نوافذ Rdp 7 الوظيفة المحددة غير مدعومة. حدث خطأ أثناء المصادقة

في 13 مارس ، نشرت Microsoft وصفًا للثغرة الأمنية CVE-2018-0886 في بروتوكول المصادقة CredSSP ، والذي يُستخدم بشكل خاص عند الاتصال عبر RDP بالخوادم الطرفية. نشرت Microsoft لاحقًا أنها ستحظر الاتصالات بالخوادم غير المحدثة حيث كانت الثغرة الأمنية موجودة. في هذا الصدد ، واجه العديد من العملاء مشاكل في الاتصال عبر RDP.

على وجه الخصوص ، في Windows 7 ، يمكنك رؤية الخطأ: "حدث خطأ في المصادقة. الوظيفة المحددة غير مدعومة."
في Windows 10 ، تم وصف الخطأ بمزيد من التفصيل ، على وجه الخصوص ، يقول "قد يكون سبب الخطأ هو إصلاح تشفير CredSSP":


للتغلب على الخطأ من جانب العميل ، ينصح الكثير بتعطيل "نهج المجموعة" عن طريق تعيين القيمة تشفير Oracle Remediationالخامس معرض:
باستخدام gpedit.msc في تكوين الكمبيوتر / القوالب الإدارية / النظام / نقل بيانات الاعتماد ، على اليسار ، حدد "إصلاح التشفير أو الثغرة الأمنية" (ترجمة مضحكة بالطبع) ، واضبط "ممكّن" في الإعدادات وحدد "ترك الثغرة الأمنية".


أو من خلال التسجيل (لأنه ، على سبيل المثال ، لا يوجد أمر gpedit.msc في Windows Home):

REG ADD HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters \ / v AllowEncryptionOracle / t REG_DWORD / d 2


لكن! لا تحتاج إلى القيام بذلك! لأن وبالتالي فإنك تترك نقاط الضعف ومخاطر اعتراض حركة المرور الخاصة بك وغيرها من البيانات السرية ، بما في ذلك كلمات المرور. الحالة الوحيدة التي قد يكون فيها ذلك ضروريًا هي عندما لا يكون لديك أي طريقة أخرى للاتصال بخادم بعيد بخلاف RDP لتثبيت التحديثات (على الرغم من أن أي مزود خدمة سحابية يجب أن يكون قادرًا على الاتصال بوحدة تحكم الخادم). فور تثبيت التحديثات ، يجب إعادة السياسات إلى حالتها الأصلية.

إذا كان لديك وصول إلى الخادم البعيد ، فعندئذٍ ، كإجراء مؤقت ، يمكنك تعطيل متطلبات NLA (مصادقة مستوى الشبكة) ، وسيتوقف الخادم عن استخدام CredSSP. للقيام بذلك ، في خصائص النظام ، في علامة التبويب الاتصالات عن بعد ، قم بإلغاء تحديد خانة الاختيار المقابلة "السماح بالاتصالات فقط من أجهزة الكمبيوتر التي تعمل على سطح المكتب البعيد مع المصادقة على مستوى الشبكة":

لكن هذا أيضًا نهج خاطئ.

النهج الصحيح هو فقط تثبيت التحديثات الضرورية على نظام التشغيل لإغلاق الثغرة الأمنية CVE-2018-0886 في CredSSP ، كل من الخادم الذي تتصل به والعميل الذي تتصل به.

تتوفر قائمة بالتحديثات لجميع أنظمة التشغيل بدءًا من Windows 7 و Windows Server 2008 على: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
حدد الإصدار المطلوب من نظام التشغيل ، وقم بتنزيل التحديث المناسب من الكتالوج ، وقم بالتثبيت وإعادة التشغيل. بعد ذلك ، يجب أن يختفي الخطأ.
على سبيل المثال ، في Windows Server 2016 ، سيكون رابط التنزيل كما يلي:

محتوى المقال:

بعد 8 مايو 2018 ، واجه العديد من مستخدمي أنظمة تشغيل Windows مشكلة ، ونتيجة لذلك ، عند محاولة الوصول إلى جهاز كمبيوتر آخر يعمل بنظام Windows من خلال Remote Desktop (أو عند استخدام تطبيق remoteapp) ، يتلقون الخطأ التالي:

حدث خطأ أثناء المصادقة.
الوظيفة المحددة غير مدعومة.
قد يكون إصلاح تشفير CredSSP هو سبب الخطأ.

