Rdp Windows 7 ova funkcija nije podržana. Došlo je do greške pri autentifikaciji

Microsoft je 13. ožujka objavio opis ranjivosti CVE-2018-0886 u CredSSP autentifikacijskom protokolu, koji se posebno koristi pri povezivanju putem RDP-a s terminalnim poslužiteljima. Microsoft je kasnije objavio da će blokirati veze s nezakrpanim poslužiteljima koji imaju ovu ranjivost. Zbog toga su mnogi korisnici naišli na probleme pri povezivanju putem RDP-a.

Točnije, u sustavu Windows 7 možete vidjeti pogrešku: "Došlo je do pogreške pri autentifikaciji. Navedena značajka nije podržana"
U sustavu Windows 10 pogreška je detaljnije opisana, posebno se kaže "Pogreška može biti uzrokovana popravkom CredSSP enkripcije":


Da biste zaobišli pogrešku na strani klijenta, mnogi savjetuju da onemogućite grupnu politiku postavljanjem vrijednosti Enkripcija Oracle Remediation V Ranjiv:
koristeći gpedit.msc u Computer Configuration / Administrative Templates / System / Transfer of credentials, s lijeve strane odaberite “Fixing the encryption oracle vulnerability” (smiješan prijevod, naravno), postavite “Enabled” u postavkama i odaberite “Leave vulnerability” .


ili preko registra (budući da je npr. u Windows početna nema naredbe gpedit.msc):

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2


ALI! Nema potrebe za ovim! Jer Time ostavljate ranjivost i rizike od presretanja vašeg prometa i drugih povjerljivih podataka, uključujući lozinke. Jedini put kada bi ovo moglo biti potrebno je kada uopće nemate drugog načina za povezivanje s udaljenim poslužiteljem osim putem RDP-a za instaliranje ažuriranja (iako bi svaki pružatelj usluga oblaka trebao imati mogućnost povezivanja s konzolom poslužitelja). Odmah nakon instaliranja ažuriranja, pravila se moraju vratiti u izvorno stanje.

Ako imate pristup udaljenom poslužitelju, tada, kao privremenu mjeru, možete onemogućiti NLA (Network Level Authentication) zahtjev, a poslužitelj će prestati koristiti CredSSP. Da biste to učinili, samo idite na Svojstva sustava, na kartici Udaljene veze, poništite odgovarajući okvir "Dopusti veze samo s računala koja pokreću udaljenu radnu površinu s provjerom autentičnosti na razini mreže":

Ali ovo je također pogrešan pristup.

Ispravan pristup je samo instalirati potrebna ažuriranja na operativni sustav koji zatvaraju ranjivost CVE-2018-0886 u CredSSP-u, kako onaj poslužitelj na koji se povezujete tako i onaj klijent s kojeg se povezujete.

Popis ažuriranja za sve operativne sustave, počevši od Windows 7 i Windows poslužitelj 2008. dostupno na: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Odaberite željenu verziju operativnog sustava, preuzmite odgovarajuće ažuriranje iz kataloga, instalirajte i ponovno pokrenite sustav. Nakon toga, greška bi trebala nestati.
Na primjer, na Windows Serveru 2016 poveznica za preuzimanje bit će ovakva:

Sadržaj članka:

Nakon 8. svibnja 2018. mnogi korisnici Windows operativnih sustava susreli su se s problemom pri čemu su pri pokušaju prijave na drugo Windows računalo putem udaljene radne površine (ili korištenjem remoteapp-a) dobili sljedeću pogrešku:

Došlo je do greške pri autentifikaciji.
Navedena funkcija nije podržana
Pogrešku može uzrokovati popravak CredSSP enkripcije.

opće informacije

Snimka zaslona s tekstom pogreške

U ovom ćemo članku pogledati 3 načina za ispravljanje ove pogreške. Prva metoda je najispravnija i treba je koristiti ako naiđete na ovaj problem. Druga i treća metoda, iako vam omogućuju uklanjanje pogreške, trebaju se koristiti samo ako nije moguće instalirati zakrpu.

