Zadaná funkce není podporována. Došlo k chybě ověřování

Bezpečnost a rychlost serverů byly vždy problémem a jejich význam každým rokem jen roste. Z tohoto důvodu Microsoft přešel z původního modelu ověřování na straně serveru k ověřování na úrovni sítě.

Jaký je rozdíl mezi těmito modely?
Dříve při připojování k Terminálové službě uživatel vytvořil relaci se serverem, přes kterou server načetl obrazovku pro zadání přihlašovacích údajů pro uživatele. Tato metoda spotřebovává zdroje serveru ještě předtím, než uživatel ověří jejich legitimitu, což umožňuje nelegálnímu uživateli zcela zahltit zdroje serveru vícenásobnými požadavky na přihlášení. Server, který není schopen tyto požadavky zpracovat, odmítne požadavky legitimním uživatelům (DoS útok).

Network-Level Authentication (NLA) nutí uživatele zadávat přihlašovací údaje do dialogového okna na straně klienta. Ve výchozím nastavení, pokud na straně klienta neexistuje žádný certifikát ověření autentizace na úrovni sítě, server připojení nepovolí a nenastane. NLA požaduje, aby klientský počítač před vytvořením relace se serverem poskytl své ověřovací údaje. Tento proces se také nazývá front-end ověřování.

NLA byl zaveden zpět v RDP 6.0 a byl zpočátku podporován Windows Vista. Od verze RDP 6.1 - podporováno servery s operačním systémem Windows Server 2008 a vyšší a podpora klientů je poskytována pro operační systémy Windows XP SP3 (musíte povolit nového poskytovatele zabezpečení v registru) a vyšší. Metoda využívá poskytovatele zabezpečení CredSSP (Credential Security Support Provider). Při použití klienta vzdálené plochy pro jiný operační systém se musíte informovat o jeho podpoře NLA.

• Nevyžaduje významné zdroje serveru.
• Další úroveň ochrany proti útokům DoS.
• Urychluje proces zprostředkování mezi klientem a serverem.
• Umožňuje rozšířit technologii NT "single login" pro práci s terminálovým serverem.

• Ostatní poskytovatelé zabezpečení nejsou podporováni.
• Nepodporují klientské verze nižší než Windows XP SP3 a serverové verze nižší než Windows Server 2008.
• Požadované manuální nastavení registru na každém klient Windows XP SP3.
• Jako každé schéma „jednoho přihlášení“ je zranitelné vůči krádeži „klíčů k celé pevnosti“.
• Neexistuje žádná možnost použití funkce „Při příštím přihlášení vyžadovat změnu hesla“.

Otevřete editor registru.

Větev HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Otevřete parametr Security Packages a vyhledejte tam slovo tspkg. Pokud tam není, přidejte jej ke stávajícím parametrům.

Větev HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Otevřete parametr SecurityProviders a přidejte credssp.dll ke stávajícím poskytovatelům, pokud chybí.

Zavřete editor registru.

Nyní je třeba restartovat. Pokud tak neučiníte, počítač nás požádá o uživatelské jméno a heslo, ale místo vzdálené plochy odpoví následovně:

To je vše.

Správci serveru Windows 2008 se mohou setkat s následujícím problémem:

Připojení přes protokol rdp k vašemu oblíbenému serveru ze stanice Windows XP SP3 se nezdaří s následující chybou:

Vzdálená plocha je zakázána.

Vzdálený počítač vyžaduje ověření na úrovni sítě, což tento počítač nepodporují. Požádejte o pomoc správce systému nebo technickou podporu.

A přestože slibné Win7 hrozí, že časem nahradí svou babičku WinXP, problém bude aktuální ještě rok či dva.

Zde je to, co musíte udělat, abyste povolili ověřování síťové vrstvy:

Otevřete editor registru.

Větev HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Otevřete parametr Bezpečnostní balíčky a hledejte tam slovo tspkg. Pokud tam není, přidejte jej ke stávajícím parametrům.

Větev HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Otevřete parametr Poskytovatelé zabezpečení a přidat ke stávajícím poskytovatelům credssp.dll, pokud žádný není.

Zavřete editor registru.

Nyní je třeba restartovat. Pokud tak neučiníte, při pokusu o připojení nás počítač požádá o uživatelské jméno a heslo, ale místo vzdálené plochy odpoví následujícím způsobem:

Připojení ke vzdálené ploše

Chyba ověření (kód 0x507)

To je vše.

Po instalaci aktualizace KB4103718 do počítače se systémem Windows 7 se nemohu vzdáleně připojit k serveru se systémem Windows Server 2012 R2 prostřednictvím protokolu RDP. Po zadání adresy serveru RDP v okně klienta mstsc.exe a kliknutí na „Připojit“ se zobrazí chyba:

Připojení ke vzdálené ploše

Došlo k chybě ověřování.

Zadaná funkce není podporována.
Vzdálený počítač: název počítače

Poté, co jsem odinstaloval aktualizaci KB4103718 a restartoval počítač, začalo připojení RDP fungovat dobře. Pokud tomu dobře rozumím, jedná se pouze o dočasné řešení, příští měsíc dorazí nový balíček kumulativní aktualizace a chyba se vrátí? Můžete něco doporučit?

