Chyba nápravy šifrování CredSSP

I přes skutečnost, že podpora pro Windows XP byla zastavena před 4 lety (Windows XP End Of Support) - mnoho externích a interních zákazníků nadále používá tento operační systém a zdá se, že tento problém nebude v blízké budoucnosti radikálně vyřešen 🙁 ... Druhý den našli problém : Klienti se systémem Windows XP se nemohou připojit prostřednictvím vzdálené plochy k nové farmě Remote Desktop Services na Windows Server 2012 R2. K podobnému problému dochází při pokusu o připojení prostřednictvím protokolu RDP ze systému Windows XP k systému Windows 10 1803.

Obsah:

  • Nelze se připojit prostřednictvím protokolu RDP ze systému Windows XP k systému Windows Server 2016 / 2012R2 a Windows 10
  • Zakázat NLA na RDS Windows Server 2016/2012 R2
  • Povolení NLA na úrovni klienta Windows XP

Nelze se připojit prostřednictvím protokolu RDP ze systému Windows XP k systému Windows Server 2016 / 2012R2 a Windows 10

Uživatelé XP si stěžovali na tyto chyby klienta rdp:

Z důvodu chyby zabezpečení se klient nemohl připojit ke vzdálenému počítači. Ověřte, že jste přihlášeni k síti, a zkuste se znovu připojit. Vzdálená relace byla odpojena, protože vzdálený počítač obdržel od tohoto počítače neplatnou licenční zprávu. Vzdálený počítač vyžaduje ověření na úrovni sítě, které váš počítač nepodporuje. Požádejte o pomoc správce systému nebo technickou podporu.

Chcete-li tento problém vyřešit, ověřte, zda je aktualizována verze klienta RDP v počítačích se systémem Windows XP. V současné době je maximální verze klienta RDP, který lze nainstalovat do systému Windows XP - rdp verze klienta 7.0 (KB969084 - https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol -rdp-7-0- nebo -7-1 /). Tuto aktualizaci můžete nainstalovat pouze na aktualizaci Windows XP SP3. Instalace klienta RDP verze 8.0 a vyšší ve Windows na XP není podporována. Po instalaci této aktualizace polovina klientů vyřešila problém s připojením RDP. Druhá polovina zbývá ... .

Zakázat NLA na RDS Windows Server 2016/2012 R2

Když jsme začali podrobněji studovat téma RDS serveru založeného na Windows 2012 R2, zjistili jsme, že ve Windows Server 2012 (a výše), ve výchozím nastavení vyžaduje povinnou podporu technologie od svých zákazníků NLA (Network-Level Authentication - autentizace na úrovni sítě, více o této technologii zde), ale pokud klient nepodporuje NLA, nebude úspěšný v připojení k RDS serveru. Podobně je NLA ve výchozím nastavení povolena, když povolíte RDP v systému Windows 10.

Existují dva závěry z výše uvedeného, ​​takže zbývající klienti XP se mohou připojit prostřednictvím RDP k terminálovému serveru v systému Windows Server 2016/2012 R2 nebo Windows 10:

  • Zakažte ověřování NLA na serverech služby Vzdálená plocha 2012 R2 / 2016 Farm Server nebo Windows 10
  • nebo povolit podporu NLA u klientů XP;

Chcete-li zakázat požadavek na povinné používání protokolu NLA na klientech na serveru RDS systému Windows Server 2012 R2, v konzole Správce serverů přejděte na Vzdálené Desktop Služby -> Kolekce -> QuickSessionCollection, vybrat Úkoly -> Upravit Vlastnosti, zvolte sekci  Zabezpečení a odeberte možnost: Povolit spojení pouze z počítače běh Vzdálené Desktop s Síť Úroveň Ověřování

V systému Windows 10 můžete zakázat ověřování na úrovni sítě ve vlastnostech systému (Systém - Konfigurovat vzdálený přístup). Zrušte zaškrtnutí políčka „Povolit připojení pouze z počítačů se spuštěnou vzdálenou plochou s ověřením na úrovni sítě (doporučeno)“.

Samozřejmě musíte pochopit, že zakázání NLA na úrovni serveru snižuje zabezpečení systému a obecně se nedoporučuje. Je vhodnější použít druhou techniku..

