Rdp windows 7 tato funkce není podporována. Došlo k chybě ověřování

13. března Microsoft zveřejnil popis zranitelnosti CVE-2018-0886 v ověřovacím protokolu CredSSP, který se používá zejména při připojování přes RDP k terminálovým serverům. Microsoft později zveřejnil, že bude blokovat připojení k neopraveným serverům, které mají tuto chybu zabezpečení. V důsledku toho se mnoho zákazníků setkalo s problémy s připojením přes RDP.

Konkrétně ve Windows 7 se může zobrazit chyba: "Došlo k chybě ověřování. Zadaná funkce není podporována"
Ve Windows 10 je chyba popsána podrobněji, zejména říká „Chyba může být způsobena opravou šifrování CredSSP“:


Chcete-li obejít chybu na straně klienta, mnozí doporučují deaktivovat zásady skupiny nastavením hodnoty Šifrování Oracle Remediation PROTI Zranitelný:
pomocí gpedit.msc v Konfigurace počítače / Šablony pro správu / Systém / Přenos pověření, vlevo vyberte „Fixing the encryption oracle vulnerability“ (samozřejmě vtipný překlad), v nastavení nastavte „Enabled“ a vyberte „Leave vulnerability“ .


nebo prostřednictvím registru (protože např. v Windows Homežádný příkaz gpedit.msc):

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2


ALE! Není třeba to dělat! Protože Tím opustíte zranitelnost a rizika zachycení vašeho provozu a dalších důvěrných dat, včetně hesel. Jediný čas, kdy to může být nutné, je, když nemáte jiný způsob, jak se připojit ke vzdálenému serveru, než prostřednictvím RDP za účelem instalace aktualizací (ačkoli každý poskytovatel cloudu by měl mít možnost připojit se ke konzole serveru). Ihned po instalaci aktualizací je nutné zásady vrátit do původního stavu.

Pokud máte přístup ke vzdálenému serveru, můžete jako dočasné opatření zakázat požadavek NLA (Network Level Authentication) a server přestane používat CredSSP. Chcete-li to provést, přejděte do Vlastnosti systému, na kartě Vzdálená připojení zrušte zaškrtnutí příslušného políčka „Povolit připojení pouze z počítačů se vzdálenou plochou s ověřováním na úrovni sítě“:

Ale to je také špatný přístup.

Správný přístup je pouze nainstalovat potřebné aktualizace na operační systém, který ukončí zranitelnost CVE-2018-0886 v CredSSP, a to jak na serveru, ke kterému se připojujete, tak na klientském, ze kterého se připojujete.

Seznam aktualizací pro všechny operační systémy, počínaje Windows 7 a Windows Server 2008 k dispozici na: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Vyberte požadovanou verzi operačního systému, stáhněte příslušnou aktualizaci z katalogu, nainstalujte a restartujte. Poté by měla chyba zmizet.
Například na Windows Server 2016 bude odkaz ke stažení vypadat takto:

Obsah článku:

Po 8. květnu 2018 se mnoho uživatelů operačních systémů Windows setkalo s problémem, kdy se při pokusu o přihlášení k jinému počítači se systémem Windows přes vzdálenou plochu (nebo pomocí aplikace remoteapp) zobrazila následující chyba:

Došlo k chybě ověřování.
Zadaná funkce není podporována
Chyba může být způsobena opravou šifrování CredSSP.

obecná informace

Snímek obrazovky s textem chyby

V tomto článku se podíváme na 3 způsoby, jak tuto chybu opravit. První metoda je nejsprávnější a měli byste ji použít, pokud narazíte na tento problém. Druhá a třetí metoda, i když umožňují odstranit chybu, by měla být použita pouze v případě, že není možné opravu nainstalovat.

Metoda 1: Nainstalujte aktualizaci, která opraví šifrování CreedSSP

Příčinou této chyby je chybějící aktualizace CVE-2018-0886 na straně serveru nebo v počítači, ke kterému se pokoušíte připojit pomocí vzdálené plochy (RDP). Chcete-li to odstranit, jednoduše nainstalujte tuto aktualizaci do počítače, který funguje jako server. Aktualizaci pro požadovanou verzi OS si můžete stáhnout pomocí níže uvedených odkazů:

Metoda 2: Zakažte upozornění na chybu šifrování CreedSSP prostřednictvím zásad skupiny