معلومات عامة

لقطة شاشة بنص خطأ

في هذه المقالة ، سنلقي نظرة على 3 طرق لإصلاح هذا الخطأ. الطريقة الأولى هي الأصح ولا بد من استخدامها إذا واجهت هذه المشكلة. الطريقتان الثانية والثالثة ، على الرغم من أنهما يسمحان لك بإزالة الخطأ ، يجب استخدامهما فقط في حالة عدم وجود طريقة لتثبيت التصحيح.

الطريقة الأولى: قم بتثبيت التحديث لإصلاح تشفير CreedSSP

سبب هذا الخطأ هو عدم وجود تحديث CVE-2018-0886 على جانب الخادم أو على الكمبيوتر الذي تحاول الاتصال به باستخدام سطح المكتب البعيد (RDP). لإصلاحها ، تحتاج فقط إلى تثبيت هذا التحديث على جهاز الكمبيوتر الذي يعمل كخادم. يمكنك الحصول على تحديث لإصدار نظام التشغيل المطلوب باستخدام الروابط أدناه:

الطريقة 2: تعطيل إعلام خطأ تشفير CreedSSP عبر نهج المجموعة

إذا كان من المستحيل تثبيت التحديثات لسبب ما ، فيمكنك تعطيل إشعار الخطأ هذا. للقيام بذلك ، على الكمبيوتر الذي يعمل كعميل ، نقوم بتنفيذ الإجراءات التالية:

الطريقة الثالثة: تعطيل إعلام خطأ التشفير CreedSSP عن طريق تحرير التسجيل

في حالة عدم احتواء إصدارك من Windows على محرر نهج المجموعة (على سبيل المثال ، Windows 10 Home) ، فسيتعين عليك إجراء التعديلات اللازمة على السجل يدويًا. للقيام بذلك ، على الكمبيوتر الذي يعمل كعميل ، نقوم بتنفيذ الإجراءات التالية:

  1. افتح محرر التسجيل وانتقل إلى المسار التالي: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters
  2. نحن نبحث عن معلمة DWORDمخول AllowEncryptionOracle، واضبط القيمة 2 ... إذا لم يكن هناك مثل هذه المعلمة ، فقم بإنشائها.
  3. قم بإعادة تشغيل جهاز الحاسوب الخاص بك

بالنسبة لأولئك الذين لا يريدون العبث بالسجل ، ما عليك سوى تشغيل الأمر أدناه ، في سطر الأوامر مع حقوق المسؤول:

REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2

بعد تثبيت تحديثات الأمان لشهر مايو (بتاريخ 8 مايو 2018 على أنظمة Windows 7/8/10 وأنظمة الخادم الأساسية على Windows Server 2008 R2 / 2012 R2 / 2016) ، لا يمكن للمستخدمين الوصول إلى الجهاز البعيد عبر RDP و RemoteApp ، ويحدث ما يلي خطأ:

لقطة الشاشة: نافذة خطأ CredSSP بعد إجراء اتصال RDP بالخادم من جهاز العميل.

في أوائل ربيع 2018 ، أصدرت Microsoft تحديثًا يمنع تنفيذ التعليمات البرمجية عن بُعد باستخدام ثغرة أمنية في بروتوكول CredSSP ، وفي مايو ، تم إصدار تحديث بعد التثبيت الذي يُحظر افتراضيًا على أجهزة العملاء الاتصال بخوادم RDP البعيدة باستخدام نسخة ضعيفة من بروتوكول CredSSP. وفقًا لذلك ، إذا تم تثبيت تحديثات الربيع على العملاء ، ولكن لم يتم تثبيتها على الخوادم التي تعمل بنظام Windows Server ، فسوف نتلقى خطأ عند الاتصال:

"حدث خطأ في المصادقة. الوظيفة المحددة غير مدعومة. قد يكون إصلاح CredSSP هو سبب الخطأ. "

أو النسخة الإنجليزية:

"قد يكون هذا بسبب تشفير CredSSP أو تصحيح أوراكل."

