Funksioni i specifikuar nuk mbështetet. Ndodhi një gabim vërtetimi

Siguria dhe shpejtësia e serverëve kanë qenë gjithmonë një problem, dhe çdo vit rëndësia e tyre po rritet vetëm. Për shkak të kësaj, Microsoft ka kaluar nga modeli origjinal i vërtetimit nga ana e serverit në vërtetimin e nivelit të rrjetit.

Cili është ndryshimi midis këtyre modeleve?
Më parë, kur lidhej me Shërbimet e Terminalit, përdoruesi krijonte një sesion me serverin përmes të cilit ky i fundit ngarkonte një ekran për të futur kredencialet për përdoruesin. Kjo metodë konsumon burimet e serverit edhe para se përdoruesi të ketë verifikuar legjitimitetin e tyre, duke lejuar një përdorues të paligjshëm të mbingarkojë plotësisht burimet e serverit me kërkesa të shumta hyrjeje. Një server që nuk është në gjendje të përpunojë këto kërkesa, mohon kërkesat për përdoruesit e ligjshëm (sulmi DoS).

Autentifikimi i nivelit të rrjetit (NLA) e detyron përdoruesin të fusë kredencialet në një kuti dialogu në anën e klientit. Si parazgjedhje, nëse nuk ka një certifikatë vërtetimi të nivelit të rrjetit në anën e klientit, atëherë serveri nuk do të lejojë lidhjen dhe nuk do të ndodhë. NLA kërkon që kompjuteri i klientit të sigurojë kredencialet e tij të vërtetimit përpara se të krijojë një sesion me serverin. Ky proces quhet gjithashtu vërtetimi i përparme.

UÇK-ja u prezantua përsëri në RDP 6.0 dhe u mbështet fillimisht Windows Vista. Nga versioni RDP 6.1 - i mbështetur nga serverët që ekzekutojnë sistemin operativ Windows Server 2008 e lart, dhe mbështetja e klientit ofrohet për sistemet operative Windows XP SP3 (duhet të aktivizoni ofruesin e ri të sigurisë në regjistër) dhe më lart. Metoda përdor ofruesin e sigurisë CredSSP (Credential Security Support Provider). Kur përdorni një klient desktop në distancë për një sistem tjetër operativ, duhet të mësoni për mbështetjen e tij për UÇK-në.

• Nuk kërkon burime të rëndësishme të serverit.
• Niveli shtesë për mbrojtje kundër sulmeve DoS.
• Përshpejton procesin e ndërmjetësimit midis klientit dhe serverit.
• Ju lejon të zgjeroni teknologjinë NT "hyrje të vetme" për të punuar me një server terminal.

• Ofruesit e tjerë të sigurisë nuk mbështeten.
• Nuk mbështetet nga versionet e klientit më të ulët se Windows XP SP3 dhe versionet e serverit më të ulët se Windows Server 2008.
• E detyrueshme vendosje manuale regjistri në secilën Klienti i Windows XP SP3.
• Ashtu si çdo skemë "hyrje e vetme", ajo është e prekshme ndaj vjedhjes së "çelësave të të gjithë kalasë".
• Nuk ka asnjë mundësi për të përdorur funksionin "Kërkoni ndryshimin e fjalëkalimit në hyrjen tjetër".

Hapni redaktorin e regjistrit.

Dega HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Hapni parametrin e Paketave të Sigurisë dhe kërkoni fjalën tspkg atje. Nëse nuk është aty, shtojeni te parametrat ekzistues.

Dega HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Hapni parametrin SecurityProviders dhe shtoni credssp.dll te ofruesit ekzistues nëse mungon.

Mbyllni redaktorin e regjistrit.

Tani ju duhet të rindizni. Nëse kjo nuk është bërë, kompjuteri do të na kërkojë një emër përdoruesi dhe fjalëkalim, por në vend të desktopit në distancë ai do të përgjigjet me sa vijon:

Kjo eshte e gjitha.

Administratorët e serverit të Windows 2008 mund të hasin problemin e mëposhtëm:

Lidhja nëpërmjet protokollit rdp me serverin tuaj të preferuar nga një stacion Windows XP SP3 dështon me gabimin e mëposhtëm:

Desktopi në distancë është i çaktivizuar.