Pokud z nějakého důvodu není možné nainstalovat aktualizace, můžete toto upozornění na chybu zakázat. Za tímto účelem na počítači, který funguje jako klient, provádíme následující akce:

Metoda 3: Zakažte upozornění na chybu šifrování CreedSSP úpravou registru

V případě, že ve vašem Edice Windows neexistuje žádný editor zásad skupiny (například Windows 10 Home), pak budete muset potřebné změny v registru provést ručně. Za tímto účelem na počítači, který funguje jako klient, provádíme následující akce:

  1. Otevřete editor registru a přejděte na následující cestu: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
  2. Hledá se parametr DWORD oprávněný AllowEncryptionOracle a nastavte hodnotu 2 . Pokud takový parametr neexistuje, vytvořte jej.
  3. Restartujte počítač

Pro ty, kteří si nechtějí zahrávat s registrem, stačí spustit příkaz níže příkazový řádek s administrátorskými právy:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Po instalaci květnových aktualizací zabezpečení (z 8. května 2018 na platformách Windows 7/8/10 a serverových platformách na Windows Server 2008 R2 / 2012 R2 / 2016) uživatelé nezískají přístup ke vzdálenému počítači prostřednictvím RDP a RemoteApp a další chyba:

Snímek obrazovky: Chybové okno CredSSP po vytvoření připojení RDP k serveru z klientského počítače.

Na začátku jara 2018 vydal Microsoft aktualizaci, která zabránila vzdálené provedení kód využívající zranitelnost v protokolu CredSSP a v květnu byla vydána aktualizace, po jejíž instalaci je standardně klientským strojům zakázáno připojovat se ke vzdáleným RDP serverům se zranitelnou verzí protokolu CredSSP. Pokud jsou tedy jarní aktualizace nainstalovány na klientech, ale nejsou nainstalovány na serverech s operačním systémem Windows Server, při připojování se zobrazí chyba:

"Došlo k chybě ověřování. Zadaná funkce není podporována. Chyba může být způsobena opravou CredSSP."

Nebo anglická verze:

"Mohlo by to být způsobeno nápravou šifrování CredSSP."

Po instalaci aktualizací zabezpečení se zobrazí chyba klienta RDP:

  • Windows 7 / Windows Server 2008 R2 - aktualizace KB4103718
  • Windows 8.1 / Windows Server 2012 R2 - aktualizace KB4103725
  • Windows 10 1803 - aktualizace KB4103721
  • Windows 10 1709 - aktualizace KB4103727
  • Windows 10 1703 - aktualizace KB4103731
  • Windows 10 1609 – aktualizace KB4103723
  • Windows Server 2016 – aktualizace KB4103723

Chcete-li obnovit připojení, můžete jednoduše odinstalovat výše uvedené aktualizace, ale tato akce otevře nalezenou chybu zabezpečení, takže akční plán k vyřešení problému bude následující:

  1. Dočasně odstraníme bezpečnostní upozornění, které blokuje připojení na počítači, ze kterého se připojujeme přes RDP;
  2. Pojďme se k němu připojit přes již obnovené připojení RDP a nainstalovat potřebnou bezpečnostní záplatu;
  3. Vraťme zpět bezpečnostní upozornění, které bylo dočasně zakázáno v prvním bodě akčního plánu.
  • Otevřete editor zásad místní skupiny: Start - Spustit - gpedit.msc;
  • Přejděte do sekce Konfigurace počítače - Šablony pro správu - Systém - Delegování pověření - anglicky;
  • Najdeme zásadu s názvem Encryption Oracle Remediation. Povolte zásadu Povoleno a v rozevíracím seznamu vyberte možnost Ponechat zranitelnost;

Snímek obrazovky: Povolení GPO Option – Oprava chyby zabezpečení Oracle
  • Zbývá pouze aktualizovat zásady v počítači (pro to otevřete Cmd a použijte příkaz gpupdate/force) a zkuste se připojit přes RDP. Když je zásada povolena, klientské aplikace, které podporují CredSSP, se budou moci připojit i k neopraveným serverům vzdálené plochy.

Pokud tohle domácí počítač Pokud máte oříznutou verzi Windows a nemáte přístup ke konzole Local Group Policy, nevadí, použijeme editor registru (Regedit). Spustíme to a následujeme cestu:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

a nastavte hodnotu parametru AllowEncryptionOracle na 2 (0x00000002).