Metoda 1: Instalirajte ažuriranje za popravak CreedSSP enkripcije

Uzrok ove pogreške je nedostatak ažuriranja CVE-2018-0886 na strani poslužitelja ili na računalu s kojim se pokušavate povezati pomoću udaljene radne površine (RDP). Da biste ga uklonili, jednostavno instalirajte ovo ažuriranje na računalo koje djeluje kao poslužitelj. Ažuriranje za potrebnu verziju OS-a možete preuzeti pomoću donjih veza:

Metoda 2: Onemogućite obavijest o pogrešci enkripcije CreedSSP putem pravila grupe

Ako je iz nekog razloga nemoguće instalirati ažuriranja, možete onemogućiti ovu obavijest o pogrešci. Da bismo to učinili, na računalu koje djeluje kao klijent provodimo sljedeće radnje:

Metoda 3: Onemogućite obavijest o pogrešci enkripcije CreedSSP uređivanjem registra

U slučaju da u vašem Windows izdanje nema uređivača pravila grupe (na primjer, Windows 10 Home), tada ćete morati ručno izvršiti potrebne promjene u registru. Da bismo to učinili, na računalu koje djeluje kao klijent provodimo sljedeće radnje:

  1. Otvorite uređivač registra i idite na sljedeću stazu: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
  2. Tražim parametar DWORD pod naslovom AllowEncryptionOracle, i postavite vrijednost 2 . Ako ne postoji takav parametar, stvorite ga.
  3. Ponovno pokrenite računalo

Za one koji se ne žele petljati s registrom, samo pokrenite naredbu u nastavku naredbeni redak sa administratorskim pravima:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Nakon instaliranja svibanjskih sigurnosnih ažuriranja (od 8. svibnja 2018. na Windows 7/8/10 platformama i poslužiteljskim platformama na Windows Server 2008 R2 / 2012 R2 / 2016), korisnici ne dobivaju pristup udaljenom računalu putem RDP-a i RemoteApp-a, a sljedeća greška:

Snimka zaslona: prozor pogreške CredSSP-a nakon uspostavljanja RDP veze s poslužiteljem s klijentskog računala.

Početkom proljeća 2018. Microsoft je objavio ažuriranje koje je spriječilo daljinsko izvršenje kod koristeći ranjivost u CredSSP protokolu, a u svibnju je objavljeno ažuriranje nakon čije instalacije je prema zadanim postavkama klijentskim strojevima zabranjeno spajanje na udaljene RDP poslužitelje s ranjivom verzijom CredSSP protokola. Sukladno tome, ako su proljetna ažuriranja instalirana na klijentima, ali nisu instalirana na poslužiteljima s operativnim sustavom Windows Server, tada ćemo dobiti pogrešku prilikom povezivanja:

"Došlo je do pogreške pri autentifikaciji. Navedena funkcija nije podržana. Pogrešku može uzrokovati popravak CredSSP-a."

Ili engleska verzija:

"To bi moglo biti zbog popravka CredSSP enkripcije oracle."

Pogreška RDP klijenta pojavljuje se nakon instaliranja sigurnosnih ažuriranja:

  • Windows 7 / Windows Server 2008 R2 - ažuriranje KB4103718
  • Windows 8.1 / Windows Server 2012 R2 - ažuriranje KB4103725
  • Windows 10 1803 - ažuriranje KB4103721
  • Windows 10 1709 - ažuriranje KB4103727
  • Windows 10 1703 - ažuriranje KB4103731
  • Windows 10 1609 - ažuriranje KB4103723
  • Windows Server 2016 - ažuriranje KB4103723

Da biste vratili vezu, možete jednostavno deinstalirati gore navedena ažuriranja, ali ova radnja će otvoriti pronađenu ranjivost, tako da će akcijski plan za rješavanje problema biti sljedeći:

  1. Privremeno ćemo ukloniti sigurnosnu obavijest koja blokira vezu na računalu s kojeg se povezujemo putem RDP-a;
  2. Spojimo se na njega preko već obnovljene RDP veze i instalirajmo potrebnu sigurnosnu zakrpu;
  3. Vratimo sigurnosnu obavijest koja je privremeno onemogućena u prvoj točki akcijskog plana.
  • Otvorite uređivač pravila lokalne grupe: Start - Pokreni - gpedit.msc;
  • Idite na odjeljak Konfiguracija računala - Administrativni predlošci - Sustav - Delegiranje vjerodajnica - engleski;
  • Nalazimo pravilo pod nazivom Encryption Oracle Remediation. Omogućite pravilo Omogućeno i odaberite Ostavi ranjivo kao opciju na padajućem popisu;

Snimka zaslona: Omogućivanje opcije GPO - popravljanje ranjivosti enkripcije Oracle
  • Ostaje samo ažurirati pravila na računalu (za to otvorite Cmd i upotrijebite naredbu gpupdate/force) i pokušajte se spojiti putem RDP-a. Kada je pravilo omogućeno, klijentske aplikacije koje podržavaju CredSSP moći će se povezati čak i s nezakrpanim poslužiteljima udaljene radne površine.

Ako ovo kućno računalo Ako imate skraćenu verziju Windowsa i nemate pristup konzoli pravila lokalne grupe, nema veze, koristit ćemo uređivač registra (Regedit). Pokrenimo ga i slijedimo put:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

i postavite vrijednost parametra AllowEncryptionOracle na 2 (0x00000002).

