Błąd korekty wyroczni szyfrowania CredSSP

Pomimo faktu, że wsparcie dla Windows XP zostało zatrzymane 4 lata temu (koniec wsparcia dla Windows XP) - wielu klientów zewnętrznych i wewnętrznych nadal korzysta z tego systemu operacyjnego i wydaje się, że ten problem nie zostanie radykalnie rozwiązany w najbliższej przyszłości 🙁 ... Pewnego dnia znaleźli problem : Klienci systemu Windows XP nie mogą połączyć się za pośrednictwem pulpitu zdalnego z nową farmą usług pulpitu zdalnego w terminalu w systemie Windows Server 2012 R2. Podobny problem występuje podczas próby połączenia przez RDP z Windows XP do Windows 10 1803.

Treść

  • Nie można połączyć się przez RDP z Windows XP do Windows Server 2016 / 2012R2 i Windows 10
  • Wyłącz NLA w RDS Windows Server 2016/2012 R2
  • Włączanie NLA na poziomie klienta Windows XP

Nie można połączyć się przez RDP z Windows XP do Windows Server 2016 / 2012R2 i Windows 10

Użytkownicy XP skarżyli się na następujące błędy klienta rdp:

Z powodu błędu bezpieczeństwa klient nie mógł połączyć się z komputerem zdalnym. Sprawdź, czy jesteś zalogowany do sieci, a następnie spróbuj ponownie nawiązać połączenie. Sesja zdalna została rozłączona, ponieważ komputer zdalny otrzymał niepoprawną wiadomość licencyjną z tego komputera. Komputer zdalny wymaga uwierzytelnienia na poziomie sieci, którego komputer nie obsługuje. Aby uzyskać pomoc, skontaktuj się z administratorem systemu lub pomocą techniczną.

Aby rozwiązać ten problem, sprawdź, czy wersja klienta RDP na komputerach z systemem Windows XP jest zaktualizowana. Obecnie maksymalna wersja klienta RDP, którą można zainstalować w systemie Windows XP - rdp wersja klienta 7.0 (KB969084 - https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol -rdp-7-0-or-7-1 /). Możesz zainstalować tę aktualizację tylko w systemie Windows XP SP3. Instalowanie klienta RDP w wersji 8.0 lub nowszej w systemie Windows na XP nie jest obsługiwane. Po zainstalowaniu tej aktualizacji połowa klientów rozwiązała problem z połączeniem RDP. Pozostała druga połowa ... .

Wyłącz NLA w RDS Windows Server 2016/2012 R2

Po bardziej szczegółowym przestudiowaniu tematu serwera RDS opartego na systemie Windows 2012 R2, stwierdziliśmy, że w systemie Windows Server 2012 (i nowszych) domyślnie wymaga on obowiązkowego wsparcia technologii od swoich klientów NLA (Uwierzytelnianie na poziomie sieci - uwierzytelnianie na poziomie sieci, więcej o tej technologii tutaj), ale jeśli klient nie obsługuje NLA, nie uda mu się połączyć z serwerem RDS. Podobnie NLA jest domyślnie włączony po włączeniu protokołu RDP w systemie Windows 10.

Z powyższego można wyciągnąć dwa wnioski, aby pozostali klienci XP mogli połączyć się za pośrednictwem RDP z serwerem terminali w systemie Windows Server 2016/2012 R2 lub Windows 10:

  • Wyłącz sprawdzanie poprawności NLA na serwerach farm Remote Desktop Services 2012 R2 / 2016 lub Windows 10
  • lub włączyć obsługę NLA na klientach XP;

Aby wyłączyć wymóg obowiązkowego używania protokołu NLA na klientach na serwerze RDS systemu Windows Server 2012 R2 w konsoli Server Manager, przejdź do Zdalne Pulpit Usługi -> Kolekcje -> QuickSessionCollection, do wyboru Zadania -> Edytuj Właściwości, wybierz sekcję  Bezpieczeństwo i usuń opcję: Pozwól połączenia tylko z komputery bieganie Zdalne Pulpit z Sieć Poziom Uwierzytelnianie

W systemie Windows 10 możesz wyłączyć uwierzytelnianie na poziomie sieci we właściwościach systemu (System - Konfiguruj dostęp zdalny). Odznacz „Zezwalaj na połączenia tylko z komputerów z uruchomionym pulpitem zdalnym z uwierzytelnianiem na poziomie sieci (zalecane)”.

