Määritettyä toimintoa ei tueta. Tapahtui todennusvirhe

Palvelinten turvallisuus ja nopeus ovat aina olleet ongelma, ja joka vuosi niiden merkitys vain kasvaa. Tämän vuoksi Microsoft on siirtynyt alkuperäisestä palvelinpuolen todennusmallista verkkotason todentamiseen.

Mitä eroa näillä malleilla on?
Aiemmin päätepalveluihin yhdistäessään käyttäjä loi istunnon palvelimen kanssa, jonka kautta palvelin lataa näytön käyttäjän valtuustietojen syöttämiseksi. Tämä menetelmä kuluttaa palvelinresursseja jo ennen kuin käyttäjä on varmistanut laillisuutensa, jolloin laiton käyttäjä voi ylittää palvelinresurssit kokonaan useilla kirjautumispyynnöillä. Palvelin, joka ei pysty käsittelemään näitä pyyntöjä, hylkää pyynnöt laillisilta käyttäjiltä (DoS-hyökkäys).

Verkkotason todennus (NLA) pakottaa käyttäjän syöttämään tunnistetiedot asiakaspuolen valintaikkunaan. Oletuksena, jos asiakaspuolella ei ole verkkotason todennustarkistuksen sertifikaattia, palvelin ei salli yhteyttä eikä sitä tapahdu. NLA pyytää asiakastietokonetta antamaan todennustietonsa ennen istunnon luomista palvelimen kanssa. Tätä prosessia kutsutaan myös käyttöliittymän todentamiseksi.

NLA otettiin käyttöön RDP 6.0:ssa ja sitä tuettiin alun perin Windows Vista. Versiosta RDP 6.1 - käyttöjärjestelmää käyttävät palvelimet tukevat Windows Server 2008 ja uudemmat, ja asiakastuki tarjotaan käyttöjärjestelmille Windows XP SP3 (sinun on otettava uusi tietoturvan tarjoaja käyttöön rekisterissä) ja uudemmille. Menetelmä käyttää CredSSP (Credential Security Support Provider) -suojaustoimittajaa. Kun käytät etätyöpöytäasiakasta toisessa käyttöjärjestelmässä, sinun on otettava selvää sen NLA-tuesta.

• Ei vaadi merkittäviä palvelinresursseja.
• Lisäsuojaus DoS-hyökkäyksiä vastaan.
• Nopeuttaa sovitteluprosessia asiakkaan ja palvelimen välillä.
• Mahdollistaa NT:n "kertakirjautumistekniikan" laajentamisen toimimaan päätepalvelimen kanssa.

• Muita tietoturvan tarjoajia ei tueta.
• Ei tue Windows XP SP3:a alemmilla asiakasversioilla ja Windows Server 2008:aa vanhemmilla palvelinversioilla.
• Edellytetään manuaalinen asetus rekisteri jokaiseen Windows asiakas XP SP3.
• Kuten mikä tahansa "kertakirjautumisen" järjestelmä, se on alttiina "koko linnoituksen avainten" varkauksille.
• "Vaadi salasanan vaihto seuraavan sisäänkirjautumisen yhteydessä" -ominaisuutta ei voi käyttää.

Avaa rekisterieditori.

Haara HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Avaa Security Packages -parametri ja etsi sieltä sana tspkg. Jos sitä ei ole, lisää se olemassa oleviin parametreihin.

Haara HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Avaa SecurityProviders-parametri ja lisää credssp.dll olemassa oleviin palveluntarjoajiin, jos se puuttuu.

Sulje rekisterieditori.

Nyt sinun on käynnistettävä uudelleen. Jos näin ei tehdä, tietokone pyytää meiltä käyttäjätunnusta ja salasanaa, mutta etätyöpöydän sijaan se vastaa seuraavasti:

Siinä kaikki.

Windows 2008 -palvelimen järjestelmänvalvojat voivat kohdata seuraavan ongelman:

Yhteyden muodostaminen rdp-protokollan kautta suosikkipalvelimeesi Windows XP SP3 -asemalta epäonnistuu ja ilmenee seuraava virhe:

Etätyöpöytä on poistettu käytöstä.