Kompjuter në distancë kërkon vërtetimin e nivelit të rrjetit, i cili këtë kompjuter nuk mbështesin. Kontaktoni administratorin e sistemit ose mbështetjen teknike për ndihmë.

Dhe megjithëse Win7 premtues kërcënon të zëvendësojë përfundimisht gjyshen e tij WinXP, problemi do të mbetet i rëndësishëm edhe për një ose dy vjet.

Ja çfarë duhet të bëni për të aktivizuar vërtetimin e shtresës së rrjetit:

Hapni redaktorin e regjistrit.

Dega HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Hapni parametrin Paketat e Sigurisë dhe kërkoni fjalën atje tspkg. Nëse nuk është aty, shtojeni te parametrat ekzistues.

Dega HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Security Providers

Hapni parametrin Ofruesit e Sigurisë dhe shtojeni tek ofruesit ekzistues credssp.dll, nëse nuk ka asnjë.

Mbyllni redaktorin e regjistrit.

Tani duhet të rindizni. Nëse kjo nuk është bërë, atëherë kur të përpiqemi të lidhemi, kompjuteri do të na kërkojë një emër përdoruesi dhe fjalëkalim, por në vend të desktopit në distancë ai do të përgjigjet me sa vijon:

Lidhja me desktopin në distancë

Gabim vërtetimi (kodi 0x507)

Kjo eshte e gjitha.

Pas instalimit të përditësimit KB4103718 në kompjuterin tim Windows 7, nuk mund të lidhem nga distanca me një server që ekzekuton Windows Server 2012 R2 nëpërmjet RDP. Pasi të specifikoj adresën e serverit RDP në dritaren e klientit mstsc.exe dhe klikoni "Connect", shfaqet gabimi:

Lidhja me desktopin në distancë

Ndodhi një gabim vërtetimi.

Funksioni i specifikuar nuk mbështetet.
Kompjuteri në distancë: emri i kompjuterit

Pasi çinstalova përditësimin KB4103718 dhe rindizja kompjuterin, lidhja RDP filloi të funksiononte mirë. Nëse e kuptoj saktë, ky është vetëm një zgjidhje e përkohshme, muajin e ardhshëm do të vijë një paketë e re përditësuese kumulative dhe gabimi do të kthehet? Mund të rekomandoni ndonjë gjë?

Përgjigju

Ju keni absolutisht të drejtë që është e kotë të zgjidhet problemi, sepse në këtë mënyrë e ekspozoni kompjuterin tuaj ndaj rrezikut të shfrytëzimit të dobësive të ndryshme që mbulohen nga arna në këtë përditësim.

Ju nuk jeni vetëm në problemin tuaj. Ky gabim mund të shfaqet në ndonjë sistemi operativ Windows ose Windows Server (jo vetëm Windows 7). Për përdoruesit anglezë versionet e Windows 10, kur përpiqeni të lidheni me një server RDP/RDS, një gabim i ngjashëm duket si ky:

Ka ndodhur një gabim vërtetimi.

Funksioni i kërkuar nuk mbështetet.

Kompjuteri në distancë: emri i kompjuterit

Gabimi RDP "Ka ndodhur një gabim vërtetimi" mund të shfaqet gjithashtu kur përpiqeni të hapni aplikacionet RemoteApp.

Pse po ndodh kjo? Fakti është se kompjuteri juaj ka përditësimet më të fundit të sigurisë (të lëshuara pas majit 2018), të cilat korrigjojnë një cenueshmëri serioze në protokollin CredSSP (Credential Security Support Provider) i përdorur për vërtetimin në serverët RDP (CVE-2018-0886) (Unë rekomandoj të lexoni Artikulli). Megjithatë, në anën e serverit RDP / RDS me të cilin lidheni nga kompjuteri juaj, këto përditësime nuk janë instaluar dhe protokolli NLA (Vërtetimi i nivelit të rrjetit) është aktivizuar për qasje në RDP. Protokolli NLA përdor mekanizmat CredSSP për të vërtetuar paraprakisht përdoruesit nëpërmjet TLS/SSL ose Kerberos. Kompjuteri juaj, për shkak të cilësimeve të reja të sigurisë të prezantuara nga përditësimi që keni instaluar, thjesht bllokon lidhjen me një kompjuter të largët që përdor një version të cenueshëm të CredSSP.