Odpovědět

Máte naprostou pravdu, že je zbytečné problém řešit, protože tím vystavujete svůj počítač riziku zneužití různých zranitelností, které jsou v této aktualizaci pokryty záplatami.

Ve svém problému nejste sami. Tato chyba se může objevit v libovolném operační systém Windows nebo Windows Server (nejen Windows 7). Pro anglické uživatele Verze Windows 10, při pokusu o připojení k serveru RDP/RDS vypadá podobná chyba takto:

Došlo k chybě ověřování.

Požadovaná funkce není podporována.

Vzdálený počítač: název počítače

Při pokusu o spuštění aplikací RemoteApp se také může objevit chyba RDP „Došlo k chybě ověřování“.

Proč se tohle děje? Faktem je, že váš počítač má nejnovější aktualizace zabezpečení (vydané po květnu 2018), které opravují závažnou zranitelnost v protokolu CredSSP (Credential Security Support Provider) používaném pro ověřování na serverech RDP (CVE-2018-0886) (doporučuji přečíst článek). Na straně serveru RDP / RDS, ke kterému se připojujete z počítače, však tyto aktualizace nejsou nainstalovány a pro přístup RDP je povolen protokol NLA (Network Level Authentication). Protokol NLA využívá mechanismy CredSSP k předběžné autentizaci uživatelů prostřednictvím TLS/SSL nebo Kerberos. Váš počítač kvůli novým nastavením zabezpečení zavedeným aktualizací, kterou jste nainstalovali, jednoduše blokuje připojení ke vzdálenému počítači, který používá zranitelnou verzi CredSSP.

Co můžete udělat pro opravu této chyby a připojení k serveru RDP?

1. Většina opravit způsob řešení problému - instalace poslední aktualizace Zabezpečení Windows na počítači/serveru, ke kterému se připojujete prostřednictvím RDP;
2. Dočasný způsob 1 . Můžete zakázat ověřování na úrovni sítě (NLA) na straně serveru RDP (popsáno níže);
3. Dočasný způsob 2 . Na straně klienta můžete povolit připojení k serverům RDP s nezabezpečenou verzí CredSSP, jak je popsáno ve výše uvedeném článku. Chcete-li to provést, musíte změnit klíč registru AllowEncryptionOracle(příkaz REG ADD
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) nebo změnit nastavení místní politika Šifrování Oracle Remediation/ Opravit zranitelnost šifrování oracle), nastavení její hodnoty = Vulnerable / Leave zranitelnost).

   Toto je jediný způsob, jak získat přístup ke vzdálenému serveru přes RDP, pokud nemáte možnost přihlásit se k serveru lokálně (přes konzolu ILO, virtuální stroj, cloudové rozhraní atd.). V tomto režimu se budete moci připojit ke vzdálenému serveru a nainstalovat aktualizace zabezpečení, čímž přejdete na doporučený způsob 1. Po aktualizaci serveru nezapomeňte deaktivovat zásady nebo vrátit hodnotu klíče AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Zakázání NLA pro RDP v systému Windows

Pokud je povoleno NLA na straně serveru RDP, ke kterému se připojujete, znamená to, že CredSPP se používá k předběžné autentizaci uživatele RDP. Ověřování na úrovni sítě můžete zakázat ve vlastnostech systému na kartě Vzdálený přístup (Dálkový) zrušením zaškrtnutí políčka „Povolit připojení pouze z počítačů se vzdálenou plochou s ověřováním na úrovni sítě (doporučeno)“ (Windows 10 / Windows 8).

Ve Windows 7 se tato možnost nazývá jinak. Na kartě Vzdálený přístup musíte vybrat možnost " Povolit připojení z počítačů s jakoukoli verzí vzdálené plochy (nebezpečné)/ Povolit připojení z počítačů s libovolnou verzí vzdálené plochy (méně bezpečné)".

Pomocí místního editoru můžete také zakázat ověřování na úrovni sítě (NLA). skupinová politika - gpedit.msc(ve Windows 10 Home lze spustit editor zásad gpedit.msc) nebo pomocí konzoly pro správu zásad domény – GPMC.msc. Chcete-li to provést, přejděte do sekce Konfigurace počítače –> Šablony pro správu –> KomponentyOkna–> Služby vzdálené plochy – Hostitel relací vzdálené plochy –> Zabezpečení(Konfigurace počítače –> Šablony pro správu –> Součásti systému Windows –> Služby vzdálené plochy – Hostitel relací vzdálené plochy –> Zabezpečení), vypnout zásada (Vyžadovat ověření uživatele pro vzdálená připojení pomocí ověřování na úrovni sítě).

Potřebné také v politice" Vyžadovat zvláštní úroveň zabezpečení pro vzdálená připojení RDP» (Vyžadovat použití specifické vrstvy zabezpečení pro vzdálená připojení (RDP)) vyberte vrstvu zabezpečení - RDP.

Chcete-li použít nová nastavení RDP, musíte aktualizovat zásady (gpupdate /force) nebo restartovat počítač. Poté byste se měli úspěšně připojit k serveru vzdálené plochy.