Rdp windows 7 táto funkcia nie je podporovaná. Vyskytla sa chyba overenia

Microsoft 13. marca zverejnil popis zraniteľnosti CVE-2018-0886 v autentifikačnom protokole CredSSP, ktorý sa používa najmä pri pripájaní cez RDP k terminálovým serverom. Microsoft neskôr zverejnil, že bude blokovať pripojenia k neopraveným serverom, ktoré majú túto zraniteľnosť. V dôsledku toho sa mnohí zákazníci stretli s problémami s pripojením cez RDP.

Konkrétne v systéme Windows 7 sa môže zobraziť chyba: "Vyskytla sa chyba overenia. Zadaná funkcia nie je podporovaná"
V systéme Windows 10 je chyba opísaná podrobnejšie, najmä hovorí: „Chyba môže byť spôsobená opravou šifrovania CredSSP“:


Ak chcete obísť chybu na strane klienta, mnohí odporúčajú vypnúť skupinovú politiku nastavením hodnoty Šifrovanie Oracle Remediation V Zraniteľný:
pomocou gpedit.msc v časti Konfigurácia počítača / Šablóny pre správu / Systém / Prenos poverení, vľavo vyberte „Fixing the encryption oracle vulnerability“ (samozrejme vtipný preklad), v nastaveniach nastavte „Enabled“ a vyberte „Leave vulnerability“ .


alebo cez registratúru (keďže napr. v Windows Homežiadny príkaz gpedit.msc):

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2


ALE! Nie je potrebné to robiť! Pretože Zanecháte tak zraniteľnosť a riziko zachytenia vašej prevádzky a iných dôverných údajov vrátane hesiel. Jediný čas, kedy to môže byť potrebné, je vtedy, keď nemáte žiadny iný spôsob pripojenia k vzdialenému serveru okrem RDP na inštaláciu aktualizácií (hoci každý poskytovateľ cloudu by mal mať možnosť pripojiť sa ku konzole servera). Ihneď po inštalácii aktualizácií je potrebné vrátiť politiky do pôvodného stavu.

Ak máte prístup k vzdialenému serveru, ako dočasné opatrenie môžete zakázať požiadavku NLA (Network Level Authentication) a server prestane používať CredSSP. Ak to chcete urobiť, prejdite na Vlastnosti systému, na karte Vzdialené pripojenia zrušte začiarknutie políčka „Povoliť pripojenia iba z počítačov so vzdialenou pracovnou plochou s overením na úrovni siete“:

Ale to je tiež nesprávny prístup.

Správny prístup je len nainštalovať potrebné aktualizácie do operačného systému, ktoré ukončia zraniteľnosť CVE-2018-0886 v CredSSP, a to servera, ku ktorému sa pripájate, aj klienta, z ktorého sa pripájate.

Zoznam aktualizácií pre všetky operačné systémy, počnúc Windows 7 a Windows Server 2008 k dispozícii na: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Vyberte požadovanú verziu operačného systému, stiahnite si príslušnú aktualizáciu z katalógu, nainštalujte a reštartujte. Potom by mala chyba zmiznúť.
Napríklad v systéme Windows Server 2016 bude odkaz na stiahnutie vyzerať takto:

Obsah článku:

Po 8. máji 2018 sa mnohí používatelia operačných systémov Windows stretli s problémom, pri ktorom sa im pri pokuse o prihlásenie do iného počítača so systémom Windows cez vzdialenú plochu (alebo pomocou vzdialenej aplikácie) zobrazila nasledujúca chyba:

Vyskytla sa chyba overenia.
Zadaná funkcia nie je podporovaná
Chyba môže byť spôsobená opravou šifrovania CredSSP.

všeobecné informácie

Snímka obrazovky s textom chyby

V tomto článku sa pozrieme na 3 spôsoby, ako túto chybu opraviť. Prvá metóda je najsprávnejšia a je to, čo by ste mali použiť, ak narazíte na tento problém. Druhá a tretia metóda, aj keď vám umožňujú odstrániť chybu, by sa mala používať iba vtedy, ak nie je možné nainštalovať opravu.

