La funzione specificata non è supportata. Si è verificato un errore di autenticazione

La sicurezza e la velocità dei server sono sempre state un problema e ogni anno la loro rilevanza non fa che crescere. Per questo motivo, Microsoft è passata dal modello di autenticazione lato server originale all'autenticazione a livello di rete.

Qual è la differenza tra questi modelli?
In precedenza, quando si collegava a Servizi Terminal, l'utente creava una sessione con il server attraverso la quale quest'ultimo caricava una schermata per inserire le credenziali dell'utente. Questo metodo consuma le risorse del server anche prima che l'utente ne abbia verificato la legittimità, consentendo a un utente illegale di sopraffare completamente le risorse del server con più richieste di accesso. Un server che non è in grado di elaborare queste richieste nega le richieste agli utenti legittimi (attacco DoS).

L'autenticazione a livello di rete (NLA) impone all'utente di immettere le credenziali in una finestra di dialogo sul lato client. Per impostazione predefinita, se non è presente alcun certificato di autenticazione a livello di rete sul lato client, il server non consentirà la connessione e ciò non avverrà. NLA richiede al computer client di fornire le proprie credenziali di autenticazione prima di creare una sessione con il server. Questo processo è anche chiamato autenticazione front-end.

NLA è stato introdotto in RDP 6.0 ed era inizialmente supportato Windows Vista. Dalla versione RDP 6.1 - supportato dai server che eseguono il sistema operativo Windows Server 2008 e versioni successive e viene fornito il supporto client per i sistemi operativi Windows XP SP3 (è necessario abilitare il nuovo provider di sicurezza nel registro) e versioni successive. Il metodo utilizza il provider di sicurezza CredSSP (Credential Security Support Provider). Quando si utilizza un client desktop remoto per un altro sistema operativo, è necessario informarsi sul supporto NLA.

• Non richiede risorse server significative.
• Livello aggiuntivo di protezione contro gli attacchi DoS.
• Accelera il processo di mediazione tra client e server.
• Consente di estendere la tecnologia NT "single login" per funzionare con un server terminal.

• Altri fornitori di sicurezza non sono supportati.
• Non supportato dalle versioni client inferiori a Windows XP SP3 e dalle versioni server inferiori a Windows Server 2008.
• Necessario impostazione manuale registro su ciascuno Cliente Windows XP SP3.
• Come ogni sistema di “accesso singolo”, è vulnerabile al furto delle “chiavi dell’intera fortezza”.
• Non è possibile utilizzare la funzione "Richiedi modifica password al prossimo accesso".

Apri l'editor del registro.

Ramo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Apri il parametro Pacchetti di sicurezza e cerca la parola tspkg lì. Se non è presente, aggiungilo ai parametri esistenti.

Ramo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Apri il parametro SecurityProviders e aggiungi credssp.dll ai provider esistenti se manca.

Chiudi l'editor del registro.

Ora devi riavviare. Se ciò non viene fatto, il computer ci chiederà nome utente e password, ma invece del desktop remoto risponderà con quanto segue:

È tutto.

Gli amministratori del server Windows 2008 potrebbero riscontrare il seguente problema:

La connessione tramite protocollo rdp al tuo server preferito da una stazione Windows XP SP3 fallisce con il seguente errore:

Il desktop remoto è disabilitato.

Computer remoto richiede l'autenticazione a livello di rete, che questo computer non supportare. Contatta l'amministratore di sistema o il supporto tecnico per ricevere assistenza.

E anche se il promettente Win7 minaccia di sostituire alla fine la nonna WinXP, il problema rimarrà rilevante per un altro anno o due.

Ecco cosa devi fare per abilitare l'autenticazione del livello di rete:

Apri l'editor del registro.

Ramo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Aprire il parametro Pacchetti di sicurezza e cerca la parola lì cucchiaino. Se non è presente, aggiungilo ai parametri esistenti.

Ramo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Aprire il parametro SecurityProvider e aggiungere ai fornitori esistenti credssp.dll, se non ce n'è.

Chiudi l'editor del registro.

Ora devi riavviare. Se ciò non viene fatto, quando proviamo a connetterci, il computer ci chiederà nome utente e password, ma invece del desktop remoto risponderà con quanto segue:

Connessione remota al desktop

Errore di autenticazione (codice 0x507)

È tutto.

Dopo aver installato l'aggiornamento KB4103718 sul mio computer Windows 7, non riesco a connettermi in remoto a un server che esegue Windows Server 2012 R2 tramite RDP. Dopo aver specificato l'indirizzo del server RDP nella finestra del client mstsc.exe e aver fatto clic su "Connetti", viene visualizzato l'errore:

Connessione remota al desktop

Si è verificato un errore di autenticazione.

La funzione specificata non è supportata.
Computer remoto: nomecomputer

Dopo aver disinstallato l'aggiornamento KB4103718 e riavviato il computer, la connessione RDP ha iniziato a funzionare correttamente. Se ho capito bene, si tratta solo di una soluzione temporanea, il mese prossimo arriverà un nuovo pacchetto di aggiornamento cumulativo e verrà restituito l'errore? Puoi consigliare qualcosa?

