Po instalaci aktualizace KB4103718 do počítače se systémem Windows 7 se nemůžu vzdáleně připojit k serveru se systémem Windows Server 2012 R2 prostřednictvím vzdálené plochy RDP. Po zadání adresy RDP serveru v klientském okně mstsc.exe a kliknutí na „Připojit“ se objeví chyba:
Připojení ke vzdálené plošeOvěření se nezdařilo.
Zadaná funkce není podporována..
Vzdálený počítač: computername
Po odebrání aktualizace KB4103718 a restartování počítače začalo připojení RDP fungovat dobře. Pokud tomu rozumím správně, jedná se pouze o dočasné řešení, příští měsíc dorazí nový balíček kumulativní aktualizace a chyba se vrátí? Můžeš mi něco poradit?
Odpověď
Máte naprostou pravdu, že nemá smysl tento problém vyřešit odstraněním aktualizací systému Windows, protože tím vystavujete svůj počítač riziku zneužití různých zranitelných míst, která v této aktualizaci uzavírají záplaty..
Nejste sami ve svém problému. Tato chyba se může objevit v jakémkoli operačním systému Windows nebo Windows Server (nejen Windows 7). Pro uživatele anglické verze systému Windows 10 se při pokusu o připojení k serveru RDP / RDS zdá podobná chyba:
Došlo k chybě ověřování.Požadovaná funkce není podporována.
Vzdálený počítač: computername
Chyba RDP „Při pokusu o spuštění aplikací RemoteApp se může objevit chyba autentizace“.
Proč se to děje? Skutečností je, že váš počítač obsahuje nejnovější aktualizace zabezpečení (vydané po květnu 2018), které opravují závažnou zranitelnost v protokolu CredSSP (Credential Security Support Provider) používaném pro ověřování na serverech RDP (CVE-2018-0886) (doporučuji viz článek Chyba připojení RDP: Náprava šifrování Oracle CredSSP). Zároveň nejsou tyto aktualizace nainstalovány na straně serveru RDP / RDS, ke kterému se připojujete z počítače, a pro přístup RDP je povolena NLA (Network Level Authentication / Network Level Authentication). Protokol NLA používá mechanismy CredSSP k předběžné autentizaci uživatelů prostřednictvím TLS / SSL nebo Kerberos. Váš počítač kvůli novému nastavení zabezpečení, které jste nainstalovali, pouze blokuje připojení ke vzdálenému počítači, který používá zranitelnou verzi CredSSP.
Jak lze tuto chybu opravit a připojit se k serveru RDP?
- Nejvíce ten pravý způsob, jak tento problém vyřešit, je nainstalovat nejnovější kumulativní aktualizace zabezpečení systému Windows do počítače / serveru, ke kterému se připojujete pomocí protokolu RDP;
- Dočasná metoda 1. Na straně serveru RDP můžete vypnout ověřování na úrovni sítě (NLA) (popsáno níže);
- Dočasná metoda 2. Můžete povolit připojení na straně klienta k serverům RDP s nebezpečnou verzí CredSSP, jak je popsáno v článku na výše uvedeném odkazu. To provedete změnou klíče registru AllowEncryptionOracle (tým
REG ADD
) nebo změnit nastavení místních zásad Šifrování Sanace Oracle / Opravte zranitelnost šifrovacího věštce) nastavením jeho hodnoty = Zranitelné / Zanechte tuto chybu zabezpečení). Toto je jediný způsob přístupu ke vzdálenému serveru pomocí protokolu RDP, pokud máte příležitost přihlásit se k serveru místně (prostřednictvím konzoly ILO, virtuálního počítače, cloudového rozhraní atd.). V tomto režimu se můžete připojit ke vzdálenému serveru a nainstalovat aktualizace zabezpečení, takže přejděte k doporučené metodě 1. Po aktualizaci serveru nezapomeňte zásadu deaktivovat nebo vrátit hodnotu klíče AllowEncryptionOracle = 0:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0
Zakázání NLA pro RDP ve Windows
Pokud je na straně RDP serveru, ke kterému se připojujete, povolena NLA, znamená to, že CredSPP se používá k předběžné autentizaci RDP uživatele. Zakažte ověřování na úrovni sítě ve vlastnostech systému na kartě Vzdálený přístup (Vzdálené), odškrtávání “Povolit připojení pouze z počítačů se spuštěnou vzdálenou plochou s ověřením na úrovni sítě / Povolit připojení pouze z počítačů se spuštěnou vzdálenou plochou s ověřením na úrovni sítě (doporučeno) “(Windows 10 / Windows 8).
V systému Windows 7 se tato možnost nazývá jinak. Tab Vzdálený přístup je třeba vybrat možnost "Povolit připojení z počítačů s jakoukoli verzí vzdálené plochy (nebezpečné) / Povolit připojení z počítačů s jakoukoli verzí vzdálené plochy (méně zabezpečené) ".
Ověřování na úrovni sítě (NLA) můžete také zakázat pomocí editoru místních skupinových zásad - gpedit.msc (v systému Windows 10 Home lze editor zásad gpedit.msc spustit takto) nebo pomocí konzoly pro správu zásad domény, GPMC.msc. Chcete-li to provést, přejděte na Konfigurace počítače -> Šablony pro správu -> Komponenty Windows -> Služby vzdálené plochy - Hostitel relací vzdálené plochy -> Zabezpečení (Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows -> Služby vzdálené plochy - Hostitel relací vzdálené plochy -> Zabezpečení), odpojit politika Vyžadovat ověření uživatele pro vzdálená připojení pomocí ověřování na úrovni sítě (Vyžadujte ověření uživatelů pro vzdálená připojení pomocí ověřování na úrovni sítě).
Potřebováno také v politice “Vyžadovat použití zvláštní úrovně zabezpečení pro vzdálená připojení RDP"(Vyžadovat použití specifické úrovně zabezpečení pro vzdálená připojení (RDP)) vyberte úroveň zabezpečení (Úroveň zabezpečení) - Rdp.
Chcete-li použít nová nastavení RDP, musíte aktualizovat zásady (gpupdate / force) nebo restartovat počítač. Poté se musíte úspěšně připojit ke vzdálené ploše serveru.