يظهر خطأ عميل RDP بعد تثبيت تحديثات الأمان:

  • Windows 7 / Windows Server 2008 R2 - تحديث KB4103718
  • 8.1 Windows و Windows Server 2012 R2 - تحديث KB4103725
  • Windows 10 1803 - تحديث KB4103721
  • Windows 10 1709 - تحديث KB4103727
  • Windows 10 1703 - تحديث KB4103731
  • Windows 10 1609 - تحديث KB4103723
  • Windows Server 2016 - تحديث KB4103723

لاستعادة الاتصال ، يمكنك ببساطة إزالة التحديثات المذكورة أعلاه ، ولكن هذا الإجراء سيفتح الثغرة الأمنية التي تم العثور عليها ، وبالتالي فإن خطة العمل لحل المشكلة ستكون على النحو التالي:

  1. سنقوم مؤقتًا ، على الكمبيوتر الذي نتصل منه عبر RDP ، بإزالة إشعار الأمان الذي يحظر الاتصال ؛
  2. دعنا نتصل به باستخدام اتصال RDP الذي تمت استعادته بالفعل ، وقم بتثبيت تصحيح الأمان الضروري ؛
  3. لنعد إشعار الأمان الذي تم تعطيله مؤقتًا في الفقرة الأولى من خطة العمل.
  • افتح محرر نهج المجموعة المحلي: ابدأ - تشغيل - gpedit.msc ؛
  • انتقل إلى تكوين الكمبيوتر - القوالب الإدارية - النظام - قسم تفويض بيانات الاعتماد ؛
  • ابحث عن السياسة المسماة Encryption Oracle Remediation Vulnerability Fix. قم بتمكين السياسة الممكّنة ، حدد عرضة للخطر كمعامل في القائمة المنسدلة ؛

لقطة الشاشة: تمكين خيار GPO - إصلاح التشفير أو ثغرة أمنية
  • يبقى تحديث السياسات على الكمبيوتر (للقيام بذلك ، افتح Cmd واستخدم الأمر gpupdate / force) وحاول الاتصال عبر RDP. مع تمكين السياسة ، ستتمكن تطبيقات العميل التي تدعم CredSSP من الاتصال حتى بخوادم سطح المكتب البعيد غير المصححة.

إذا كان هذا هو جهاز كمبيوتر منزلي يحتوي على نسخة مجردة من Windows ، ولا يمكنك الوصول إلى وحدة تحكم سياسة المجموعة المحلية ، فلا يهم ، سنستخدم محرر التسجيل (Regedit). نطلقها ونمضي على الطريق:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters

وقم بتعيين قيمة المعلمة AllowEncryptionOracle على 2 (0x00000002).

بعد ذلك ، تحتاج إلى تنزيل التحديثات الأمنية المناسبة لنظامك وتثبيتها (أنشر ارتباطات مباشرة لتحديثات Windows Server من أجل راحتك ، والتي أوصي بشدة بتثبيتها):

  • نظام التشغيل Windows Server 2016 / Windows 10 1607 - KB4103723
  • نظام التشغيل Windows Server 2012 R2 / Windows 8 -

بعد تثبيت التحديث KB4103718 على جهاز الكمبيوتر الخاص بي الذي يعمل بنظام Windows 7 ، لا يمكنني الاتصال عن بعد بخادم يقوم بتشغيل Windows Server 2012 R2 عبر RDP Remote Desktop. بعد تحديد عنوان خادم RDP في نافذة العميل mstsc.exe والنقر فوق "اتصال" ، يظهر خطأ:

اتصال سطح المكتب البعيد

حدث خطأ في المصادقة.

الوظيفة المحددة غير مدعومة.
الكمبيوتر البعيد: اسم الكمبيوتر

بعد أن قمت بإلغاء تثبيت تحديث KB4103718 وإعادة تشغيل جهاز الكمبيوتر ، عمل اتصال RDP بشكل جيد. إذا فهمت بشكل صحيح ، فهذا مجرد حل مؤقت ، فهل ستصل حزمة تحديث تراكمية جديدة الشهر المقبل وسيعود الخطأ؟ اي نصيحه؟

إجابه

أنت محق تمامًا في أنه من غير المجدي حل المشكلة ، لأنك بذلك تعرض جهاز الكمبيوتر الخاص بك لخطر استغلال العديد من الثغرات الأمنية التي أغلقتها التصحيحات في هذا التحديث.

أنت لست وحدك في مشكلتك. يمكن أن يظهر هذا الخطأ على أي نظام تشغيل Windows أو Windows Server (ليس فقط Windows 7). بالنسبة لمستخدمي الإصدار الإنجليزي من Windows 10 ، عند محاولة الاتصال بخادم RDP / RDS ، يظهر خطأ مشابه كالتالي:

حدث خطأ في المصادقة.

الوظيفة المطلوبة غير مدعومة.

