiba miatt az ügyfél nem tudott csatlakozni a távoli számítógéphez. Ellenőrizze, hogy be van-e jelentkezve a hálózatba, majd próbálja meg újracsatlakozni. A távoli munkamenet lekapcsolódott, mert a távoli számítógép érvénytelen licencüzenetet kapott erről a számítógépről. A távoli számítógépnek hálózati szintű hitelesítésre van szüksége, amelyet a számítógép nem támogat. Segítségért forduljon a rendszergazdához vagy a műszaki támogatáshoz.

A probléma megoldásához ellenőrizze, hogy az RDP-kliens verziója frissítve van-e a Windows XP rendszert futtató számítógépeken. Az RDP kliens jelenleg a Windows XP-re telepíthető maximális verziója - RDP kliens verzió 7.0 (KB969084 - https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol -rdp-7-0-vagy-7-1 /). A frissítést csak a Windows XP SP3 rendszerre telepítheti. Az RDP kliens 8.0 vagy újabb verziójának telepítése Windows rendszeren nem támogatott. A frissítés telepítése után az ügyfelek fele megoldotta az RDP-kapcsolat problémáját. A második félidő még hátra van ... .

Tilos letiltani az NLA-t az RDS Windows Server 2016/2012 R2 rendszeren

Miután részletesebben megkezdtük a Windows 2012 R2 alapú RDS-kiszolgáló témájának tanulmányozását, megállapítottuk, hogy a Windows Server 2012 (és újabb) verziói alapértelmezés szerint megkövetelik az ügyfelek számára a technológia kötelező támogatását NLA (Hálózati szintű hitelesítés - hálózati szintű hitelesítés, erről a technológiáról bővebben itt olvashat), de ha az ügyfél nem támogatja az NLA-t, akkor nem sikerül kapcsolódni az RDS-kiszolgálóhoz. Hasonlóképpen, az NLA alapértelmezés szerint engedélyezve van, ha engedélyezi az RDP-t a Windows 10 rendszerben.

A fentiekből két következtetés vonható le, hogy a fennmaradó XP kliensek RDP-n keresztül csatlakozhassanak a Windows Server 2016/2012 R2 terminálkiszolgálóhoz vagy a Windows 10 rendszerhez:

  • Kapcsolja ki az NLA érvényesítését a Remote Desktop Services 2012 R2 / 2016 Farm kiszolgálókon vagy a Windows 10 rendszeren
  • vagy engedélyezze az NLA támogatást XP klienseknél;

Az NLA protokoll kötelező használatának követelményének letiltásához a Windows Server 2012 R2 RDS kiszolgálón lévő ügyfeleknél a Kiszolgálókezelő konzolon lépjen a következőbe: távoli Desktop Szolgáltatások -> Gyűjtemények -> QuickSessionCollection, választani feladatok -> Szerkesztés Tulajdonságok, válassza a részt  biztonság és távolítsa el a lehetőséget: Hagyjuk kapcsolatok csak -tól számítógépek futás távoli Desktop a hálózat szint hitelesítés

A Windows 10 rendszerben letilthatja a hálózati szintű hitelesítést a rendszertulajdonságokban (Rendszer - Távoli hozzáférés konfigurálása). Jelölje be a "Jelölje be a kapcsolatok engedélyezését csak távoli asztali számítógépeket futtató hálózati szintű hitelesítéssel (ajánlott)".

Természetesen meg kell értenie, hogy az NLA kiszolgáló szintű letiltása csökkenti a rendszer biztonságát, és általában nem ajánlott. Kívánatos a második módszer használata..

Az NLA engedélyezése a Windows XP kliens szintjén

A Windows XP ügyfélként történő megfelelő működéséhez legalább a 3. szervizcsomaggal kell rendelkeznie. Ha nem, akkor feltétlenül töltse le és telepítse a frissítést. Ez a 3. szervizcsomag a minimális követelmény az RDP kliens 6.1-ről 7.0-ra történő frissítéséhez és a szükséges összetevők támogatásához, beleértve a hitelesítő adatok biztonsági szolgáltatóját (CredSSP -KB969084), amelyet alább ismertetünk..

