La función especificada no es compatible. Se produjo un error de autenticación

La seguridad y la velocidad de los servidores siempre han sido un problema y cada año su relevancia crece. Debido a esto, Microsoft ha pasado del modelo de autenticación del lado del servidor original a la autenticación a nivel de red.

¿Cuál es la diferencia entre estos modelos?
Anteriormente, al conectarse a Terminal Services, el usuario creaba una sesión con el servidor a través de la cual este cargaba una pantalla para ingresar las credenciales del usuario. Este método consume recursos del servidor incluso antes de que el usuario haya verificado su legitimidad, lo que permite a un usuario ilegal abrumar por completo los recursos del servidor con múltiples solicitudes de inicio de sesión. Un servidor que no puede procesar estas solicitudes niega las solicitudes a usuarios legítimos (ataque DoS).

La autenticación a nivel de red (NLA) obliga al usuario a ingresar credenciales en un cuadro de diálogo del lado del cliente. De forma predeterminada, si no hay un certificado de verificación de autenticación a nivel de red en el lado del cliente, entonces el servidor no permitirá la conexión y no sucederá. NLA solicita a la computadora cliente que proporcione sus credenciales de autenticación antes de crear una sesión con el servidor. Este proceso también se denomina autenticación de front-end.

NLA se introdujo nuevamente en RDP 6.0 y fue compatible inicialmente Windows Vista. A partir de la versión RDP 6.1: compatible con servidores que ejecutan el sistema operativo Servidor de windows 2008 y superiores, y se proporciona soporte al cliente para los sistemas operativos Windows XP SP3 (debe habilitar el nuevo proveedor de seguridad en el registro) y superiores. El método utiliza el proveedor de seguridad CredSSP (Credential Security Support Provider). Cuando utilice un cliente de escritorio remoto para otro sistema operativo, debe conocer su compatibilidad con NLA.

• No requiere importantes recursos del servidor.
• Nivel adicional de protección contra ataques DoS.
• Acelera el proceso de mediación entre cliente y servidor.
• Le permite ampliar la tecnología de "inicio de sesión único" de NT para que funcione con un servidor de terminal.

• No se admiten otros proveedores de seguridad.
• No es compatible con versiones de cliente inferiores a Windows XP SP3 ni con versiones de servidor inferiores a Windows Server 2008.
• Requerido Ajuste manual registro en cada Cliente de Windows XPSP3.
• Como cualquier esquema de “inicio de sesión único”, es vulnerable al robo de “las llaves de toda la fortaleza”.
• No hay ninguna opción para utilizar la función "Solicitar cambio de contraseña en el próximo inicio de sesión".

Abra el editor de registro.

Rama HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Abra el parámetro Paquetes de seguridad y busque la palabra tspkg allí. Si no está allí, agréguelo a los parámetros existentes.

Rama HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Abra el parámetro SecurityProviders y agregue credssp.dll a los proveedores existentes si falta.

Cierre el editor de registro.

Ahora necesitas reiniciar. Si no se hace esto, el ordenador nos pedirá un usuario y contraseña, pero en lugar del escritorio remoto nos responderá con lo siguiente:

Eso es todo.

Los administradores de servidores de Windows 2008 pueden encontrar el siguiente problema:

La conexión a través del protocolo rdp a su servidor favorito desde una estación con Windows XP SP3 falla y muestra el siguiente error:

El escritorio remoto está deshabilitado.

Computadora remota requiere autenticación a nivel de red, que este computador no apoye. Póngase en contacto con el administrador de su sistema o con el soporte técnico para obtener ayuda.

Y aunque el prometedor Win7 amenaza con reemplazar eventualmente a su abuelo WinXP, el problema seguirá siendo relevante durante uno o dos años más.

Esto es lo que debe hacer para habilitar la autenticación de la capa de red:

Abra el editor de registro.

Rama HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Abra el parámetro Paquetes de seguridad y busca la palabra ahí cucharadita. Si no está allí, agréguelo a los parámetros existentes.

Rama HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Abra el parámetro Proveedores de seguridad y agregar a proveedores existentes credssp.dll, si no hay ninguno.

Cierre el editor de registro.

Ahora necesitas reiniciar. Si no se hace esto, entonces cuando intentemos conectarnos, la computadora nos pedirá un nombre de usuario y contraseña, pero en lugar del escritorio remoto responderá con lo siguiente:

Conexión de escritorio remoto

Error de autenticación (código 0x507)

Eso es todo.

Después de instalar la actualización KB4103718 en mi computadora con Windows 7, no puedo conectarme de forma remota a un servidor que ejecuta Windows Server 2012 R2 a través de RDP. Después de especificar la dirección del servidor RDP en la ventana del cliente mstsc.exe y hacer clic en "Conectar", aparece el error:

Conexión de escritorio remoto

Se produjo un error de autenticación.

La función especificada no es compatible.
Computadora remota: nombre de la computadora

Después de desinstalar la actualización KB4103718 y reiniciar la computadora, la conexión RDP comenzó a funcionar bien. Si entiendo correctamente, esto es solo una solución temporal, el próximo mes llegará un nuevo paquete de actualización acumulativa y volverá el error. ¿Puedes recomendar algo?