Poté si musíte stáhnout a nainstalovat aktualizace zabezpečení vhodné pro váš systém (pro vaše pohodlí zveřejňuji přímé odkazy na aktualizace pro Windows Server, které vřele doporučuji nainstalovat):

  • Windows Server 2016 / Windows 10 1607 - KB4103723
  • Windows Server 2012 R2 / Windows 8 -

Po instalaci aktualizace KB4103718 do počítače se systémem Windows 7 se nemohu vzdáleně připojit k serveru se systémem Windows Server 2012 R2 prostřednictvím protokolu RDP. Po zadání adresy serveru RDP v okně klienta mstsc.exe a kliknutí na „Připojit“ se zobrazí chyba:

Připojení ke vzdálené ploše

Došlo k chybě ověřování.

Zadaná funkce není podporována.
Vzdálený počítač: název počítače

Poté, co jsem odinstaloval aktualizaci KB4103718 a restartoval počítač, začalo připojení RDP fungovat dobře. Pokud tomu dobře rozumím, jedná se pouze o dočasné řešení, příští měsíc dorazí nový balíček kumulativní aktualizace a chyba se vrátí? Můžete něco doporučit?

Odpovědět

Máte naprostou pravdu, že je zbytečné problém řešit, protože tím vystavujete svůj počítač riziku zneužití různých zranitelností, které jsou v této aktualizaci pokryty záplatami.

Ve svém problému nejste sami. Tato chyba se může objevit na jakémkoli operačním sále systém Windows nebo Windows Server (nejen Windows 7). Pro anglické uživatele Verze Windows 10, při pokusu o připojení k serveru RDP/RDS vypadá podobná chyba takto:

Došlo k chybě ověřování.

Požadovaná funkce není podporována.

Vzdálený počítač: název počítače

Při pokusu o spuštění aplikací RemoteApp se také může objevit chyba RDP „Došlo k chybě ověřování“.

Proč se tohle děje? Faktem je, že váš počítač má nejnovější aktualizace zabezpečení (vydané po květnu 2018), které opravují závažnou zranitelnost v protokolu CredSSP (Credential Security Support Provider) používaném pro ověřování na serverech RDP (CVE-2018-0886) (doporučuji přečíst článek). Na straně serveru RDP / RDS, ke kterému se připojujete z počítače, však tyto aktualizace nejsou nainstalovány a pro přístup RDP je povolen protokol NLA (Network Level Authentication). Protokol NLA využívá mechanismy CredSSP k předběžné autentizaci uživatelů prostřednictvím TLS/SSL nebo Kerberos. Váš počítač kvůli novým nastavením zabezpečení zavedeným aktualizací, kterou jste nainstalovali, jednoduše blokuje připojení vzdálený počítač, který používá zranitelnou verzi CredSSP.

Co můžete udělat pro opravu této chyby a připojení k serveru RDP?

  1. Většina opravit způsob řešení problému - instalace poslední aktualizace Zabezpečení Windows na počítači/serveru, ke kterému se připojujete prostřednictvím RDP;
  2. Dočasný způsob 1 . Můžete zakázat ověřování na úrovni sítě (NLA) na straně serveru RDP (popsáno níže);
  3. Dočasný způsob 2 . Na straně klienta můžete povolit připojení k serverům RDP s nezabezpečenou verzí CredSSP, jak je popsáno ve výše uvedeném článku. Chcete-li to provést, musíte změnit klíč registru AllowEncryptionOracle(příkaz REG ADD
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) nebo změnit nastavení místní politika Šifrování Oracle Remediation/ Opravit zranitelnost šifrování oracle), nastavení její hodnoty = Vulnerable / Leave vulnerability).

    Toto je jediný způsob, jak přistupovat ke vzdálenému serveru přes RDP, pokud nemáte možnost přihlásit se k serveru lokálně (přes konzolu ILO, virtuální stroj, cloudové rozhraní atd.). V tomto režimu se budete moci připojit ke vzdálenému serveru a nainstalovat aktualizace zabezpečení, čímž přejdete na doporučený způsob 1. Po aktualizaci serveru nezapomeňte deaktivovat zásady nebo vrátit hodnotu klíče AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Zakázání NLA pro RDP v systému Windows

Pokud je povoleno NLA na straně serveru RDP, ke kterému se připojujete, znamená to, že CredSPP se používá k předběžné autentizaci uživatele RDP. Ověřování na úrovni sítě můžete zakázat ve vlastnostech systému na kartě Vzdálený přístup (Dálkový) zrušením zaškrtnutí políčka „Povolit připojení pouze z počítačů se vzdálenou plochou s ověřováním na úrovni sítě (doporučeno)“ (Windows 10 / Windows 8).