Risposta

Hai assolutamente ragione nel dire che è inutile risolvere il problema, perché in questo modo esponi il tuo computer al rischio di sfruttamento di varie vulnerabilità coperte dalle patch di questo aggiornamento.

Non sei solo nel tuo problema. Questo errore può apparire in qualsiasi sistema operativo Windows o Windows Server (non solo Windows 7). Per gli utenti inglesi Versioni di Windows 10, quando si tenta di connettersi a un server RDP/RDS, un errore simile è simile al seguente:

Si è verificato un errore di autenticazione.

La funzione richiesta non è supportata.

Computer remoto: nomecomputer

L'errore RDP "Si è verificato un errore di autenticazione" potrebbe essere visualizzato anche quando si tenta di avviare le applicazioni RemoteApp.

Perché sta succedendo? Il fatto è che il tuo computer dispone degli ultimi aggiornamenti di sicurezza (rilasciati dopo maggio 2018), che correggono una grave vulnerabilità nel protocollo CredSSP (Credential Security Support Provider) utilizzato per l'autenticazione sui server RDP (CVE-2018-0886) (consiglio di leggere l'articolo). Tuttavia, sul lato del server RDP/RDS a cui ti connetti dal tuo computer, questi aggiornamenti non sono installati e il protocollo NLA (Network Level Authentication) è abilitato per l'accesso RDP. Il protocollo NLA utilizza i meccanismi CredSSP per pre-autenticare gli utenti tramite TLS/SSL o Kerberos. Il tuo computer, a causa delle nuove impostazioni di sicurezza introdotte dall'aggiornamento installato, blocca semplicemente la connessione a un computer remoto che utilizza una versione vulnerabile di CredSSP.

Cosa puoi fare per correggere questo errore e connetterti al tuo server RDP?

1. Maggior parte corretto modo per risolvere il problema: installazione ultimi aggiornamenti Sicurezza di Windows sul computer/server a cui ti stai connettendo tramite RDP;
2. Metodo temporaneo 1 . È possibile disabilitare l'autenticazione a livello di rete (NLA) sul lato server RDP (descritto di seguito);
3. Metodo temporaneo 2 . Puoi, sul lato client, consentire connessioni ai server RDP con una versione non sicura di CredSSP, come descritto nell'articolo collegato sopra. Per fare ciò è necessario modificare la chiave di registro ConsentiCrittografiaOracle(comando REG ADD
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v EnableEncryptionOracle /t REG_DWORD /d 2) o modificare le impostazioni politica locale Crittografia Oracle Remediation/ Correggi la vulnerabilità dell'oracolo di crittografia), impostandone il valore = Vulnerabile / Lascia vulnerabilità).

   Questo è l'unico modo per accedere a un server remoto tramite RDP se non si ha la possibilità di accedere al server localmente (tramite la console ILO, macchina virtuale, interfaccia cloud, ecc.). In questa modalità potrai connetterti a un server remoto e installare gli aggiornamenti di sicurezza, passando così al metodo consigliato 1. Dopo aver aggiornato il server, non dimenticare di disabilitare la policy o restituire il valore della chiave EnableEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v EnableEncryptionOracle /t REG_DWORD /d 0

Disabilitare NLA per RDP su Windows

Se NLA è abilitato sul lato del server RDP a cui ti stai connettendo, significa che CredSPP viene utilizzato per pre-autenticare l'utente RDP. È possibile disabilitare l'autenticazione a livello di rete nelle proprietà del sistema nella scheda Accesso remoto (A distanza) , deselezionando la casella di controllo "Consenti connessione solo da computer che eseguono Desktop remoto con autenticazione a livello di rete (consigliato)" (Windows 10/Windows 8).

In Windows 7 questa opzione viene chiamata diversamente. Sulla scheda Accesso remotoè necessario selezionare l'opzione " Consenti connessioni da computer che eseguono qualsiasi versione di Desktop remoto (pericoloso)/ Consenti connessioni da computer che eseguono qualsiasi versione di Desktop remoto (meno sicuro)".

È inoltre possibile disabilitare l'autenticazione a livello di rete (NLA) utilizzando l'editor locale politica di gruppo - gpedit.msc(in Windows 10 Home è possibile avviare l'editor dei criteri gpedit.msc) o utilizzando la console di gestione dei criteri di dominio - GPMC.msc. Per fare ciò, vai alla sezione Configurazione computer –> Modelli amministrativi –> Componentifinestre-> Servizi Desktop remoto – Host sessione Desktop remoto -> Sicurezza(Configurazione computer –> Modelli amministrativi –> Componenti di Windows –> Servizi Desktop remoto – Host sessione Desktop remoto –> Sicurezza), spegnere criterio (richiedi l'autenticazione dell'utente per le connessioni remote utilizzando l'autenticazione a livello di rete).

Serve anche in politica” Richiedono un livello speciale di sicurezza per le connessioni RDP remote» (Richiedi l'uso di un livello di sicurezza specifico per le connessioni remote (RDP)) seleziona Livello di sicurezza - PSR.

Per applicare le nuove impostazioni RDP, è necessario aggiornare i criteri (gpupdate /force) o riavviare il computer. Successivamente, dovresti connetterti correttamente al server desktop remoto.