Etätietokone vaatii verkkotason todennuksen, mikä Tämä tietokoneälä tue. Ota yhteyttä järjestelmänvalvojaan tai tekniseen tukeen saadaksesi apua.

Ja vaikka lupaava Win7 uhkaa lopulta korvata isoäitinsä WinXP:n, ongelma pysyy ajan tasalla vielä vuoden tai kaksi.

Tässä on mitä sinun on tehtävä ottaaksesi verkkotason todennuksen käyttöön:

Avaa rekisterieditori.

Haara HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Avaa parametri Turvapaketit ja etsi sanaa sieltä tspkg. Jos sitä ei ole, lisää se olemassa oleviin parametreihin.

Haara HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Avaa parametri SecurityProviders ja lisätä olemassa oleviin palveluntarjoajiin credssp.dll, jos sellaista ei ole.

Sulje rekisterieditori.

Nyt sinun on käynnistettävä uudelleen. Jos näin ei tehdä, tietokone pyytää meiltä käyttäjätunnusta ja salasanaa, kun yritämme muodostaa yhteyden, mutta etätyöpöydän sijaan se vastaa seuraavasti:

Etätyöpöytäyhteys

Todennusvirhe (koodi 0x507)

Siinä kaikki.

Kun olen asentanut päivityksen KB4103718 Windows 7 -tietokoneelleni, en voi muodostaa etäyhteyttä Windows Server 2012 R2:ta käyttävään palvelimeen RDP:n kautta. Kun olen määrittänyt RDP-palvelimen osoitteen mstsc.exe-asiakasikkunassa ja napsauttanut "Yhdistä", tulee virheilmoitus:

Etätyöpöytäyhteys

Tapahtui todennusvirhe.

Määritettyä toimintoa ei tueta.
Etätietokone: tietokoneen nimi

Kun poistin päivityksen KB4103718 asennuksen ja käynnistin tietokoneen uudelleen, RDP-yhteys alkoi toimia hyvin. Jos ymmärrän oikein, tämä on vain väliaikainen ratkaisu, ensi kuussa saapuu uusi kumulatiivinen päivityspaketti ja virhe palautuu? Voitko suositella mitään?

Vastaus

Olet täysin oikeassa siinä, että ongelman ratkaiseminen on turhaa, koska altistat siten tietokoneesi useiden tämän päivityksen korjaustiedostojen kattamien haavoittuvuuksien hyödyntämisriskille.

Et ole yksin ongelmasi kanssa. Tämä virhe voi esiintyä missä tahansa käyttöjärjestelmä Windows tai Windows Server (ei vain Windows 7). Englannin käyttäjille Windows-versiot 10, kun yrität muodostaa yhteyden RDP/RDS-palvelimeen, samanlainen virhe näyttää tältä:

Tapahtui todennusvirhe.

Pyydettyä toimintoa ei tueta.

Etätietokone: tietokoneen nimi

RDP-virhe "Todennusvirhe on tapahtunut" voi myös ilmestyä, kun yritetään käynnistää RemoteApp-sovelluksia.

Miksi tämä tapahtuu? Tosiasia on, että tietokoneessasi on uusimmat tietoturvapäivitykset (julkaistu toukokuun 2018 jälkeen), jotka korjaavat vakavan haavoittuvuuden RDP-palvelimien todentamiseen käytetyssä CredSSP (Credential Security Support Provider) -protokollassa (CVE-2018-0886) (suosittelen lukemaan artikkeli). Näitä päivityksiä ei kuitenkaan asenneta sillä RDP/RDS-palvelimen puolella, johon muodostat yhteyden tietokoneeltasi, ja NLA (Network Level Authentication) -protokolla on otettu käyttöön RDP-käyttöä varten. NLA-protokolla käyttää CredSSP-mekanismeja käyttäjien esitodentamiseen TLS/SSL:n tai Kerberosin kautta. Tietokoneesi estää asentamasi päivityksen uusien suojausasetusten vuoksi yhteyden etätietokoneeseen, joka käyttää CredSSP:n haavoittuvaa versiota.