Metóda 1: Nainštalujte aktualizáciu na opravu šifrovania CreedSSP

Príčinou tejto chyby je chýbajúca aktualizácia CVE-2018-0886 na strane servera alebo v počítači, ku ktorému sa pokúšate pripojiť pomocou vzdialenej pracovnej plochy (RDP). Ak to chcete odstrániť, jednoducho nainštalujte túto aktualizáciu do počítača, ktorý funguje ako server. Aktualizáciu pre požadovanú verziu operačného systému si môžete stiahnuť pomocou odkazov nižšie:

Metóda 2: Zakážte upozornenie na chybu šifrovania CreedSSP prostredníctvom skupinovej politiky

Ak z nejakého dôvodu nie je možné nainštalovať aktualizácie, môžete toto upozornenie na chybu vypnúť. Aby sme to dosiahli, na počítači, ktorý funguje ako klient, vykonáme nasledujúce akcie:

Metóda 3: Zakážte upozornenie na chybu šifrovania CreedSSP úpravou databázy Registry

V prípade, že vo vašom Windows vydanie neexistuje žiadny editor skupinovej politiky (napríklad Windows 10 Home), potom budete musieť vykonať potrebné zmeny v registri manuálne. Aby sme to dosiahli, na počítači, ktorý funguje ako klient, vykonáme nasledujúce akcie:

  1. Otvorte editor databázy Registry a prejdite na nasledujúcu cestu: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
  2. Hľadá sa parameter DWORD oprávnený AllowEncryptionOracle a nastavte hodnotu 2 . Ak takýto parameter neexistuje, vytvorte ho.
  3. Reštartujte počítač

Pre tých, ktorí sa nechcú zaoberať registrom, stačí spustiť príkaz uvedený nižšie príkazový riadok s právami správcu:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Po nainštalovaní májových aktualizácií zabezpečenia (z 8. mája 2018 na platformách Windows 7/8/10 a serverových platformách na Windows Server 2008 R2 / 2012 R2 / 2016) používatelia nezískajú prístup k vzdialenému počítaču cez RDP a RemoteApp a ďalšia chyba:

Snímka obrazovky: Chybové okno CredSSP po vytvorení pripojenia RDP k serveru z klientskeho počítača.

Začiatkom jari 2018 spoločnosť Microsoft vydala aktualizáciu, ktorá zabránila vzdialené vykonávanie kód využívajúci zraniteľnosť v protokole CredSSP a v máji bola vydaná aktualizácia, po inštalácii ktorej je štandardne zakázané klientske stroje pripájať sa k vzdialeným RDP serverom so zraniteľnou verziou protokolu CredSSP. Ak sú teda jarné aktualizácie nainštalované na klientoch, ale nie sú nainštalované na serveroch s operačným systémom Windows Server, pri pripájaní sa zobrazí chyba:

"Vyskytla sa chyba overenia. Zadaná funkcia nie je podporovaná. Chyba môže byť spôsobená opravou CredSSP."

Alebo anglická verzia:

"Mohlo by to byť spôsobené opravou šifrovania CredSSP."

Po inštalácii aktualizácií zabezpečenia sa zobrazí chyba klienta RDP:

  • Windows 7 / Windows Server 2008 R2 - aktualizácia KB4103718
  • Windows 8.1 / Windows Server 2012 R2 - aktualizácia KB4103725
  • Windows 10 1803 - aktualizácia KB4103721
  • Windows 10 1709 - aktualizácia KB4103727
  • Windows 10 1703 - aktualizácia KB4103731
  • Windows 10 1609 - aktualizácia KB4103723
  • Windows Server 2016 – aktualizácia KB4103723

