Fungsi yang ditentukan tidak didukung. Terjadi kesalahan autentikasi

Keamanan dan kecepatan server selalu menjadi masalah, dan setiap tahun relevansinya semakin meningkat. Oleh karena itu, Microsoft telah beralih dari model autentikasi sisi server asli ke autentikasi tingkat jaringan.

Apa perbedaan antara model-model ini?
Sebelumnya, saat menyambung ke Layanan Terminal, pengguna membuat sesi dengan server yang melaluinya server akan memuat layar untuk memasukkan kredensial bagi pengguna. Metode ini menghabiskan sumber daya server bahkan sebelum pengguna memverifikasi keabsahannya, sehingga memungkinkan pengguna ilegal membanjiri sumber daya server dengan banyak permintaan login. Server yang tidak dapat memproses permintaan ini menolak permintaan kepada pengguna yang sah (serangan DoS).

Otentikasi Tingkat Jaringan (NLA) memaksa pengguna untuk memasukkan kredensial di kotak dialog sisi klien. Secara default, jika tidak ada pemeriksaan sertifikat otentikasi tingkat jaringan di sisi klien, maka server tidak akan mengizinkan koneksi dan itu tidak akan terjadi. NLA meminta komputer klien untuk memberikan kredensial otentikasi sebelum membuat sesi dengan server. Proses ini juga disebut otentikasi front-end.

NLA diperkenalkan kembali di RDP 6.0 dan didukung pada awalnya Windows Vista. Dari versi RDP 6.1 - didukung oleh server yang menjalankan sistem operasi Server Windows 2008 dan lebih tinggi, dan dukungan klien disediakan untuk sistem operasi Windows XP SP3 (Anda harus mengaktifkan penyedia keamanan baru di registri) dan lebih tinggi. Metodenya menggunakan penyedia keamanan CredSSP (Credential Security Support Provider). Saat menggunakan klien desktop jarak jauh untuk sistem operasi lain, Anda perlu mencari tahu tentang dukungan NLA-nya.

• Tidak memerlukan resource server yang signifikan.
• Tingkat tambahan untuk perlindungan terhadap serangan DoS.
• Mempercepat proses mediasi antara klien dan server.
• Memungkinkan Anda memperluas teknologi "login tunggal" NT untuk bekerja dengan server terminal.

• Penyedia keamanan lainnya tidak didukung.
• Tidak didukung oleh versi klien yang lebih rendah dari Windows XP SP3 dan versi server yang lebih rendah dari Windows Server 2008.
• Diperlukan pengaturan manual registri pada masing-masing klien Windows XPSP3.
• Seperti skema “login tunggal” lainnya, skema ini rentan terhadap pencurian “kunci seluruh benteng”.
• Tidak ada pilihan untuk menggunakan fitur "Memerlukan perubahan kata sandi pada login berikutnya".

Buka editor registri.

Cabang HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Buka parameter Paket Keamanan dan cari kata tspkg di sana. Jika tidak ada, tambahkan ke parameter yang ada.

Cabang HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Buka parameter SecurityProviders dan tambahkan credssp.dll ke penyedia yang ada jika tidak ada.

Tutup editor registri.

Sekarang Anda perlu melakukan boot ulang. Jika ini tidak dilakukan, komputer akan menanyakan nama pengguna dan kata sandi kepada kami, tetapi alih-alih desktop jarak jauh, komputer akan merespons dengan yang berikut:

Itu saja.

Administrator server Windows 2008 mungkin mengalami masalah berikut ini:

Menyambungkan melalui protokol rdp ke server favorit Anda dari stasiun Windows XP SP3 gagal dengan kesalahan berikut:

Desktop Jarak Jauh dinonaktifkan.

Komputer remot memerlukan otentikasi tingkat jaringan, yang komputer ini tidak mendukung. Hubungi administrator sistem Anda atau dukungan teknis untuk mendapatkan bantuan.

Dan meskipun Win7 yang menjanjikan pada akhirnya mengancam untuk menggantikan neneknya WinXP, masalahnya akan tetap relevan untuk satu atau dua tahun ke depan.

Inilah yang perlu Anda lakukan untuk mengaktifkan otentikasi lapisan jaringan:

Buka editor registri.

Cabang HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Buka parameternya Paket Keamanan dan mencari kata disana tspkg. Jika tidak ada, tambahkan ke parameter yang ada.

Cabang HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Buka parameternya Penyedia Keamanan dan menambah penyedia yang ada credssp.dll, jika tidak ada.

Tutup editor registri.

Sekarang Anda perlu melakukan boot ulang. Jika ini tidak dilakukan, maka ketika kita mencoba menyambung, komputer akan menanyakan nama pengguna dan kata sandi kepada kita, tetapi alih-alih desktop jarak jauh, komputer akan merespons dengan yang berikut:

Koneksi Desktop Jarak Jauh

Kesalahan otentikasi (kode 0x507)

Itu saja.

Setelah menginstal pembaruan KB4103718 di komputer Windows 7 saya, saya tidak dapat terhubung dari jarak jauh ke server yang menjalankan Windows Server 2012 R2 melalui RDP. Setelah saya menentukan alamat server RDP di jendela klien mstsc.exe dan klik "Hubungkan", muncul kesalahan:

Koneksi Desktop Jarak Jauh

Terjadi kesalahan autentikasi.

Fungsi yang ditentukan tidak didukung.
Komputer jarak jauh: nama komputer

Setelah saya menghapus pembaruan KB4103718 dan me-reboot komputer, koneksi RDP mulai berfungsi dengan baik. Jika saya mengerti dengan benar, ini hanya solusi sementara, bulan depan paket pembaruan kumulatif baru akan tiba dan kesalahan akan kembali? Bisakah Anda merekomendasikan sesuatu?

