La fonction spécifiée n'est pas prise en charge. Une erreur d'authentification s'est produite

La sécurité et la rapidité des serveurs ont toujours été un problème et leur pertinence ne fait que croître chaque année. Pour cette raison, Microsoft est passé du modèle d'authentification côté serveur d'origine à l'authentification au niveau du réseau.

Quelle est la différence entre ces modèles ?
Auparavant, lors de la connexion aux services Terminal Server, l'utilisateur créait une session avec le serveur à travers laquelle ce dernier chargeait un écran pour saisir les informations d'identification de l'utilisateur. Cette méthode consomme les ressources du serveur avant même que l'utilisateur n'ait vérifié sa légitimité, permettant à un utilisateur illégal de submerger complètement les ressources du serveur avec plusieurs demandes de connexion. Un serveur incapable de traiter ces requêtes refuse les requêtes adressées aux utilisateurs légitimes (attaque DoS).

L'authentification au niveau du réseau (NLA) oblige l'utilisateur à saisir ses informations d'identification dans une boîte de dialogue côté client. Par défaut, s'il n'y a pas de certificat de vérification d'authentification au niveau du réseau côté client, le serveur n'autorisera pas la connexion et cela n'arrivera pas. NLA demande à l'ordinateur client de fournir ses informations d'authentification avant de créer une session avec le serveur. Ce processus est également appelé authentification frontale.

NLA a été réintroduit dans RDP 6.0 et a été initialement pris en charge Windows Vista. A partir de la version RDP 6.1 - pris en charge par les serveurs exécutant le système d'exploitation Serveur Windows 2008 et versions ultérieures, et la prise en charge client est fournie pour les systèmes d'exploitation Windows XP SP3 (vous devez activer le nouveau fournisseur de sécurité dans le registre) et versions ultérieures. La méthode utilise le fournisseur de sécurité CredSSP (Credential Security Support Provider). Lorsque vous utilisez un client de bureau à distance pour un autre système d'exploitation, vous devez vous renseigner sur sa prise en charge NLA.

• Ne nécessite pas de ressources serveur importantes.
• Niveau supplémentaire de protection contre les attaques DoS.
• Accélère le processus de médiation entre le client et le serveur.
• Vous permet d'étendre la technologie NT "single login" pour fonctionner avec un serveur de terminaux.

• Les autres fournisseurs de sécurité ne sont pas pris en charge.
• Non pris en charge par les versions client inférieures à Windows XP SP3 et les versions serveur inférieures à Windows Server 2008.
• Requis réglage manuel registre sur chaque Client Windows XPSP3.
• Comme tout système de « connexion unique », il est vulnérable au vol des « clés de toute la forteresse ».
• Il n'existe aucune option permettant d'utiliser la fonctionnalité « Exiger un changement de mot de passe lors de la prochaine connexion ».

Ouvrez l'éditeur de registre.

Branche HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Ouvrez le paramètre Security Packages et recherchez-y le mot tspkg. S'il n'y est pas, ajoutez-le aux paramètres existants.

Branche HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Ouvrez le paramètre SecurityProviders et ajoutez credssp.dll aux fournisseurs existants s'il est manquant.

Fermez l'éditeur de registre.

Vous devez maintenant redémarrer. Si cela n'est pas fait, l'ordinateur nous demandera un nom d'utilisateur et un mot de passe, mais au lieu du bureau distant, il répondra par ce qui suit :

C'est tout.

Les administrateurs de serveur Windows 2008 peuvent rencontrer le problème suivant :

La connexion via le protocole rdp à votre serveur préféré depuis une station Windows XP SP3 échoue avec l'erreur suivante :

Le Bureau à distance est désactivé.

Ordinateur distant nécessite une authentification au niveau du réseau, ce qui cet ordinateur ne supporte pas. Contactez votre administrateur système ou le support technique pour obtenir de l'aide.

Et bien que le prometteur Win7 menace de remplacer à terme sa grand-mère WinXP, le problème restera d'actualité pendant encore un an ou deux.

Voici ce que vous devez faire pour activer l'authentification de la couche réseau :

Ouvrez l'éditeur de registre.

Bifurquer HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Ouvrir le paramètre Forfaits de sécurité et cherche le mot là cuillère à café. S'il n'y est pas, ajoutez-le aux paramètres existants.

Bifurquer HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Ouvrir le paramètre Fournisseurs de sécurité et ajouter aux fournisseurs existants credssp.dll, s'il n'y en a pas.

Fermez l'éditeur de registre.

Vous devez maintenant redémarrer. Si cela n'est pas fait, lorsque nous essaierons de nous connecter, l'ordinateur nous demandera un nom d'utilisateur et un mot de passe, mais au lieu du bureau distant, il répondra comme suit :

Connexion Bureau à distance

Erreur d'authentification (code 0x507)

C'est tout.

Après avoir installé la mise à jour KB4103718 sur mon ordinateur Windows 7, je ne parviens pas à me connecter à distance à un serveur exécutant Windows Server 2012 R2 via RDP. Après avoir spécifié l'adresse du serveur RDP dans la fenêtre du client mstsc.exe et cliqué sur « Connecter », l'erreur apparaît :

Connexion Bureau à distance

Une erreur d'authentification s'est produite.

La fonction spécifiée n'est pas prise en charge.
Ordinateur distant : nom de l'ordinateur

Après avoir désinstallé la mise à jour KB4103718 et redémarré l'ordinateur, la connexion RDP a commencé à fonctionner correctement. Si je comprends bien, il ne s'agit que d'une solution de contournement temporaire, le mois prochain un nouveau package de mise à jour cumulative arrivera et l'erreur reviendra ? Pouvez-vous recommander quelque chose ?

