Miután telepítettem a KB4103718 frissítést a Windows 7 számítógépre, nem tudok távolról csatlakozni a Windows Server 2012 R2 rendszert futtató kiszolgálóhoz az RDP távoli asztalon. Miután megadtam az RDP-kiszolgáló címét az mstsc.exe ügyfélablakban, és rákattintottam a „Csatlakozás” gombra, megjelenik egy hiba:
Távoli asztali kapcsolatA hitelesítés sikertelen.
A megadott funkció nem támogatott..
Távoli számítógép: számítógépnév
Miután eltávolítottam a KB4103718 frissítést és újraindítottam a számítógépet, az RDP kapcsolat jól működött. Ha helyesen értem, ez csak egy átmeneti megoldás, a jövő hónapban új kumulatív frissítési csomag érkezik, és a hiba visszatér? Tudsz tanácsot adni valamit?
A válasz
Teljesen igaza van, hogy nincs értelme a problémát a Windows frissítéseinek eltávolításával megoldani, mivel ezzel kitéve a számítógépet a biztonsági rések kihasználásának kockázatára, amely a frissítés javításait lezárja..
Nem vagy egyedül a problémádban. Ez a hiba bármely Windows vagy Windows Server operációs rendszeren megjelenhet (nem csak a Windows 7). A Windows 10 angol verziójának felhasználói számára, amikor megpróbálnak kapcsolódni az RDP / RDS szerverhez, hasonló hiba néz ki:
Hitelesítési hiba történt.A kért funkció nem támogatott.
Távoli számítógép: számítógépnév
RDP hiba A RemoteApp alkalmazások elindításakor „Hitelesítési hiba történt” jelenhet meg.
Miért történik ez? A helyzet az, hogy a számítógépen vannak a legújabb biztonsági frissítések (2018 májusa után jelent meg), amelyek súlyos sérülékenységet javítanak az RDP-kiszolgálók hitelesítéséhez használt CredSSP (Credential Security Support Provider) protokollban (CVE-2018-0886) (azt javaslom lásd az RDP-kapcsolat hibája: CredSSP titkosítási oraklusz helyreigazítás című cikket. Ugyanakkor ezeket a frissítéseket nem telepítik arra az RDP / RDS szerveroldalra, amelyhez a számítógépet csatlakoztatják, és az NLA (hálózati szintű hitelesítés / hálózati szintű hitelesítés) engedélyezve van az RDP hozzáféréshez. Az NLA protokoll a CredSSP mechanizmusokat használja a felhasználók előzetes hitelesítéséhez a TLS / SSL vagy a Kerberos segítségével. A telepített frissítés új biztonsági beállításainak köszönhetően a számítógépe csak blokkolja a kapcsolatot a távoli számítógéppel, amely a CredSSP sebezhető verzióját használja.
Mit lehet tenni a hiba kijavításához és az RDP-kiszolgálóhoz történő kapcsolódáshoz??
- A legtöbb a megfelelő a probléma megoldásának módja az, ha a legújabb kumulatív Windows biztonsági frissítéseket telepíti arra a számítógépre / kiszolgálóra, amelyhez RDP-vel csatlakozik;
- Ideiglenes módszer 1. Az RDP-kiszolgáló oldalán letilthatja a hálózati szintű hitelesítést (NLA);
- 2. ideiglenes módszer. A CredSSP nem biztonságos verziójával engedélyezheti az ügyféloldali kapcsolatot az RDP-kiszolgálókkal, a fenti cikkben leírtak szerint. Ehhez módosítsa a rendszerleíró kulcsot AllowEncryptionOracle (csapat
REG ADD) vagy módosítsa a helyi házirend-beállításokat Titkosítás Oracle rehabilitáció / Javítsa ki a titkosító orakló sérülékenységét) értékének beállításával = Sebezhető / Hagyja meg a sebezhetőséget). Csak így érhető el a távoli kiszolgáló az RDP-n keresztül, ha lehetősége van helyileg bejelentkezni a kiszolgálóra (az ILO konzolon, virtuális gépen, felhő felületen stb.). Ebben az üzemmódban csatlakozhat a távoli szerverhez és telepítheti a biztonsági frissítéseket, tehát ugorjon az ajánlott 1 módszerre. A kiszolgáló frissítése után ne felejtse el letiltani a házirendet, vagy térjen vissza az AllowEncryptionOracle = 0 kulcs értékére:
HKLM \ SZOFTVER \ Microsoft \ Windows \ CurrentVersion \ Házirendek \ Rendszer \ CredSSP \ Paraméterek / v AllowEncryptionOracle / t REG_DWORD / d 2REG ADD HKLM \ SZOFTVER \ Microsoft \ Windows \ CurrentVersion \ Házirendek \ Rendszer \ CredSSP \ Paraméterek / v AllowEncryptionOracle / t REG_DWORD / d 0
Az NLA letiltása az RDP számára Windows rendszeren
Ha azon kiszolgáló RDP oldalán, amelyhez csatlakozik, az NLA engedélyezve van, ez azt jelenti, hogy a CredSPP-t használják a felhasználó RDP előhitelesítéséhez. Kapcsolja ki a hálózati szintű hitelesítést a lapon a rendszer tulajdonságaiban Távoli hozzáférés (távoli), törölje a jelölést "Csak a Remote Desktopot futtató számítógépektől engedélyezze a kapcsolatokat hálózati szintű hitelesítéssel / Csak a távoli asztali számítógépet hálózati szintű hitelesítéssel futtató számítógépek engedélyezése (ajánlott) "(Windows 10 / Windows 8).
Windows 7 esetén ezt az opciót másképp hívják. lap Távoli hozzáférés ki kell választania a "Kapcsolódás engedélyezése a számítógépektől a Távoli Asztal bármely verziójával (veszélyes) / Kapcsolódás engedélyezése a távoli asztal bármely verzióját futtató számítógépektől (kevésbé biztonságos) ".
A hálózati szintű hitelesítést (NLA) a helyi csoportházirend-szerkesztő segítségével is letilthatja - gpedit.msc (a Windows 10 Home rendszerben a gpedit.msc házirend-szerkesztő ilyen módon elindítható), vagy a tartományszabály-kezelő konzol, a GPMC.msc használatával. Ehhez menjen a Számítógép konfigurálása -> Felügyeleti sablonok -> Alkatrészek A windows -> Távoli asztali szolgáltatások - Távoli asztali munkamenetgazda -> Biztonság (Számítógépes konfiguráció -> Felügyeleti sablonok -> Windows-összetevők -> Távoli asztali szolgáltatások - Távoli asztali munkamenet host -> Biztonság), disable politikája Igényeljen felhasználói hitelesítést a távoli kapcsolatokhoz hálózati szintű hitelesítéssel (Hálózati szintű hitelesítés használatával megkövetelje a felhasználói hitelesítést a távoli kapcsolatok számára).
Szükség van a politikába is "Különleges biztonsági szint használatát igényli a távoli RDP-kapcsolatokhoz"(Különleges biztonsági réteg használatát kell megkövetelni a távoli (RDP) kapcsolatok számára) Válasszon egy biztonsági szintet (Biztonsági réteg) - RDP.
Az új RDP-beállítások alkalmazásához frissítenie kell a házirendeket (gpupdate / force), vagy újra kell indítania a számítógépet. Ezt követően sikeresen csatlakoznia kell a kiszolgáló távoli asztalához.