Zatim trebate preuzeti i instalirati sigurnosna ažuriranja prikladna za vaš sustav (radi vaše udobnosti objavljujem izravne poveznice na ažuriranja za Windows Server, čije instaliranje toplo preporučujem):

  • Windows Server 2016 / Windows 10 1607 - KB4103723
  • Windows Server 2012 R2 / Windows 8 -

Nakon instaliranja ažuriranja KB4103718 na moje računalo sa sustavom Windows 7, ne mogu se daljinski povezati s poslužiteljem koji pokreće Windows Server 2012 R2 putem RDP-a. Nakon što navedem adresu RDP poslužitelja u prozoru klijenta mstsc.exe i kliknem "Poveži", pojavljuje se pogreška:

Veza s udaljenom radnom površinom

Došlo je do greške pri autentifikaciji.

Navedena funkcija nije podržana.
Udaljeno računalo: naziv računala

Nakon što sam deinstalirao ažuriranje KB4103718 i ponovno pokrenuo računalo, RDP veza počela je dobro funkcionirati. Ako sam dobro shvatio, ovo je samo privremeno rješenje, sljedeći mjesec će stići novi kumulativni paket ažuriranja i pogreška će se vratiti? Možete li nešto preporučiti?

Odgovor

Potpuno ste u pravu da je besmisleno rješavati problem, jer time svoje računalo izlažete riziku od iskorištavanja raznih ranjivosti koje su pokrivene zakrpama u ovom ažuriranju.

Niste sami u svom problemu. Ova greška može se pojaviti u bilo kojoj operacijskoj sali Windows sustav ili Windows Server (ne samo Windows 7). Za korisnike engleskog jezika Windows verzije 10, prilikom pokušaja spajanja na RDP/RDS poslužitelj, slična pogreška izgleda ovako:

Došlo je do greške pri autentifikaciji.

Tražena funkcija nije podržana.

Udaljeno računalo: naziv računala

RDP pogreška "Došlo je do pogreške pri autentifikaciji" također se može pojaviti prilikom pokušaja pokretanja RemoteApp aplikacija.

Zašto se ovo događa? Činjenica je da vaše računalo ima najnovija sigurnosna ažuriranja (objavljena nakon svibnja 2018.), koja ispravljaju ozbiljnu ranjivost u protokolu CredSSP (Credential Security Support Provider) koji se koristi za autentifikaciju na RDP poslužiteljima (CVE-2018-0886) (preporučam da pročitate članak). Međutim, na strani RDP / RDS poslužitelja na koji se povezujete sa svog računala, ove nadogradnje nisu instalirane, a NLA (Network Level Authentication) protokol je omogućen za RDP pristup. NLA protokol koristi mehanizme CredSSP za prethodnu autentifikaciju korisnika putem TLS/SSL-a ili Kerberosa. Vaše računalo, zbog novih sigurnosnih postavki uvedenih ažuriranjem koje ste instalirali, jednostavno blokira vezu s udaljeno računalo, koji koristi ranjivu verziju CredSSP-a.

Što možete učiniti da popravite ovu pogrešku i povežete se sa svojim RDP poslužiteljem?

  1. Najviše ispraviti način rješavanja problema - instalacija najnovija ažuriranja Windows sigurnost na računalu/poslužitelju s kojim se povezujete putem RDP-a;
  2. Privremena metoda 1 . Možete onemogućiti mrežnu provjeru autentičnosti (NLA) na strani RDP poslužitelja (opisano u nastavku);
  3. Privremena metoda 2 . Na strani klijenta možete dopustiti veze s RDP poslužiteljima s nesigurnom verzijom CredSSP-a, kao što je opisano u članku s gornjom vezom. Da biste to učinili, morate promijeniti ključ registra AllowEncryptionOracle(REG ADD naredba
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) ili promijenite postavke lokalna politika Enkripcija Oracle Remediation/ Popravi ranjivost enkripcije Oracle), postavljanje njegove vrijednosti = Ranjivo / Ostavi ranjivost).

    Ovo je jedini način pristupa udaljenom poslužitelju putem RDP-a ako nemate mogućnost lokalne prijave na poslužitelj (putem ILO konzole, virtualni stroj, sučelje u oblaku itd.). U ovom načinu rada moći ćete se spojiti na udaljeni poslužitelj i instalirati sigurnosna ažuriranja, čime prelazite na preporučenu metodu 1. Nakon ažuriranja poslužitelja, ne zaboravite onemogućiti pravilo ili vratiti vrijednost ključa AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Onemogućavanje NLA za RDP u sustavu Windows

Ako je NLA omogućen na strani RDP poslužitelja na koji se povezujete, to znači da se CredSPP koristi za prethodnu provjeru autentičnosti RDP korisnika. Autentifikaciju na mrežnoj razini možete onemogućiti u svojstvima sustava na kartici Udaljeni pristup (Daljinski) , poništavajući potvrdni okvir "Dopusti vezu samo s računala koja koriste udaljenu radnu površinu s provjerom autentičnosti na mrežnoj razini (preporučeno)" (Windows 10 / Windows 8).