Mitä voit tehdä korjataksesi tämän virheen ja muodostaaksesi yhteyden RDP-palvelimeesi?

1. Suurin osa oikea tapa ratkaista ongelma - asennus Viimeisimmät päivitykset Windowsin suojaus tietokoneessa/palvelimessa, johon muodostat yhteyden RDP:n kautta;
2. Väliaikainen menetelmä 1 . Voit poistaa verkkotason todennuksen (NLA) käytöstä RDP-palvelinpuolella (kuvattu alla);
3. Väliaikainen menetelmä 2 . Asiakaspuolella voit sallia yhteydet RDP-palvelimiin suojaamattomalla CredSSP-versiolla, kuten yllä linkitetyssä artikkelissa on kuvattu. Tätä varten sinun on vaihdettava rekisteriavain SalliSalausOracle(REG ADD -komento
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) tai muuta asetuksia paikallispolitiikkaa Salaus Oracle Remediation/ Korjaa salausoraakkelin haavoittuvuus), asettamalla sen arvon = Vulnerable / Jätä haavoittuvuus).

   Tämä on ainoa tapa päästä etäpalvelimeen RDP:n kautta, jos et pysty kirjautumaan palvelimelle paikallisesti (ILO-konsolin kautta, virtuaalikone, pilvikäyttöliittymä jne.). Tässä tilassa voit muodostaa yhteyden etäpalvelimeen ja asentaa tietoturvapäivitykset, jolloin siirryt suositeltuun tapaan 1. Kun olet päivittänyt palvelimen, älä unohda poistaa käytäntöä käytöstä tai palauttaa avainarvo AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

RDP:n NLA:n poistaminen käytöstä Windowsissa

Jos NLA on käytössä sen RDP-palvelimen puolella, johon muodostat yhteyden, tämä tarkoittaa, että CredSPP:tä käytetään RDP-käyttäjän esitodentamiseen. Voit poistaa verkkotason todennuksen käytöstä välilehden järjestelmäominaisuuksista Etäyhteys (Etä) , poista valinta "Salli yhteys vain tietokoneista, joissa on etätyöpöytä ja verkkotason todennus (suositus)" -valintaruudusta (Windows 10 / Windows 8).

Windows 7:ssä tätä vaihtoehtoa kutsutaan eri tavalla. Välilehdellä Etäyhteys sinun on valittava vaihtoehto " Salli yhteydet tietokoneista, joissa on mitä tahansa Remote Desktop -versiota (vaarallinen)/ Salli yhteydet tietokoneista, joissa on mitä tahansa Remote Desktopin versio (vähemmän turvallinen)".

Voit myös poistaa NLA (Network Level Authentication) käytöstä paikallisen editorin avulla ryhmäpolitiikka - gpedit.msc(Windows 10 Homessa gpedit.msc-käytäntöeditori voidaan käynnistää) tai käyttämällä toimialueen käytännön hallintakonsolia - GPMC.msc. Voit tehdä tämän siirtymällä osioon Tietokoneen asetukset -> Hallintamallit -> KomponentitWindows-> Etätyöpöytäpalvelut - Etätyöpöytäistunnon isäntä -> Suojaus(Tietokoneen asetukset -> Hallintamallit -> Windows-komponentit -> Etätyöpöytäpalvelut - Etätyöpöytäistunnon isäntä -> Suojaus), sammuttaa käytäntö (Vaadi käyttäjän todennus etäyhteyksille käyttämällä verkkotason todennusta).

Tarvitaan myös politiikassa" Vaadi erityistä suojaustasoa RDP-etäyhteyksille» (Etäyhteyksille (RDP) vaaditaan tietyn suojakerroksen käyttöä) valitse suojauskerros - RDP.

Jotta voit ottaa käyttöön uusia RDP-asetuksia, sinun on päivitettävä käytännöt (gpupdate /force) tai käynnistettävä tietokone uudelleen. Tämän jälkeen sinun pitäisi muodostaa yhteys etätyöpöytäpalvelimeen.