الكمبيوتر البعيد: اسم الكمبيوتر

قد يظهر أيضًا خطأ RDP "حدث خطأ في المصادقة" عند محاولة تشغيل تطبيقات RemoteApp.

لماذا يحدث هذا؟ الحقيقة هي أن جهاز الكمبيوتر الخاص بك لديه آخر تحديثات الأمان (التي تم إصدارها بعد مايو 2018) ، والتي تعمل على إصلاح ثغرة أمنية خطيرة في بروتوكول CredSSP (موفر دعم أمان بيانات الاعتماد) ، والذي يستخدم للمصادقة على خوادم RDP (CVE-2018-0886) ( أوصي بقراءة المقال). في الوقت نفسه ، على جانب خادم RDP / RDS الذي تتصل به من جهاز الكمبيوتر الخاص بك ، لم يتم تثبيت هذه التحديثات وتم تمكين بروتوكول NLA (مصادقة مستوى الشبكة) للوصول إلى RDP. يستخدم NLA آليات CredSSP للمصادقة المسبقة على المستخدمين عبر TLS / SSL أو Kerberos. جهاز الكمبيوتر الخاص بك ، بسبب إعدادات الأمان الجديدة التي ثبتها التحديث الذي قمت بتثبيته ، يقوم ببساطة بحظر الاتصال بالكمبيوتر البعيد الذي يستخدم الإصدار الضعيف من CredSSP.

ما الذي يمكن فعله لإصلاح هذا الخطأ والاتصال بخادم RDP؟

  1. معظم الصحيحتتمثل طريقة حل المشكلة في تثبيت آخر تحديثات أمان Windows على الكمبيوتر / الخادم الذي تتصل به عبر RDP ؛
  2. الطريقة المؤقتة 1 ... يمكنك تعطيل مصادقة مستوى الشبكة (NLA) على جانب خادم RDP (الموضح أدناه) ؛
  3. الطريقة المؤقتة 2 ... يمكنك ، من جانب العميل ، السماح بالاتصالات بخوادم RDP بإصدار غير آمن من CredSSP ، كما هو موضح في المقالة على الرابط أعلاه. للقيام بذلك ، تحتاج إلى تغيير مفتاح التسجيل AllowEncryptionOracle(الأمر REG ADD
    HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) أو تغيير إعدادات السياسة المحلية تشفير Oracle Remediation/ إصلاح التشفير أو الثغرة الأمنية) من خلال تحديد قيمته = ضعيف / ترك الثغرة).

    هذه هي الطريقة الوحيدة للوصول إلى خادم بعيد عبر RDP إذا لم تكن لديك القدرة على تسجيل الدخول إلى الخادم محليًا (عبر وحدة تحكم منظمة العمل الدولية ، والجهاز الظاهري ، والواجهة السحابية ، وما إلى ذلك). في هذا الوضع ، ستتمكن من الاتصال بخادم بعيد وتثبيت تحديثات الأمان ، لذلك ستنتقل إلى الطريقة الأولى الموصى بها. بعد تحديث الخادم ، لا تنس تعطيل السياسة أو إرجاع قيمة المفتاح AllowEncryptionOracle = 0: REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0

تعطيل NLA لـ RDP على Windows

إذا تم تمكين NLA على جانب خادم RDP الذي تتصل به ، فهذا يعني أنه يتم استخدام CredSPP للمصادقة المسبقة لمستخدم RDP. يمكنك تعطيل مصادقة مستوى الشبكة في خصائص النظام في علامة التبويب الوصول عن بعد(بعيد) من خلال إلغاء تحديد المربع "السماح بالاتصالات فقط من أجهزة الكمبيوتر التي تعمل بنظام سطح المكتب البعيد باستخدام مصادقة مستوى الشبكة (موصى به)" (Windows 10 / Windows 8).

Windows 7 له اسم مختلف لهذا الخيار. في علامة التبويب الوصول عن بعدتحتاج إلى تحديد الخيار " السماح بالاتصالات من أجهزة الكمبيوتر بأي إصدار من "سطح المكتب البعيد" (خطير)/ السماح بالاتصالات من أجهزة الكمبيوتر التي تعمل بأي إصدار من "سطح المكتب البعيد" (أقل أمانًا) ".