Menjawab

Anda benar sekali bahwa tidak ada gunanya menyelesaikan masalah, karena dengan demikian komputer Anda terkena risiko eksploitasi berbagai kerentanan yang dicakup oleh tambalan dalam pembaruan ini.

Anda tidak sendirian dalam masalah Anda. kesalahan ini dapat muncul di mana saja sistem operasi Windows atau Windows Server (tidak hanya Windows 7). Untuk pengguna bahasa Inggris Versi Windows 10, ketika mencoba menyambung ke server RDP/RDS, kesalahan serupa terlihat seperti ini:

Terjadi kesalahan autentikasi.

Fungsi yang diminta tidak didukung.

Komputer jarak jauh: nama komputer

Kesalahan RDP "Terjadi kesalahan otentikasi" juga dapat muncul saat mencoba meluncurkan aplikasi RemoteApp.

Mengapa ini terjadi? Faktanya adalah komputer Anda memiliki pembaruan keamanan terbaru (dirilis setelah Mei 2018), yang memperbaiki kerentanan serius dalam protokol CredSSP (Penyedia Dukungan Keamanan Kredensial) yang digunakan untuk otentikasi pada server RDP (CVE-2018-0886) (Saya sarankan membaca artikel). Namun, di sisi server RDP/RDS yang Anda sambungkan dari komputer, pembaruan ini tidak diinstal, dan protokol NLA (Network Level Authentication) diaktifkan untuk akses RDP. Protokol NLA menggunakan mekanisme CredSSP untuk melakukan pra-otentikasi pengguna melalui TLS/SSL atau Kerberos. Komputer Anda, karena pengaturan keamanan baru yang diperkenalkan oleh pembaruan yang Anda instal, cukup memblokir koneksi ke komputer jarak jauh yang menggunakan versi CredSSP yang rentan.

Apa yang dapat Anda lakukan untuk memperbaiki kesalahan ini dan menyambung ke server RDP Anda?

1. Paling benar cara untuk memecahkan masalah - instalasi pembaruan terkini Keamanan jendela di komputer/server yang Anda sambungkan melalui RDP;
2. Metode sementara 1 . Anda dapat menonaktifkan Otentikasi Tingkat Jaringan (NLA) di sisi server RDP (dijelaskan di bawah);
3. Metode sementara 2 . Anda dapat, di sisi klien, mengizinkan koneksi ke server RDP dengan versi CredSSP yang tidak aman, seperti yang dijelaskan dalam artikel yang ditautkan di atas. Untuk melakukan ini, Anda perlu mengubah kunci registri IzinkanEnkripsiOracle(Perintah REG TAMBAHKAN
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) atau ubah pengaturan politik lokal Remediasi Oracle Enkripsi/ Perbaiki kerentanan enkripsi Oracle), atur nilainya = Rentan / Tinggalkan kerentanan).

   Ini adalah satu-satunya cara untuk mengakses server jarak jauh melalui RDP jika Anda tidak memiliki kemampuan untuk masuk ke server secara lokal (melalui konsol ILO, mesin virtual, antarmuka cloud, dll.). Dalam mode ini, Anda akan dapat terhubung ke server jarak jauh dan menginstal pembaruan keamanan, sehingga beralih ke metode 1 yang disarankan. Setelah memperbarui server, jangan lupa untuk menonaktifkan kebijakan atau mengembalikan nilai kunci AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Menonaktifkan NLA untuk RDP di Windows

Jika NLA diaktifkan di sisi server RDP yang Anda sambungkan, ini berarti CredSPP digunakan untuk melakukan pra-otentikasi pengguna RDP. Anda dapat menonaktifkan Otentikasi Tingkat Jaringan di properti sistem pada tab Akses jarak jauh (Terpencil) , hapus centang pada kotak centang “Izinkan koneksi hanya dari komputer yang menjalankan Desktop Jarak Jauh dengan Otentikasi Tingkat Jaringan (disarankan)” (Windows 10 / Windows 8).

Di Windows 7 opsi ini disebut berbeda. Di tab Akses jarak jauh Anda harus memilih opsi " Izinkan koneksi dari komputer yang menjalankan versi Remote Desktop apa pun (berbahaya)/ Izinkan koneksi dari komputer yang menjalankan versi Remote Desktop apa pun (kurang aman)".

Anda juga dapat menonaktifkan Otentikasi Tingkat Jaringan (NLA) menggunakan Editor Lokal kebijakan kelompok - gpedit.msc(di Windows 10 Home, editor kebijakan gpedit.msc dapat diluncurkan) atau menggunakan konsol manajemen kebijakan domain - GPMC.msc. Untuk melakukan ini, buka bagian tersebut Konfigurasi Komputer -> Template Administratif -> Komponenjendela-> Layanan Desktop Jarak Jauh – Host Sesi Desktop Jarak Jauh -> Keamanan(Konfigurasi Komputer -> Templat Administratif -> Komponen Windows -> Layanan Desktop Jarak Jauh – Host Sesi Desktop Jarak Jauh -> Keamanan), matikan kebijakan (Memerlukan otentikasi pengguna untuk koneksi jarak jauh dengan menggunakan Otentikasi Tingkat Jaringan).

Juga dibutuhkan dalam politik" Memerlukan tingkat keamanan khusus untuk koneksi RDP jarak jauh» (Memerlukan penggunaan lapisan keamanan khusus untuk koneksi jarak jauh (RDP)) pilih Lapisan Keamanan - RDP.

Untuk menerapkan pengaturan RDP baru, Anda perlu memperbarui kebijakan (gpupdate / force) atau memulai ulang komputer. Setelah ini, Anda akan berhasil terhubung ke server desktop jarak jauh.