Povolení NLA na úrovni klienta Windows XP

Pro správnou funkci systému Windows XP jako klienta musíte mít alespoň aktualizaci Service Pack 3. Pokud ne, nezapomeňte si tuto aktualizaci stáhnout a nainstalovat. Tato aktualizace Service Pack 3 je minimálním požadavkem na aktualizaci klienta RDP z verze 6.1 na 7.0 a na podporu nezbytných součástí, včetně poskytovatele služby Credential Security Service Provider (CredSSP -KB969084), která je popsána níže..

Bez podpory CredSSP a NLA se během připojení RDP ze systému Windows XP k nové verzi systému Windows objeví chyba

Chyba ověření (kód: 0x80090327).

Již dříve jsme popsali, jak povolit podporu síťové autentizace v počítačích se systémem Windows XP, krátce si vzpomeňte na hlavní body.

Podpora NLA se objevila v systému Windows XP počínaje aktualizací SP3, ale ve výchozím nastavení není povolena. Lze povolit pouze ověření poskytovatele NLA a CredSSP. Postupujte takto:

  1. Ve větvi registru HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders je třeba upravit hodnotu klíče SecurityProviders, přidání na konec credssp.dll (oddělené čárkou od aktuální hodnoty);
  2. Dále ve větvi HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa v hodnotě parametru Bezpečnostní balíčky přidat řádek tspkg;
  3. Po provedení těchto změn je třeba počítač restartovat.

Po dokončení všech manipulací by se měl počítač se systémem Windows XP SP3 připojit pomocí rdp k terminálové farmě v systému Windows Server 2016/2012 R2 nebo Windows 10. Nelze však uložit heslo pro připojení RDP na klienta systému Windows XP (musíte heslo zadat pokaždé) připojování).

Tip. Souběžně došlo k dalšímu problému s tiskem pomocí funkce Easy Print. Pro počítače se systémem Windows XP, aby mohly tisknout na RDS 2012 pomocí programu Easy Print, musí klienti splňovat následující požadavky: OS - Windows XP SP3, verze rdp klienta je alespoň 6,1, přítomnost .NET Framework 3.5 (jak zjistit verzi NET Framework).

Chyba nápravy šifrování CredSSP

V roce 2018 byla objevena závažná chyba zabezpečení v protokolu CredSSP (bulletin CVE-2018-0886), který byl opraven v aktualizacích zabezpečení společnosti Microsoft. V květnu 2018 společnost MSFT vydala další aktualizaci, která zakazuje klientům připojení k počítačům a serverům RDP s zranitelnou verzí CredSSP (viz článek: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka- credssp -ryption-oracle-remediation /). Při připojení ke vzdáleným počítačům prostřednictvím protokolu RDP se vyskytla chyba Došlo k chybě při ověřování. Zadaná funkce není podporována..

Vzhledem k tomu, že společnost Microsoft nevydává aktualizace zabezpečení pro systémy Windows XP a Windows Server 2003, nebudete se moci připojit k podporovaným verzím systému Windows z těchto operačních systémů.

Chcete-li povolit připojení RDP ze systému Windows XP k aktualizovaným Windows 10 / 8.1 / 7 a Windows Server 2016 / 2012R2 / 2012/2008 R2, musíte povolit zásadu na straně serveru RDP Šifrování Oracle Sanace / Oprava chyby zabezpečení šifrovacího věštce (Počítač Konfigurace -> Správní Šablony -> Systém -> Pověření Delegování / Konfigurace počítače -> Šablony pro správu -> Systém -> Přenos pověření) s hodnotou Zmírněno, což, jak víte, není bezpečné.

Tip. Pro Windows XP (verze s názvem Windows Embedded POSReady 2009) existuje ve skutečnosti samostatná aktualizace chyby zabezpečení CredSSP pro vzdálené spuštění kódu - https://support.microsoft.com/en-us/help/4056564 (WindowsXP-KB4056564-x86-Embedded- ENU.exe) a teoreticky existuje možnost nainstalovat aktualizace pro Embedded POSReady do běžné verze Windows XP x86 i Windows Server 2003.