U sustavu Windows 7 ova se opcija naziva drugačije. Na kartici Udaljeni pristup trebate odabrati opciju " Dopusti veze s računala koja pokreću bilo koju verziju udaljene radne površine (opasno)/ Dopusti veze s računala s bilo kojom verzijom udaljene radne površine (manje sigurno)".

Također možete onemogućiti mrežnu provjeru autentičnosti (NLA) pomoću lokalnog uređivača pravila grupe - gpedit.msc(u Windows 10 Home se može pokrenuti uređivač pravila gpedit.msc) ili pomoću konzole za upravljanje politikama domene - GPMC.msc. Da biste to učinili, idite na odjeljak Konfiguracija računala –> Administrativni predlošci –> KomponenteWindows–> Usluge udaljene radne površine – Domaćin sesije udaljene radne površine –> Sigurnost(Konfiguracija računala –> Administrativni predlošci –> Komponente sustava Windows –> Usluge udaljene radne površine – Host sesije udaljene radne površine –> Sigurnost), isključiti pravilo (Zahtijevaj provjeru autentičnosti korisnika za udaljene veze pomoću provjere autentičnosti na mrežnoj razini).

Potreban i u politici" Zahtijevati korištenje posebne sigurnosne razine za daljinske veze preko RDP protokola» (Zahtijeva korištenje specifičnog sigurnosnog sloja za udaljene (RDP) veze) odaberite Sigurnosni sloj - RDP.

Da biste primijenili nove RDP postavke, morate ažurirati pravila (gpupdate /force) ili ponovno pokrenuti računalo. Nakon toga trebali biste se uspješno spojiti na poslužitelj udaljene radne površine.

Vlasnici Windows OS-a znaju da programer određeno vrijeme pruža obaveznu podršku za svoje operativne sustave. Najčešće je to zato što Microsoft povremeno izdaje ažuriranja koja automatski ili ručni mod prebačen na računalo i tamo instaliran.

Nažalost, ponekad to dovodi do ne najboljih posljedica. Da, takva ažuriranja rješavaju određene probleme, ali ponekad stvaraju nove.

Na primjer, instaliranje paketa KB4103718, prema zapažanjima mnogih korisnika, dovodi do činjenice da pokušaj povezivanja s poslužiteljem pomoću udaljene radne površine RPR ne funkcionira, već samo uzrokuje poruku na zaslonu: došlo je do pogreške tijekom provjera autentičnosti - navedena funkcija nije podržana.

Naravno, to ne može odgovarati osobi koja je na taj način lišena neke od funkcionalnosti koje su mu potrebne, a vrlo su važne. Što da napravim? Naravno – popraviti.

Dakle, ako RDP provjera autentičnosti sustava Windows 7 nije uspjela, tada bi najlakše rješenje bilo vratiti se na ažuriranje operativnog sustava i nedavno deinstalirati instaliranih paketa. Kao što praksa pokazuje, ova radnja je sasvim dovoljna da se riješi kvara.

Istina, postoji nekoliko "ali":

  • Sljedeći put automatsko ažuriranje sve će se vratiti.
  • Ako spriječite Windows da pokreće takve funkcije, onda operacijski sustav može se pokazati iznimno ranjivim, budući da neće moći primiti najvažnije zaštitne razvojne programere.

Stoga, trebate pogledati alternativna rješenja. Iskusni korisnici, na pitanje "Došlo je do pogreške pri autentifikaciji" - kako to popraviti, preporučuju sljedeće radnje:

  1. Instalirajte sve najvažnije, najnovije pakete ažuriranja ne samo na svoju opremu, već i na računalo i poslužitelj na koji se korisnik planira daljinski spojiti putem ovog protokola. To je praktički jedino i potpuno rješenje ovog problema. Svi ostali su samo privremeni.
  2. Možete deaktivirati NLA ili omogućiti pristup udaljenom poslužitelju s takozvanom nesigurnom verzijom CredSSP-a.

Kako možete prestati koristiti NLA? Moraju se slijediti sljedeći koraci:

  1. Prođite kroz upravljačku ploču do svih elemenata, zatim do sustava.
  2. Otvorite prozor "Svojstva" i idite na karticu "Udaljeni pristup".
  3. Na samom dnu možete vidjeti redak koji počinje riječima "Dopusti veze samo s računala...". Poništite okvir pokraj njega.