Çfarë mund të bëni për të rregulluar këtë gabim dhe për t'u lidhur me serverin tuaj RDP?

1. Shumica korrekte mënyra për të zgjidhur problemin - instalimi përditësimet më të fundit Siguria e Windows në kompjuterin/serverin me të cilin po lidheni nëpërmjet RDP;
2. Metoda e përkohshme 1 . Mund të çaktivizoni vërtetimin e nivelit të rrjetit (NLA) në anën e serverit RDP (përshkruar më poshtë);
3. Metoda e përkohshme 2 . Ju mund, nga ana e klientit, të lejoni lidhje me serverët RDP me një version të pasigurt të CredSSP, siç përshkruhet në artikullin e lidhur më sipër. Për ta bërë këtë, duhet të ndryshoni çelësin e regjistrit AllowEncryptionOracle(Komanda REG ADD
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) ose ndryshoni cilësimet politika lokale Kriptimi Oracle Remediation/ Rregulloni cenueshmërinë e orakullit të enkriptimit), duke vendosur vlerën e tij = E cenueshme / Lë vulnerabilitet).

   Kjo është mënyra e vetme për të hyrë në një server në distancë nëpërmjet RDP nëse nuk keni aftësinë për t'u identifikuar në server në nivel lokal (nëpërmjet tastierës së ILO, Makine virtuale, ndërfaqja e resë kompjuterike, etj.). Në këtë modalitet, do të jeni në gjendje të lidheni me një server në distancë dhe të instaloni përditësime të sigurisë, duke kaluar kështu në metodën e rekomanduar 1. Pas përditësimit të serverit, mos harroni të çaktivizoni politikën ose të ktheni vlerën kyçe AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle/TW0DW/t

Çaktivizimi i NLA për RDP në Windows

Nëse NLA është aktivizuar në anën e serverit RDP me të cilin po lidheni, kjo do të thotë se CredSPP përdoret për të vërtetuar paraprakisht përdoruesin RDP. Mund të çaktivizoni vërtetimin e nivelit të rrjetit në vetitë e sistemit në skedë Qasje në distancë (Telekomanda) , duke hequr kutinë e zgjedhjes "Lejo lidhjen vetëm nga kompjuterët që përdorin Desktop në distancë me vërtetim të nivelit të rrjetit (rekomandohet)" (Windows 10 / Windows 8).

Në Windows 7 ky opsion quhet ndryshe. Në skedën Qasje në distancë ju duhet të zgjidhni opsionin " Lejo lidhjet nga kompjuterët që ekzekutojnë çdo version të Desktopit në distancë (i rrezikshëm)/ Lejo lidhjet nga kompjuterët që ekzekutojnë çdo version të Remote Desktop (më pak të sigurt)".

Ju gjithashtu mund të çaktivizoni vërtetimin e nivelit të rrjetit (NLA) duke përdorur Redaktorin Lokal politikën e grupit - gpedit.msc(në Windows 10 Home, redaktori i politikave gpedit.msc mund të hapet) ose duke përdorur konsolën e menaxhimit të politikave të domenit - GPMC.msc. Për ta bërë këtë, shkoni te seksioni Konfigurimi i kompjuterit –> Modelet administrative –> KomponentëtDritaret–> Shërbimet e Desktopit në distancë – Pritësi i Sesionit të Desktopit në distancë –> Siguria(Konfigurimi i kompjuterit –> Modelet administrative –> Komponentët e Windows –> Shërbimet e Desktopit në distancë – Pritësi i Sesionit të Desktopit në distancë –> Siguria), fiket politikë (Kërkoni vërtetimin e përdoruesit për lidhjet në distancë duke përdorur vërtetimin e nivelit të rrjetit).

Duhet edhe në politikë " Kërkoni një nivel të veçantë sigurie për lidhjet RDP në distancë» (Kërkoni përdorimin e një shtrese specifike sigurie për lidhjet në distancë (RDP)) zgjidhni Shtresën e Sigurisë - RDP.

Për të aplikuar cilësimet e reja të RDP, duhet të përditësoni politikat (gpupdate /force) ose rinisni kompjuterin. Pas kësaj, duhet të lidheni me sukses me serverin e desktopit në distancë.