Rdp windows 7 ko'rsatilgan funksiya qo'llab-quvvatlanmaydi. Haqiqiylikni tekshirishda xatolik yuz berdi

13-mart kuni Microsoft CredSSP autentifikatsiya protokolidagi CVE-2018-0886 zaifligi tavsifini e’lon qildi, u ayniqsa RDP orqali terminal serverlariga ulanishda qo‘llaniladi. Keyinchalik Microsoft zaiflik mavjud bo'lgan yangilanmagan serverlarga ulanishni bloklashini e'lon qildi. Shu munosabat bilan ko'plab mijozlar RDP orqali ulanishda muammolarga duch kelishdi.

Xususan, Windows 7 da siz xatoni ko'rishingiz mumkin: "Autentifikatsiya xatosi yuz berdi. Belgilangan funktsiya qo'llab-quvvatlanmaydi."
Windows 10-da xato batafsilroq tavsiflangan, xususan, "Xato sababi CredSSP shifrlashni tuzatish bo'lishi mumkin":


Xatoni mijoz tomonidan hal qilish uchun ko'pchilik qiymatni belgilash orqali Guruh siyosatini o'chirib qo'yishni maslahat beradi Oracle Remediation shifrlash v Zaif:
gpedit.msc-dan foydalanib, kompyuter konfiguratsiyasi / ma'muriy shablonlar / tizim / hisobga olish ma'lumotlarini uzatish, chap tomonda, "Oracle shifrlash zaifligini tuzatish" ni tanlang (albatta, kulgili tarjima), sozlamalarda "Enabled" ni o'rnating va "Zaiflikni qoldirish" ni tanlang.


yoki ro'yxatga olish kitobi orqali (chunki, masalan, Windows Home-da gpedit.msc buyrug'i yo'q):

REG ADD HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters \ / v AllowEncryptionOracle / t REG_DWORD / d 2


LEKIN! Buni qilishingiz shart emas! Chunki Shunday qilib, siz zaifliklarni va trafikingizni va boshqa maxfiy ma'lumotlarni, jumladan, parollarni ushlab qolish xavfini qoldirasiz. Bu zarur bo'lishi mumkin bo'lgan yagona holat - yangilanishlarni o'rnatish uchun RDP-dan tashqari, masofaviy serverga ulanishning boshqa usuli bo'lmaganida (garchi har qanday bulutli provayder server konsoliga ulanishi mumkin bo'lsa ham). Yangilanishlarni o'rnatgandan so'ng darhol siyosatlar asl holatiga qaytarilishi kerak.

Agar siz masofaviy serverga kirish imkoniga ega bo'lsangiz, vaqtinchalik chora sifatida NLA (Tarmoq darajasidagi autentifikatsiya) talabini o'chirib qo'yishingiz mumkin va server CredSSP-dan foydalanishni to'xtatadi. Buni amalga oshirish uchun "Tizim xususiyatlari" ning "Masofaviy ulanishlar" yorlig'ida "Tarmoq darajasida autentifikatsiya qilingan masofaviy ish stoli bilan ishlaydigan kompyuterlardan ulanishga ruxsat berish" tegishli katagiga belgini olib tashlang:

Biroq, bu ham noto'g'ri yondashuv.

To'g'ri yondashuv, CredSSP-dagi CVE-2018-0886 zaifligini yopish uchun operatsion tizimga kerakli yangilanishlarni o'rnatish, ham ulangan server, ham siz ulangan mijoz.

Windows 7 va Windows Server 2008 bilan boshlangan barcha operatsion tizimlar uchun yangilanishlar roʻyxatini quyidagi manzilda topishingiz mumkin: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Operatsion tizimning kerakli versiyasini tanlang, katalogdan tegishli yangilanishni yuklab oling, o'rnating va qayta yoqing. Shundan so'ng, xato yo'qolishi kerak.
Masalan, Windows Server 2016 da yuklab olish havolasi quyidagicha bo'ladi:

Maqolaning mazmuni:

2018-yil 8-maydan so‘ng Windows operatsion tizimining ko‘plab foydalanuvchilari muammoga duch kelishdi, buning natijasida Windows bilan ishlaydigan boshqa kompyuterga masofaviy ish stoli orqali kirishga harakat qilganda (yoki masofaviy ilovadan foydalanganda) ular quyidagi xatolikka yo‘l qo‘yishdi:

Autentifikatsiya paytida xatolik yuz berdi.
Belgilangan funksiya qo'llab-quvvatlanmaydi.
CredSSP shifrlashni tuzatish xatolik sababi bo'lishi mumkin.

umumiy ma'lumot

Xato matni bilan skrinshot

Ushbu maqolada biz ushbu xatoni tuzatishning 3 usulini ko'rib chiqamiz. Birinchi usul eng to'g'ri va agar siz ushbu muammoga duch kelsangiz, undan foydalanish kerak. Ikkinchi va uchinchi usullar, garchi u xatoni olib tashlashga imkon beradi, faqat yamoqni o'rnatishning hech qanday usuli bo'lmasa ishlatilishi kerak.