Répondre

Vous avez tout à fait raison : il est inutile de résoudre le problème, car vous exposez ainsi votre ordinateur au risque d'exploitation de diverses vulnérabilités couvertes par les correctifs de cette mise à jour.

Vous n'êtes pas seul dans votre problème. Cette erreur peut apparaître dans n'importe quel système opérateur Windows ou Windows Server (pas seulement Windows 7). Pour les utilisateurs anglais Versions Windows 10, lorsque vous essayez de vous connecter à un serveur RDP/RDS, une erreur similaire ressemble à ceci :

Une erreur d'authentification s'est produite.

La fonction demandée n'est pas supportée.

Ordinateur distant : nom de l'ordinateur

L'erreur RDP « Une erreur d'authentification s'est produite » peut également apparaître lors de la tentative de lancement d'applications RemoteApp.

Pourquoi cela arrive-t-il? Le fait est que votre ordinateur dispose des dernières mises à jour de sécurité (publiées après mai 2018), qui corrigent une grave vulnérabilité du protocole CredSSP (Credential Security Support Provider) utilisé pour l'authentification sur les serveurs RDP (CVE-2018-0886) (je recommande de lire l'article). Cependant, du côté du serveur RDP/RDS auquel vous vous connectez depuis votre ordinateur, ces mises à jour ne sont pas installées, et le protocole NLA (Network Level Authentication) est activé pour l'accès RDP. Le protocole NLA utilise les mécanismes CredSSP pour pré-authentifier les utilisateurs via TLS/SSL ou Kerberos. Votre ordinateur, en raison des nouveaux paramètres de sécurité introduits par la mise à jour que vous avez installée, bloque simplement la connexion à un ordinateur distant qui utilise une version vulnérable de CredSSP.

Que pouvez-vous faire pour corriger cette erreur et vous connecter à votre serveur RDP ?

1. La plupart correct moyen de résoudre le problème - installation dernières mises à jour Sécurité Windows sur l'ordinateur/serveur auquel vous vous connectez via RDP ;
2. Méthode temporaire 1 . Vous pouvez désactiver l'authentification au niveau du réseau (NLA) côté serveur RDP (décrit ci-dessous) ;
3. Méthode temporaire 2 . Vous pouvez, côté client, autoriser les connexions aux serveurs RDP avec une version non sécurisée de CredSSP, comme décrit dans l'article lié ci-dessus. Pour ce faire, vous devez modifier la clé de registre AllowEncryptionOracle(commande REG ADD
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) ou modifier les paramètres politique locale Correction Oracle de chiffrement/ Corriger la vulnérabilité Oracle de chiffrement), en définissant sa valeur = Vulnérable / Quitter la vulnérabilité).

   C'est le seul moyen d'accéder à un serveur distant via RDP si vous n'avez pas la possibilité de vous connecter localement au serveur (via la console ILO, machine virtuelle, interface cloud, etc.). Dans ce mode, vous pourrez vous connecter à un serveur distant et installer les mises à jour de sécurité, passant ainsi à la méthode recommandée 1. Après la mise à jour du serveur, n'oubliez pas de désactiver la stratégie ou de renvoyer la valeur de la clé AllowEncryptionOracle = 0 : REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Désactivation de NLA pour RDP sous Windows

Si NLA est activé du côté du serveur RDP auquel vous vous connectez, cela signifie que CredSPP est utilisé pour pré-authentifier l'utilisateur RDP. Vous pouvez désactiver l'authentification au niveau du réseau dans les propriétés du système sur l'onglet Accès à distance (Télécommande) , en décochant la case « Autoriser la connexion uniquement à partir d'ordinateurs exécutant le Bureau à distance avec authentification au niveau réseau (recommandé) » (Windows 10 / Windows 8).

Sous Windows 7, cette option est appelée différemment. Sur l'onglet Accès à distance vous devez sélectionner l'option " Autoriser les connexions à partir d'ordinateurs exécutant n'importe quelle version de Remote Desktop (dangereux)/ Autoriser les connexions à partir d'ordinateurs exécutant n'importe quelle version de Remote Desktop (moins sécurisé)".

Vous pouvez également désactiver l'authentification au niveau du réseau (NLA) à l'aide de l'éditeur local. stratégie de groupe - gpedit.msc(sous Windows 10 Home, l'éditeur de stratégie gpedit.msc peut être lancé) ou en utilisant la console de gestion des stratégies de domaine - GPMC.msc. Pour cela, rendez-vous dans la rubrique Configuration ordinateur -> Modèles d'administration -> Composantsles fenêtres-> Services Bureau à distance – Hôte de session Bureau à distance -> Sécurité(Configuration ordinateur -> Modèles d'administration -> Composants Windows -> Services Bureau à distance – Hôte de session Bureau à distance -> Sécurité), éteindre(Exiger l'authentification des utilisateurs pour les connexions à distance à l'aide de l'authentification au niveau du réseau).

Aussi nécessaire en politique " Exiger un niveau de sécurité spécial pour les connexions RDP distantes» (Nécessite l'utilisation d'une couche de sécurité spécifique pour les connexions distantes (RDP)) sélectionnez Couche de sécurité - RDP.

Pour appliquer les nouveaux paramètres RDP, vous devez mettre à jour les stratégies (gpupdate /force) ou redémarrer l'ordinateur. Après cela, vous devriez vous connecter avec succès au serveur de bureau distant.