Ak chcete obnoviť pripojenie, stačí odinštalovať vyššie uvedené aktualizácie, ale táto akcia otvorí nájdenú zraniteľnosť, takže akčný plán na vyriešenie problému bude nasledujúci:

  1. Dočasne odstránime bezpečnostné upozornenie, ktoré blokuje pripojenie na počítači, z ktorého sa pripájame cez RDP;
  2. Pripojme sa k nemu cez už obnovené pripojenie RDP a nainštalujte potrebnú bezpečnostnú záplatu;
  3. Vráťme späť bezpečnostné upozornenie, ktoré bolo dočasne zakázané v prvom bode akčného plánu.
  • Otvorte editor lokálnej skupinovej politiky: Štart - Spustiť - gpedit.msc;
  • Prejdite do časti Konfigurácia počítača - Šablóny pre správu - Systém - Delegovanie poverení - angličtina;
  • Nájdeme politiku s názvom Encryption Oracle Remediation. Povoľte zásadu Povolené a v rozbaľovacom zozname vyberte možnosť Ponechať zraniteľnosť.

Snímka obrazovky: Povolenie možnosti GPO – oprava zraniteľnosti systému Oracle Encryption
  • Zostáva len aktualizovať politiky v počítači (ak to chcete urobiť, otvorte Cmd a použite príkaz gpupdate/force) a skúste sa pripojiť cez RDP. Keď je politika povolená, klientske aplikácie, ktoré podporujú CredSSP, sa budú môcť pripojiť dokonca aj k serverom vzdialenej pracovnej plochy bez záplat.

Ak toto domáci počítač Ak máte stiahnutú verziu systému Windows a nemáte prístup ku konzole Local Group Policy, nezáleží na tom, použijeme editor databázy Registry (Regedit). Spustíme to a nasledujeme cestu:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

a nastavte hodnotu parametra AllowEncryptionOracle na 2 (0x00000002).

Potom si musíte stiahnuť a nainštalovať aktualizácie zabezpečenia vhodné pre váš systém (pre vaše pohodlie uverejňujem priame odkazy na aktualizácie pre Windows Server, ktoré dôrazne odporúčam nainštalovať):

  • Windows Server 2016 / Windows 10 1607 - KB4103723
  • Windows Server 2012 R2 / Windows 8 -

Po nainštalovaní aktualizácie KB4103718 na môj počítač so systémom Windows 7 sa nemôžem vzdialene pripojiť k serveru so systémom Windows Server 2012 R2 prostredníctvom protokolu RDP. Po zadaní adresy servera RDP v okne klienta mstsc.exe a kliknutí na tlačidlo „Pripojiť“ sa zobrazí chyba:

Pripojenie vzdialenej pracovnej plochy

Vyskytla sa chyba overenia.

Zadaná funkcia nie je podporovaná.
Vzdialený počítač: názov počítača

Po odinštalovaní aktualizácie KB4103718 a reštartovaní počítača začalo pripojenie RDP fungovať dobre. Ak tomu dobre rozumiem, je to len dočasné riešenie, budúci mesiac príde nový balík kumulatívnej aktualizácie a chyba sa vráti? Viete niečo odporučiť?

Odpoveď

Máte úplnú pravdu, že je zbytočné problém riešiť, pretože tým vystavujete svoj počítač riziku zneužitia rôznych zraniteľností, ktoré sú kryté záplatami v tejto aktualizácii.

Vo svojom probléme nie ste sami. Táto chyba sa môže objaviť na ktorejkoľvek operačnej sále systém Windows alebo Windows Server (nielen Windows 7). Pre používateľov angličtiny Verzie systému Windows 10, pri pokuse o pripojenie k serveru RDP/RDS podobná chyba vyzerá takto:

Vyskytla sa chyba overenia.

Požadovaná funkcia nie je podporovaná.

Vzdialený počítač: názov počítača

Chyba RDP „Vyskytla sa chyba overenia“ sa môže objaviť aj pri pokuse o spustenie aplikácií RemoteApp.