Ve Windows 7 se tato možnost nazývá jinak. Na kartě Vzdálený přístup musíte vybrat možnost " Povolit připojení z počítačů s jakoukoli verzí vzdálené plochy (nebezpečné)/ Povolit připojení z počítačů s libovolnou verzí vzdálené plochy (méně bezpečné)".

Pomocí místního editoru můžete také zakázat ověřování na úrovni sítě (NLA). skupinová politika - gpedit.msc(ve Windows 10 Home lze spustit editor zásad gpedit.msc) nebo pomocí konzoly pro správu zásad domény – GPMC.msc. Chcete-li to provést, přejděte do sekce Konfigurace počítače –> Šablony pro správu –> KomponentyOkna–> Služby vzdálené plochy – Hostitel relací vzdálené plochy –> Zabezpečení(Konfigurace počítače –> Šablony pro správu –> Součásti systému Windows –> Služby vzdálené plochy – Hostitel relací vzdálené plochy –> Zabezpečení), vypnout zásada (Vyžadovat ověření uživatele pro vzdálená připojení pomocí ověřování na úrovni sítě).

Potřebné také v politice" Vyžadovat použití zvláštní úrovně zabezpečení pro vzdálená připojení přes protokol RDP» (Vyžadovat použití specifické vrstvy zabezpečení pro vzdálená připojení (RDP)) vyberte vrstvu zabezpečení - PRV.

Chcete-li použít nová nastavení RDP, musíte aktualizovat zásady (gpupdate /force) nebo restartovat počítač. Poté byste se měli úspěšně připojit k serveru vzdálené plochy.

Majitelé OS Windows vědí, že vývojář poskytuje po určitou dobu povinnou podporu pro své operační systémy. Nejčastěji je to proto, že Microsoft pravidelně vydává aktualizace, které buď automaticky, resp manuální režim přeneseny do počítače a tam nainstalovány.

Bohužel to někdy vede k ne nejlepším důsledkům. Ano, takové aktualizace řeší určité problémy, ale někdy vytvářejí nové.

Například instalace balíčku KB4103718 podle pozorování mnoha uživatelů vede k tomu, že pokus o připojení k serveru pomocí vzdálené plochy RPR nefunguje, ale pouze způsobí hlášení na obrazovce: došlo k chybě během autentizace - zadaná funkce není podporována.

To přirozeně nemůže vyhovovat člověku, který je tak ochuzen o nějakou funkcionalitu, kterou potřebuje a je velmi důležitá. Co bych měl dělat? Samozřejmě - opravit.

Pokud se tedy ověření Windows 7 RDP nezdařilo, nejjednodušším řešením by bylo vrátit se k aktualizaci operačního systému a odinstalovat nedávno nainstalované balíčky. Jak ukazuje praxe, tato akce je dostačující k tomu, aby se zbavila selhání.

Pravda, existuje několik „ale“:

  • Příště automatická aktualizace všechno se vrátí.
  • Pokud zabráníte systému Windows spouštět takovou funkci, pak operační systém se může ukázat jako extrémně zranitelný, protože nebude schopen přijímat nejdůležitější ochranné funkce od vývojářů.

Proto je třeba hledat alternativní řešení. Zkušení uživatelé na otázku „Došlo k chybě ověřování“ - jak ji opravit, doporučují následující akce:

  1. Nainstalujte všechny nejdůležitější, nejnovější aktualizační balíčky nejen na vaše zařízení, ale také na počítač a server, ke kterému se uživatel plánuje vzdáleně připojit prostřednictvím tohoto protokolu. Toto je prakticky jediné a úplné řešení tohoto problému. Všechny ostatní jsou pouze dočasné.
  2. NLA můžete deaktivovat nebo poskytnout přístup ke vzdálenému serveru pomocí takzvané nezabezpečené verze CredSSP.

Jak můžete přestat používat NLA? Je třeba dodržet následující kroky:

  1. Projděte ovládacím panelem ke všem prvkům a poté k systému.
  2. Otevřete okno „Vlastnosti“ a přejděte na kartu „Vzdálený přístup“.
  3. Úplně dole můžete vidět řádek, který začíná slovy „Povolit připojení pouze z počítačů...“. Zrušte zaškrtnutí políčka vedle něj.