Zadaná funkcia nie je podporovaná. Vyskytla sa chyba overenia

Bezpečnosť a rýchlosť serverov boli vždy problémom a ich relevantnosť každým rokom len rastie. Z tohto dôvodu spoločnosť Microsoft prešla z pôvodného modelu autentifikácie na strane servera na autentifikáciu na úrovni siete.

Aký je rozdiel medzi týmito modelmi?
Predtým pri pripájaní k terminálovým službám používateľ vytvoril reláciu so serverom, cez ktorú server načítal obrazovku na zadanie poverení pre používateľa. Táto metóda spotrebováva zdroje servera ešte predtým, ako používateľ overí ich legitimitu, čo umožňuje nelegálnemu používateľovi úplne zahltiť zdroje servera viacerými žiadosťami o prihlásenie. Server, ktorý nie je schopný spracovať tieto požiadavky, zamietne požiadavky legitímnym používateľom (útok DoS).

Autentifikácia na úrovni siete (NLA) núti používateľa zadávať poverenia do dialógového okna na strane klienta. V predvolenom nastavení, ak na strane klienta neexistuje žiadny certifikát overenia overenia na úrovni siete, server spojenie nepovolí a nestane sa tak. NLA požaduje, aby klientsky počítač poskytol svoje overovacie poverenia pred vytvorením relácie so serverom. Tento proces sa tiež nazýva front-end autentifikácia.

NLA bol predstavený späť v RDP 6.0 a bol spočiatku podporovaný Windows Vista. Od verzie RDP 6.1 - podporované servermi s operačným systémom Windows Server 2008 a vyššie a podpora klienta je poskytovaná pre operačné systémy Windows XP SP3 (musíte povoliť nového poskytovateľa zabezpečenia v registri) a vyššie. Metóda využíva poskytovateľa zabezpečenia CredSSP (Credential Security Support Provider). Ak používate klienta vzdialenej plochy pre iný operačný systém, musíte sa informovať o jeho podpore NLA.

• Nevyžaduje značné zdroje servera.
• Ďalšia úroveň ochrany pred útokmi DoS.
• Urýchľuje proces sprostredkovania medzi klientom a serverom.
• Umožňuje rozšíriť technológiu NT "jednotného prihlásenia" na prácu s terminálovým serverom.

• Iní poskytovatelia zabezpečenia nie sú podporovaní.
• Nie je podporované verziami klientov nižšími ako Windows XP SP3 a serverovými verziami nižšími ako Windows Server 2008.
• Požadovaný manuálne nastavenie registra na každom Windows klient XP SP3.
• Ako každá schéma „jednotného prihlásenia“ je zraniteľná voči krádeži „kľúčov od celej pevnosti“.
• Neexistuje žiadna možnosť použiť funkciu „Vyžadovať zmenu hesla pri ďalšom prihlásení“.

Otvorte editor databázy Registry.

Vetva HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Otvorte parameter Security Packages a vyhľadajte tam slovo tspkg. Ak tam nie je, pridajte ho k existujúcim parametrom.

Vetva HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Otvorte parameter SecurityProviders a pridajte súbor credssp.dll k existujúcim poskytovateľom, ak chýba.

Zatvorte editor databázy Registry.

Teraz musíte reštartovať. Ak tak neurobíte, počítač nás požiada o používateľské meno a heslo, ale namiesto vzdialenej plochy odpovie nasledujúcim spôsobom:

To je všetko.

Správcovia servera Windows 2008 sa môžu stretnúť s nasledujúcim problémom:

Pripojenie cez protokol rdp k vášmu obľúbenému serveru zo stanice Windows XP SP3 zlyhá s nasledujúcou chybou:

Vzdialená plocha je zakázaná.

Vzdialený počítač vyžaduje overenie na úrovni siete, čo tento počítač nepodporujú. Požiadajte o pomoc správcu systému alebo technickú podporu.

A hoci sľubný Win7 hrozí, že časom nahradí svoju babičku WinXP, problém bude aktuálny ešte rok či dva.

Tu je to, čo musíte urobiť, aby ste povolili autentifikáciu sieťovej vrstvy:

Otvorte editor databázy Registry.

Pobočka HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Otvorte parameter Bezpečnostné balíčky a tam hľadaj slovo tspkg. Ak tam nie je, pridajte ho k existujúcim parametrom.

Pobočka HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Otvorte parameter Poskytovatelia zabezpečenia a pridať k existujúcim poskytovateľom credssp.dll, ak žiadny neexistuje.

Zatvorte editor databázy Registry.

Teraz musíte reštartovať. Ak sa tak nestane, pri pokuse o pripojenie nás počítač požiada o používateľské meno a heslo, ale namiesto vzdialenej plochy odpovie nasledujúcim spôsobom:

Pripojenie vzdialenej pracovnej plochy

Chyba overenia (kód 0x507)

To je všetko.

Po nainštalovaní aktualizácie KB4103718 na môj počítač so systémom Windows 7 sa nemôžem vzdialene pripojiť k serveru so systémom Windows Server 2012 R2 prostredníctvom protokolu RDP. Po zadaní adresy servera RDP v okne klienta mstsc.exe a kliknutí na tlačidlo „Pripojiť“ sa zobrazí chyba:

Pripojenie vzdialenej pracovnej plochy

Vyskytla sa chyba overenia.

Zadaná funkcia nie je podporovaná.
Vzdialený počítač: názov počítača

Po odinštalovaní aktualizácie KB4103718 a reštartovaní počítača začalo pripojenie RDP fungovať dobre. Ak tomu dobre rozumiem, je to len dočasné riešenie, budúci mesiac príde nový balík kumulatívnej aktualizácie a chyba sa vráti? Viete niečo odporučiť?