Oczywiście musisz zrozumieć, że wyłączenie NLA na poziomie serwera zmniejsza bezpieczeństwo systemu i generalnie nie jest zalecane. Lepiej jest użyć drugiej techniki..

Włączanie NLA na poziomie klienta Windows XP

Do poprawnego działania systemu Windows XP jako klienta wymagany jest co najmniej dodatek Service Pack 3. Jeśli nie, należy pobrać i zainstalować tę aktualizację. Ten dodatek Service Pack 3 jest minimalnym wymaganiem aktualizacji klienta RDP z wersji 6.1 do wersji 7.0 i obsługi niezbędnych komponentów, w tym dostawcy usługi poświadczeń bezpieczeństwa (CredSSP -KB969084), co opisano poniżej..

Bez obsługi CredSSP i NLA podczas połączenia RDP z systemu Windows XP pojawi się błąd

Błąd uwierzytelnienia (kod: 0x80090327).

Wcześniej opisaliśmy, jak włączyć obsługę uwierzytelniania na poziomie sieci na komputerach z systemem Windows XP, krótko przypomnijmy główne punkty.

Obsługa NLA pojawiła się w Windows XP począwszy od SP3, ale nie jest domyślnie włączona. Można włączyć tylko uwierzytelnianie NLA i CredSSP. Aby to zrobić:

  1. W oddziale rejestru HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders trzeba edytować kluczową wartość SecurityProviders, dodawanie na końcu credssp.dll (oddzielone przecinkiem od bieżącej wartości);
  2. Dalej w oddziale HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa w wartości parametru Pakiety bezpieczeństwa dodaj linię łyżeczka;
  3. Po wprowadzeniu tych zmian komputer musi zostać ponownie uruchomiony.

Po zakończeniu wszystkich manipulacji komputer z systemem Windows XP SP3 powinien połączyć się bezproblemowo za pomocą rdp z farmą terminali w systemie Windows Server 2016/2012 R2 lub Windows 10. Nie można jednak zapisać hasła do połączenia RDP na kliencie Windows XP (hasło należy wprowadzić za każdym razem łączenie).

Wskazówka. Równolegle pojawił się kolejny problem z drukowaniem za pomocą Easy Print. Aby komputery z systemem Windows XP mogły drukować na RDS 2012 za pomocą Easy Print, klienci muszą spełniać następujące wymagania: OS - Windows XP SP3, wersja rdp klienta to co najmniej 6.1, obecność .NET Framework 3.5 (jak znaleźć wersję NET Framework).

Błąd korekty wyroczni szyfrowania CredSSP

W 2018 r. Wykryto poważną lukę w protokole CredSSP (biuletyn CVE-2018-0886), który został naprawiony w aktualizacjach zabezpieczeń firmy Microsoft. W maju 2018 r. MSFT wydało dodatkową aktualizację, która zabrania klientom łączenia się z komputerami i serwerami RDP za pomocą podatnej na ataki wersji CredSSP (patrz artykuł: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka- credssp-encryption-oracle-remediation /). Podczas łączenia się ze zdalnymi komputerami przez RDP pojawia się błąd Wystąpił błąd uwierzytelnienia. Określona funkcja nie jest obsługiwana..

Z uwagi na fakt, że Microsoft nie wydaje aktualizacji zabezpieczeń dla systemów Windows XP i Windows Server 2003, nie będzie można połączyć się z obsługiwanymi wersjami systemu Windows z tych systemów operacyjnych.

Aby włączyć łączność RDP z systemu Windows XP do zaktualizowanych systemów Windows 10 / 8.1 / 7 i Windows Server 2016 / 2012R2 / 2012/2008 R2, należy włączyć zasady po stronie serwera RDP Szyfrowanie Oracle Remediacja / Usunięcie luki w zabezpieczeniach szyfrowania lub Oracle (Komputer Konfiguracja -> Administracja Szablony -> System -> Referencje Delegacja / Konfiguracja komputera -> Szablony administracyjne -> System -> Prześlij poświadczenia) z wartością Złagodzony, co, jak rozumiesz, jest niebezpieczne.

Wskazówka. W systemie Windows XP (wersja o nazwie Windows Embedded POSReady 2009) istnieje osobna aktualizacja luki w zabezpieczeniach CredSSP do zdalnego wykonania kodu - https://support.microsoft.com/en-us/help/4056564 (WindowsXP-KB4056564-x86-Embedded- ENU.exe) i teoretycznie istnieje możliwość instalowania aktualizacji dla Embedded POSReady zarówno w zwykłej wersji systemu Windows XP x86, jak i Windows Server 2003.
Kategoria