A CredSSP és az NLA támogatása nélkül hiba jelenik meg a Windows XP RDP-kapcsolatának csatlakoztatásakor a Windows új verziójához

Hitelesítési hiba (kód: 0x80090327).

Korábban ismertettük, hogyan lehet engedélyezni a hálózati szintű hitelesítés támogatását a Windows XP rendszert futtató számítógépeken, röviden emlékeztetve a fő pontokra.

Az NLA támogatás a Windows XP-ben megjelenik az SP3 verzióval, de alapértelmezés szerint nem engedélyezett. Csak az NLA és a CredSSP szolgáltató hitelesítése engedélyezhető. Ehhez:

  1. A nyilvántartási ágban HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders módosítani kell a kulcs értékét SecurityProviders, hozzáadása a végén credssp.dll (vesszővel elválasztva a jelenlegi értéktől);
  2. Tovább az ágon HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa paraméterértékben Biztonsági csomagok add sort tspkg;
  3. A módosítások elvégzése után a számítógépet újra kell indítani.

Az összes manipuláció elvégzése után a Windows XP SP3 operációs rendszerrel rendelkező számítógépnek rdp-en keresztül problémamentesen csatlakoznia kell a Windows Server 2016/2012 R2 vagy a Windows 10 terminálfarmához, azonban a Windows XP kliensen nem mentheti el az RDP-kapcsolat jelszavát (minden alkalommal be kell írnia a jelszót). kapcsolat).

tanács. Ezzel párhuzamosan még egy probléma merült fel az Easy Print segítségével történő nyomtatás során. Ahhoz, hogy a Windows XP operációs rendszerű számítógépeken az RDS 2012-re nyomtasson az Easy Print használatával, az ügyfeleknek meg kell felelniük a következő követelményeknek: OS - Windows XP SP3, legalább az ügyfél rdp verziója 6.1, .NET Framework 3.5 (a NET Framework verziójának ismertetése).

CredSSP titkosítási orakula helyreállítási hiba

2018-ban súlyos sebezhetőséget fedeztek fel a CredSSP protokollban (CVE-2018-0886 közlemény), amelyet a Microsoft biztonsági frissítéseiben rögzítettek. 2018 májusában az MSFT kiadott egy kiegészítő frissítést, amely megtiltja az ügyfelek számára, hogy az RDP számítógépekhez és szerverekhez kapcsolódjanak a CredSSP sebezhető verziójával (lásd a cikket: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka- credssp-encryption-oracle-remediation /). Amikor távoli számítógépekhez kapcsolódik RDP-n keresztül, hiba jelenik meg. Hitelesítési hiba történt. A megadott funkció nem támogatott..

Mivel a Microsoft nem bocsátja ki a Windows XP és a Windows Server 2003 biztonsági frissítéseit, akkor nem tud csatlakozni ezeknek az operációs rendszereknek a támogatott Windows verzióira..

Ahhoz, hogy az RDP-kapcsolatot Windows XP-ről a frissített Windows 10 / 8.1 / 7-re és a Windows Server 2016 / 2012R2 / 2012/2008 R2-re engedélyezze, engedélyeznie kell a házirendet az RDP-kiszolgáló oldalán Encryption jóslat kármentesítési / A titkosítási oracle sérülékenység javítása (számítógép Configuration -> Adminisztratív sablonok -> Rendszer -> Hitelesítő adatok felhatalmazás / Számítógép konfigurálása -> Felügyeleti sablonok -> Rendszer -> Hitelesítő adatok átvitele) értékkel mérsékelni, amely, ahogy érti, nem biztonságos.

tanács. A Windows XP (a Windows Embedded POSReady 2009 nevű verzió) számára valójában külön frissítés van a CredSSP távoli kódfuttatást lehetővé tevő biztonsági résére - https://support.microsoft.com/en-us/help/4056564 (WindowsXP-KB4056564-x86-Embedded- ENU.exe), és elméletben lehetősége van az Embedded POSReady frissítéseinek telepítésére a Windows XP x86 szokásos verziójára és a Windows Server 2003 rendszerre egyaránt.