Prečo sa to deje? Faktom je, že váš počítač má najnovšie bezpečnostné aktualizácie (vydané po máji 2018), ktoré opravujú vážnu zraniteľnosť v protokole CredSSP (Credential Security Support Provider) používanom na autentifikáciu na serveroch RDP (CVE-2018-0886) (odporúčam prečítať článok). Na strane servera RDP / RDS, ku ktorému sa pripájate z počítača, však tieto aktualizácie nie sú nainštalované a pre prístup RDP je povolený protokol NLA (Network Level Authentication). Protokol NLA využíva mechanizmy CredSSP na predbežnú autentifikáciu používateľov prostredníctvom protokolu TLS/SSL alebo Kerberos. Váš počítač kvôli novým nastaveniam zabezpečenia zavedeným aktualizáciou, ktorú ste nainštalovali, jednoducho zablokuje pripojenie k vzdialený počítač, ktorý používa zraniteľnú verziu CredSSP.

Čo môžete urobiť na odstránenie tejto chyby a pripojenie k serveru RDP?

  1. Väčšina správne spôsob riešenia problému - inštalácia najnovšie aktualizácie Zabezpečenie systému Windows na počítači/serveri, ku ktorému sa pripájate cez RDP;
  2. Dočasný spôsob 1 . Môžete zakázať overenie na úrovni siete (NLA) na strane servera RDP (popísané nižšie);
  3. Dočasný spôsob 2 . Na strane klienta môžete povoliť pripojenia k serverom RDP s nezabezpečenou verziou CredSSP, ako je popísané v článku prepojenom vyššie. Ak to chcete urobiť, musíte zmeniť kľúč databázy Registry AllowEncryptionOracle(príkaz REG ADD
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) alebo zmeňte nastavenia miestna politika Šifrovanie Oracle Remediation/ Opravte zraniteľnosť šifrovania oracle), nastavenie jej hodnoty = Zraniteľné / Ponechajte zraniteľnosť).

    Toto je jediný spôsob prístupu k vzdialenému serveru cez RDP, ak nemáte možnosť prihlásiť sa na server lokálne (cez konzolu ILO, virtuálny prístroj, cloudové rozhranie atď.). V tomto režime sa budete môcť pripojiť k vzdialenému serveru a nainštalovať aktualizácie zabezpečenia, čím prejdete na odporúčaný spôsob 1. Po aktualizácii servera nezabudnite zakázať politiku alebo vrátiť hodnotu kľúča AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Zakázanie NLA pre RDP v systéme Windows

Ak je NLA povolená na strane servera RDP, ku ktorému sa pripájate, znamená to, že CredSPP sa používa na predbežnú autentifikáciu používateľa RDP. Overenie na úrovni siete môžete zakázať vo vlastnostiach systému na karte Vzdialený prístup (Diaľkové ovládanie) zrušením začiarknutia políčka „Povoliť pripojenie iba z počítačov so vzdialenou pracovnou plochou s overením na úrovni siete (odporúča sa)“ (Windows 10 / Windows 8).

V systéme Windows 7 sa táto možnosť nazýva inak. Na karte Vzdialený prístup musíte vybrať možnosť " Povoliť pripojenia z počítačov s akoukoľvek verziou vzdialenej pracovnej plochy (nebezpečné)/ Povoliť pripojenia z počítačov s akoukoľvek verziou vzdialenej pracovnej plochy (menej bezpečné)“.