من الممكن أيضًا تعطيل مصادقة مستوى الشبكة (NLA) باستخدام محرر نهج المجموعة المحلي - gpedit.msc(في Windows 10 Home ، يمكن تشغيل محرر سياسة gpedit.msc) أو باستخدام وحدة تحكم إدارة نهج المجال - GPMC.msc. للقيام بذلك ، انتقل إلى القسم تكوين الكمبيوتر -> قوالب الإدارة -> المكوناتشبابيك-> خدمات سطح المكتب البعيد - مضيف جلسة سطح المكتب البعيد -> الأمان(تكوين الكمبيوتر -> القوالب الإدارية -> مكونات Windows -> خدمات سطح المكتب البعيد - مضيف جلسة سطح المكتب البعيد -> الأمان) ، قطع الاتصالالنهج (يتطلب مصادقة المستخدم للاتصالات البعيدة باستخدام مصادقة مستوى الشبكة).

مطلوب أيضًا في السياسة " تتطلب مستوى أمان محددًا لاتصالات RDP البعيدة»(يتطلب استخدام طبقة أمان محددة للاتصالات عن بُعد (RDP)) حدد طبقة الأمان - RDP.

لتطبيق إعدادات RDP الجديدة ، تحتاج إلى تحديث السياسات (gpupdate / force) أو إعادة تشغيل الكمبيوتر. بعد ذلك ، يجب عليك الاتصال بسطح المكتب البعيد للخادم بنجاح.

يعرف مالكو نظام التشغيل Windows أن المطور يوفر دعمًا إلزاميًا لأنظمة التشغيل الخاصة به لفترة زمنية معينة. في أغلب الأحيان ، يرجع هذا إلى حقيقة أن Microsoft تصدر بشكل دوري تحديثات يتم نقلها تلقائيًا أو يدويًا إلى الكمبيوتر وتثبيتها هناك.

لسوء الحظ ، هذا في بعض الأحيان لا يؤدي إلى أفضل النتائج. نعم ، تحل هذه التحديثات بعض المشكلات ، لكنها في بعض الأحيان تخلق مشاكل جديدة.

على سبيل المثال ، يؤدي تثبيت حزمة KB4103718 ، وفقًا لملاحظات العديد من المستخدمين ، إلى حقيقة أن محاولة الاتصال بالخادم باستخدام RPR Remote Desktop لا تعمل ، ولكنها تعرض فقط رسالة على الشاشة: حدث خطأ أثناء المصادقة - الوظيفة المحددة غير مدعومة.

بطبيعة الحال ، لا يمكن أن يناسب هذا الشخص الذي يفقد بالتالي بعض الوظائف التي يحتاجها وهو مهم جدًا بالنسبة له. كيف تكون؟ بالطبع - لتصحيح.

لذلك ، إذا فشلت مصادقة Windows 7 RDP ، فسيكون الحل الأبسط هو العودة إلى تحديث نظام التشغيل وهدم الحزم المثبتة مؤخرًا. كما تظهر الممارسة ، فإن هذا الإجراء كافٍ تمامًا للتخلص من الفشل.

صحيح ، هناك عدة "تحفظات":

  • في التحديث التلقائي التالي ، سيعود كل شيء.
  • إذا منعت Windows من تشغيل هذه الوظيفة ، فقد يكون نظام التشغيل ضعيفًا للغاية ، لأنه لن يكون قادرًا على تلقي أهم التطورات الوقائية من المطورين.

لذلك ، يجب البحث عن حلول بديلة. المستخدمون المتمرسون ، عند سؤالهم "حدث خطأ في المصادقة" - كيفية الإصلاح ، يوصون بالإجراءات التالية:

  1. قم بتثبيت جميع حزم التحديث الأحدث والأكثر أهمية ليس فقط على أجهزتك ، ولكن أيضًا على الكمبيوتر والخادم الذي يخطط المستخدم للاتصال به عن بُعد باستخدام هذا البروتوكول. هذا هو عمليا الحل الوحيد والكامل لهذه المشكلة. كل الآخرين مؤقتون فقط.
  2. يمكنك إلغاء تنشيط NLA أو منح الوصول إلى خادم بعيد مع ما يسمى بالإصدار غير الآمن من CredSSP.

كيف تتوقف عن استخدام NLA؟ اتبع هذه الخطوات:

  1. انتقل من خلال لوحة التحكم إلى جميع العناصر ، ثم إلى النظام.
  2. افتح نافذة "الخصائص" وانتقل إلى علامة التبويب "Remote Access".
  3. في الجزء السفلي ، يمكنك رؤية سطر يبدأ بالكلمات "السماح بالاتصالات من أجهزة الكمبيوتر فقط ...". قم بإلغاء تحديد المربع المجاور لها.