Respuesta

Tiene toda la razón en que no tiene sentido resolver el problema, porque de ese modo expone su computadora al riesgo de explotar varias vulnerabilidades que están cubiertas por los parches de esta actualización.

No estás solo en tu problema. Este error puede aparecer en cualquier Sistema operativo Windows o Windows Server (no sólo Windows 7). Para usuarios de inglés Versiones de Windows 10, al intentar conectarse a un servidor RDP/RDS, aparece un error similar al siguiente:

Se ha producido un error de autenticación.

La función solicitada no es compatible.

Computadora remota: nombre de la computadora

El error RDP "Se ha producido un error de autenticación" también puede aparecer al intentar iniciar aplicaciones RemoteApp.

¿Por qué está pasando esto? El caso es que tu ordenador cuenta con las últimas actualizaciones de seguridad (lanzadas después de mayo de 2018), que corrigen una grave vulnerabilidad en el protocolo CredSSP (Credential Security Support Provider) utilizado para la autenticación en servidores RDP (CVE-2018-0886) (recomiendo leer el artículo). Sin embargo, en el lado del servidor RDP/RDS al que se conecta desde su computadora, estas actualizaciones no están instaladas y el protocolo NLA (autenticación a nivel de red) está habilitado para el acceso RDP. El protocolo NLA utiliza mecanismos CredSSP para autenticar previamente a los usuarios mediante TLS/SSL o Kerberos. Su computadora, debido a la nueva configuración de seguridad introducida por la actualización que instaló, simplemente bloquea la conexión a una computadora remota que usa una versión vulnerable de CredSSP.

¿Qué puede hacer para corregir este error y conectarse a su servidor RDP?

1. Mayoría correcto forma de resolver el problema - instalación últimas actualizaciones seguridad de ventanas en la computadora/servidor al que se está conectando mediante RDP;
2. Método temporal 1 . Puede desactivar la autenticación a nivel de red (NLA) en el lado del servidor RDP (que se describe a continuación);
3. Método temporal 2 . Puede, en el lado del cliente, permitir conexiones a servidores RDP con una versión insegura de CredSSP, como se describe en el artículo vinculado anteriormente. Para hacer esto necesitas cambiar la clave de registro. Permitir cifradoOracle(comando REG AGREGAR
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) o cambiar la configuración política local Corrección de Oracle de cifrado/ Reparar vulnerabilidad de cifrado de Oracle), estableciendo su valor = Vulnerable / Dejar vulnerabilidad).

   Esta es la única manera de acceder a un servidor remoto a través de RDP si no tiene la capacidad de iniciar sesión en el servidor localmente (a través de la consola de ILO, máquina virtual, interfaz en la nube, etc.). En este modo, podrá conectarse a un servidor remoto e instalar actualizaciones de seguridad, pasando así al método recomendado 1. Después de actualizar el servidor, no olvide deshabilitar la política o devolver el valor clave AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Deshabilitar NLA para RDP en Windows

Si NLA está habilitado en el lado del servidor RDP al que se está conectando, esto significa que CredSPP se utiliza para autenticar previamente al usuario RDP. Puede desactivar la autenticación a nivel de red en las propiedades del sistema en la pestaña Acceso remoto (Remoto) , desmarcando la casilla “Permitir conexión solo desde computadoras que ejecutan Escritorio remoto con autenticación de nivel de red (recomendado)” (Windows 10/Windows 8).

En Windows 7 esta opción se llama de otra manera. en la pestaña Acceso remoto debes seleccionar la opción " Permitir conexiones desde computadoras que ejecuten cualquier versión de Escritorio remoto (peligroso)/ Permitir conexiones desde computadoras que ejecuten cualquier versión de Escritorio Remoto (menos seguro)".

También puede desactivar la autenticación a nivel de red (NLA) utilizando el editor local. política de grupo - gpeditar.msc(en Windows 10 Home, se puede iniciar el editor de políticas gpedit.msc) o utilizando la consola de administración de políticas de dominio: GPMC.msc. Para ello dirígete a la sección Configuración de la computadora -> Plantillas administrativas -> Componentesventanas–> Servicios de escritorio remoto – Host de sesión de escritorio remoto –> Seguridad(Configuración de la computadora -> Plantillas administrativas -> Componentes de Windows -> Servicios de escritorio remoto - Host de sesión de escritorio remoto -> Seguridad), apagar política (requerir autenticación de usuario para conexiones remotas mediante autenticación de nivel de red).

También es necesario en política " Requiere un nivel especial de seguridad para conexiones RDP remotas» (Requiere el uso de una capa de seguridad específica para conexiones remotas (RDP)) seleccione Capa de seguridad - PDR.

Para aplicar la nueva configuración de RDP, debe actualizar las políticas (gpupdate /force) o reiniciar la computadora. Después de esto, debería conectarse correctamente al servidor de escritorio remoto.