Odpoveď

Máte úplnú pravdu, že je zbytočné problém riešiť, pretože tým vystavujete svoj počítač riziku zneužitia rôznych zraniteľností, ktoré sú kryté záplatami v tejto aktualizácii.

Vo svojom probléme nie ste sami. Táto chyba sa môže objaviť v ktoromkoľvek operačný systém Windows alebo Windows Server (nielen Windows 7). Pre používateľov angličtiny Verzie systému Windows 10, pri pokuse o pripojenie k serveru RDP/RDS podobná chyba vyzerá takto:

Vyskytla sa chyba overenia.

Požadovaná funkcia nie je podporovaná.

Vzdialený počítač: názov počítača

Chyba RDP „Vyskytla sa chyba overenia“ sa môže objaviť aj pri pokuse o spustenie aplikácií RemoteApp.

Prečo sa to deje? Faktom je, že váš počítač má najnovšie bezpečnostné aktualizácie (vydané po máji 2018), ktoré opravujú vážnu zraniteľnosť v protokole CredSSP (Credential Security Support Provider) používanom na autentifikáciu na serveroch RDP (CVE-2018-0886) (odporúčam prečítať článok). Na strane servera RDP / RDS, ku ktorému sa pripájate z počítača, však tieto aktualizácie nie sú nainštalované a pre prístup RDP je povolený protokol NLA (Network Level Authentication). Protokol NLA využíva mechanizmy CredSSP na predbežnú autentifikáciu používateľov prostredníctvom protokolu TLS/SSL alebo Kerberos. Váš počítač kvôli novým nastaveniam zabezpečenia zavedeným aktualizáciou, ktorú ste nainštalovali, jednoducho blokuje pripojenie k vzdialenému počítaču, ktorý používa zraniteľnú verziu CredSSP.

Čo môžete urobiť na odstránenie tejto chyby a pripojenie k serveru RDP?

1. Väčšina správne spôsob riešenia problému - inštalácia najnovšie aktualizácie Zabezpečenie systému Windows na počítači/serveri, ku ktorému sa pripájate cez RDP;
2. Dočasný spôsob 1 . Na strane servera RDP môžete vypnúť overenie na úrovni siete (NLA) (popísané nižšie);
3. Dočasný spôsob 2 . Na strane klienta môžete povoliť pripojenia k serverom RDP s nezabezpečenou verziou CredSSP, ako je popísané v článku prepojenom vyššie. Ak to chcete urobiť, musíte zmeniť kľúč databázy Registry AllowEncryptionOracle(príkaz REG ADD
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) alebo zmeňte nastavenia miestnej politike Šifrovanie Oracle Remediation/ Opravte zraniteľnosť šifrovania oracle), nastavenie jej hodnoty = Zraniteľné / Ponechajte zraniteľnosť).

   Toto je jediný spôsob prístupu k vzdialenému serveru cez RDP, ak nemáte možnosť prihlásiť sa na server lokálne (cez konzolu ILO, virtuálny prístroj, cloudové rozhranie atď.). V tomto režime sa budete môcť pripojiť k vzdialenému serveru a nainštalovať aktualizácie zabezpečenia, čím prejdete na odporúčaný spôsob 1. Po aktualizácii servera nezabudnite zakázať politiku alebo vrátiť hodnotu kľúča AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Zakázanie NLA pre RDP v systéme Windows

Ak je NLA povolená na strane servera RDP, ku ktorému sa pripájate, znamená to, že CredSPP sa používa na predbežnú autentifikáciu používateľa RDP. Overenie na úrovni siete môžete zakázať vo vlastnostiach systému na karte Vzdialený prístup (Diaľkové ovládanie) zrušením začiarknutia políčka „Povoliť pripojenie iba z počítačov so vzdialenou pracovnou plochou s overením na úrovni siete (odporúča sa)“ (Windows 10 / Windows 8).

V systéme Windows 7 sa táto možnosť nazýva inak. Na karte Vzdialený prístup musíte vybrať možnosť " Povoliť pripojenia z počítačov s akoukoľvek verziou vzdialenej pracovnej plochy (nebezpečné)/ Povoliť pripojenia z počítačov s akoukoľvek verziou vzdialenej pracovnej plochy (menej bezpečné)“.

Môžete tiež zakázať autentifikáciu na úrovni siete (NLA) pomocou lokálneho editora skupinové pravidlá - gpedit.msc(vo Windowse 10 Home je možné spustiť editor zásad gpedit.msc) alebo pomocou konzoly na správu zásad domény – GPMC.msc. Ak to chcete urobiť, prejdite do sekcie Konfigurácia počítača –> Šablóny pre správu –> KomponentyWindows–> Služby vzdialenej pracovnej plochy – Hostiteľ relácie vzdialenej pracovnej plochy –> Zabezpečenie(Konfigurácia počítača –> Šablóny pre správu –> Komponenty systému Windows –> Služby vzdialenej pracovnej plochy – Hostiteľ relácie vzdialenej pracovnej plochy –> Zabezpečenie), vypnúť politika (Vyžadovať overenie používateľa pre vzdialené pripojenia pomocou overenia na úrovni siete).

Potrebné aj v politike“ Vyžadovať špeciálnu úroveň zabezpečenia pre vzdialené pripojenia RDP» (Vyžadovať použitie špecifickej bezpečnostnej vrstvy pre vzdialené pripojenia (RDP)) vyberte Security Layer - PRV.

Ak chcete použiť nové nastavenia RDP, musíte aktualizovať zásady (gpupdate /force) alebo reštartovať počítač. Potom by ste sa mali úspešne pripojiť k serveru vzdialenej pracovnej plochy.