Pärast uusimate turbevärskenduste installimist oma Windows 10 töölauale ei saa ma kaugtöölaua abil kaugühendust oma uue VDS-serveriga (käitab Windows Server 2012 R2). Kui määran mstsc.exe kliendiaknas RDP-serveri nime ja klõpsan nuppu Ühenda, kuvatakse tõrge:
Kaugtöölaua ühendus
Ilmnes autentimisviga.
Taotletud funktsiooni ei toetata.
Kaugarvuti: arvuti_nimi
Pärast viimaste värskenduste desinstallimist ja arvuti taaskäivitamist sain RDP kaudu ühenduse luua kaugserveriga. Nagu ma aru saan, on see ajutine lahendus. Saabub uus kumulatiivne Windowsi värskenduspakett, mis installitakse järgmisel kuul ning RDP autentimise tõrge naaseb. Kas saate mulle midagi nõu anda?
Vastus
Sul on täiesti õigus. Selle probleemi lahendamine on mõttetu installitud Windowsi värskenduse eemaldamine kuna ohustate oma arvutit erinevate turvaaukude ärakasutamisest, mida see värskendus parandab. RDP tõrge „Tekkis autentimisviga” võib ilmuda ka rakenduse RemoteApp käivitamisel.
Miks see juhtub? Fakt on see, et teie Windows 10 töölauale on installitud uusimad turvavärskendused (välja antud pärast 2018. aasta maid). Need värskendused parandavad rakenduses tõsise haavatavuse
CredSSP protokolli (mandaatide turvatoe pakkuja), mida kasutatakse autentimiseks RDP serverites (CVE-2018-0886 - lugege artikkel hoolikalt läbi RDP autentimise viga: CredSSP Encryption Oracle Remediation). Neid värskendusi ei installita teie RDP/RDS-serveri poolele ja NLA (Network Level Authentication) on kaugtöölauale juurdepääsuks lubatud. NLA kasutab CredSSP mehhanisme RDP kasutajate eelautentimiseks TLS/SSL või Kerberose kaudu. Teie arvuti lihtsalt blokeerib kaugtöölaua ühenduse serveriga, mis kasutab CredSSP haavatavat versiooni.Mida saate selle probleemi lahendamiseks ja RDP-serveriga ühenduse loomiseks teha?
- Kõigeõige tee probleemi lahendamiseks installige uusimad Windowsi kumulatiivsed turbevärskendused kaugarvutisse või RDS-serverisse (millega proovite ühendust luua RDP kaudu);
- 1. lahendus. Saate keelata NLA (võrgutaseme autentimise) RDP-serveri poolel (nagu allpool kirjeldatud);
-
2. lahendus. Saate oma töölaudu uuesti konfigureerida, lubades neil luua ühenduse CredSSP ebaturvalise versiooniga kaugtöölauaga (nagu on kirjeldatud ülaltoodud lingil olevas artiklis). Selleks muutke registriparameetrit AllowEncryptionOracle (kasuta käsku:
REG ADD
) või muutke kohalikku poliitikat Krüpteerimine Oracle Remediation määrates selle väärtuseks Haavatav. See on ainus viis RDP kaudu kaugserverile juurdepääsuks, kui te ei saa serverisse kohapeal sisse logida (ILO, virtuaalmasina konsooli või pilveteenuse pakkuja veebiliidese kaudu). Selles režiimis saate luua ühenduse kaugserveriga ja installida uusimad turvavärskendused. Pärast serveri värskendamist ärge unustage poliitikat keelata või tagastada registriparameetri AllowEncryptionOracle väärtuseks 0 (
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0
).
Keelake Windowsis kaugtöölaua NLA
Kui NLA on teie RDP serveris lubatud, tähendab see, et CredSSP-d kasutatakse RDP kasutajate eelautentimiseks. Saate võrgutaseme autentimise keelata jaotises Süsteemi omadused peal Kaugjuhtimispult vahekaarti, tühjendades valikud "Luba ühendus ainult arvutitest, mis töötavad võrgutaseme autentimisega kaugtöölauda (soovitatav)” (Windows 10 /8.1 või Windows Server 2012R2/2016).
Operatsioonisüsteemis Windows 7 (Windows Server 2008 R2) nimetatakse seda suvandit erinevalt. peal Kaugjuhtimispult vahekaardil valige suvand "Luba ühendused arvutitest, kus töötab mis tahes kaugtöölaua versioon (vähem turvaline)“.
Samuti saate võrgutaseme autentimise (NLA) keelata kohaliku rühmapoliitika redaktori abil – gpedit.msc (saate käitada faili gpedit.msc Windows 10 Home väljaandes nagu nii) või domeenirühmapoliitika halduskonsooli abil – GPMC.msc. Avage poliitikaredaktoris jaotis Arvuti konfiguratsioon -> Haldusmallid -> Windowsi komponendid -> Kaugtöölaua teenused -> Kaugtöölaua seansi host -> Turvalisus, leidke ja keelake poliitikaNõua kaugühenduste jaoks kasutaja autentimist, kasutades võrgutaseme autentimist“.
Samuti peate valima MAK Turvakiht jaotises "Nõua kaugühenduste (RDP) jaoks spetsiaalse turbekihi kasutamist” poliitika seaded.
Uute RDP sätete rakendamiseks peate tegema värskendage rühmapoliitikat kohalikus arvutis (gpupdate / force
) või taaskäivitage töölaud. Pärast seda peaksite kaugtöölauaga edukalt ühenduse looma.