Môžete tiež zakázať autentifikáciu na úrovni siete (NLA) pomocou lokálneho editora skupinové pravidlá - gpedit.msc(vo Windowse 10 Home je možné spustiť editor zásad gpedit.msc) alebo pomocou konzoly na správu zásad domény – GPMC.msc. Ak to chcete urobiť, prejdite do sekcie Konfigurácia počítača –> Šablóny pre správu –> KomponentyWindows–> Služby vzdialenej pracovnej plochy – Hostiteľ relácie vzdialenej pracovnej plochy –> Zabezpečenie(Konfigurácia počítača –> Šablóny pre správu –> Komponenty systému Windows –> Služby vzdialenej pracovnej plochy – Hostiteľ relácie vzdialenej pracovnej plochy –> Zabezpečenie), vypnúť politika (Vyžadovať overenie používateľa pre vzdialené pripojenia pomocou overenia na úrovni siete).

Potrebné aj v politike“ Vyžadovať použitie špeciálnej úrovne zabezpečenia pre vzdialené pripojenia cez protokol RDP» (Vyžadovať použitie špecifickej bezpečnostnej vrstvy pre vzdialené pripojenia (RDP)) vyberte Security Layer - PRV.

Ak chcete použiť nové nastavenia RDP, musíte aktualizovať zásady (gpupdate /force) alebo reštartovať počítač. Potom by ste sa mali úspešne pripojiť k serveru vzdialenej pracovnej plochy.

Majitelia OS Windows vedia, že vývojár poskytuje povinnú podporu pre svoje operačné systémy na určitý čas. Najčastejšie je to preto, že Microsoft pravidelne vydáva aktualizácie, ktoré buď automaticky, resp manuálny mód prenesené do počítača a tam nainštalované.

Bohužiaľ to niekedy vedie k nie najlepším následkom. Áno, takéto aktualizácie riešia určité problémy, no niekedy vytvárajú nové.

Napríklad inštalácia balíka KB4103718 podľa pozorovaní mnohých používateľov vedie k tomu, že pokus o pripojenie k serveru pomocou vzdialenej plochy RPR nefunguje, ale na obrazovke sa zobrazí iba správa: počas autentifikácia - špecifikovaná funkcia nie je podporovaná.

To prirodzene nemôže vyhovovať človeku, ktorý je tak ochudobnený o niektoré funkcie, ktoré sú pre neho potrebné a veľmi dôležité. Čo mám robiť? Samozrejme - opraviť.

Ak teda overenie RDP systému Windows 7 zlyhalo, najjednoduchším riešením by bolo vrátiť sa k aktualizácii operačného systému a nedávno odinštalovať nainštalované balíky. Ako ukazuje prax, táto akcia stačí na to, aby ste sa zbavili zlyhania.

Je pravda, že existuje niekoľko „ale“:

  • Nabudúce automatická aktualizácia všetko sa vráti.
  • Ak zabránite systému Windows spúšťať takúto funkciu, potom operačný systém sa môže ukázať ako mimoriadne zraniteľný, pretože nebude schopný prijímať najdôležitejšie ochranné opatrenia od vývojárov.

Preto treba hľadať alternatívne riešenia. Skúsení používatelia na otázku „Vyskytla sa chyba overenia“ - ako ju opraviť, odporúčajú nasledujúce akcie:

  1. Nainštalujte všetky najdôležitejšie, najnovšie aktualizačné balíčky nielen na svoje zariadenie, ale aj na počítač a server, ku ktorému sa používateľ plánuje vzdialene pripojiť pomocou tohto protokolu. Toto je prakticky jediné a úplné riešenie tohto problému. Všetky ostatné sú len dočasné.
  2. Môžete deaktivovať NLA alebo poskytnúť prístup na vzdialený server pomocou takzvanej nezabezpečenej verzie CredSSP.

Ako môžete prestať používať NLA? Je potrebné dodržať nasledujúce kroky:

  1. Prejdite ovládacím panelom ku všetkým prvkom a potom k systému.
  2. Otvorte okno „Vlastnosti“ a prejdite na kartu „Vzdialený prístup“.
  3. Úplne dole môžete vidieť riadok, ktorý začína slovami „Povoliť pripojenia iba z počítačov...“. Zrušte začiarknutie políčka vedľa neho.