1-usul: CreedSSP shifrlashni tuzatish uchun yangilanishni o'rnating

Ushbu xatoning sababi server tomonida yoki masofaviy ish stoli (RDP) yordamida ulanishga harakat qilayotgan kompyuterda CVE-2018-0886 yangilanishining yo'qligi. Buni tuzatish uchun ushbu yangilanishni server vazifasini bajaradigan kompyuterga o'rnatish kifoya. Quyidagi havolalar orqali kerakli OS versiyasi uchun yangilanishni olishingiz mumkin:

2-usul: CreedSSP shifrlash xatosi haqida bildirishnomani guruh siyosati orqali o'chirib qo'ying

Agar biron sababga ko'ra yangilanishlarni o'rnatishning iloji bo'lmasa, ushbu xato xabarnomasini o'chirib qo'yishingiz mumkin. Buning uchun mijoz sifatida ishlaydigan kompyuterda biz quyidagi amallarni bajaramiz:

3-usul: Ro'yxatga olish kitobini tahrirlash orqali CreedSSP shifrlash xatosi haqida xabarnomani o'chirib qo'ying

Agar sizning Windows nashringizda guruh siyosati muharriri (masalan, Windows 10 Home) bo'lmasa, ro'yxatga olish kitobiga kerakli tahrirlarni qo'lda qilishingiz kerak bo'ladi. Buning uchun mijoz sifatida ishlaydigan kompyuterda biz quyidagi amallarni bajaramiz:

  1. Ro'yxatga olish kitobi muharririni oching va quyidagi yo'lga o'ting: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters
  2. Biz parametr qidirmoqdamiz DWORD nom ostida AllowEncryptionOracle, va qiymatni o'rnating 2 ... Agar bunday parametr bo'lmasa, uni yarating.
  3. Kompyuteringizni qayta ishga tushiring

Ro'yxatga olish kitobi bilan aralashishni istamaganlar uchun administrator huquqlari bilan buyruq satrida quyidagi buyruqni bajaring:

REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2

May xavfsizlik yangilanishlarini o'rnatgandan so'ng (2018 yil 8-may kuni Windows 7/8/10 platformalarida va Windows Server 2008 R2 / 2012 R2 / 2016 server platformalarida), foydalanuvchilar RDP va RemoteApp orqali masofaviy qurilmaga kira olmaydilar va quyidagilar sodir bo'ladi. xato:

Skrinshot: mijoz mashinasidan serverga RDP ulanishini amalga oshirgandan so'ng CredSSP xato oynasi.

2018 yil bahorining boshida Microsoft CredSSP protokolidagi zaiflikdan foydalangan holda masofaviy kod bajarilishini oldini oluvchi yangilanishni chiqardi va may oyida yangilanish o'rnatilgandan so'ng chiqarildi, sukut bo'yicha mijoz mashinalariga masofaviy RDP serverlariga ulanishi taqiqlanadi. CredSSP protokolining zaif versiyasi. Shunga ko'ra, agar bahor yangilanishlari mijozlarga o'rnatilgan bo'lsa, lekin Windows Server bilan ishlaydigan serverlarda o'rnatilmagan bo'lsa, u holda biz ulanishda xatoga duch kelamiz:

“Autentifikatsiya qilishda xatolik yuz berdi. Belgilangan funksiya qo'llab-quvvatlanmaydi. CredSSP tuzatish xatoga sabab bo'lishi mumkin.

Yoki inglizcha versiyasi:

"Bu CredSSP shifrlash oracle remediatsiyasi tufayli bo'lishi mumkin."

RDP mijoz xatosi xavfsizlik yangilanishlarini o'rnatgandan so'ng paydo bo'ladi:

  • Windows 7 / Windows Server 2008 R2 - KB4103718 yangilanishi
  • Windows 8.1 / Windows Server 2012 R2 - KB4103725 yangilanishi
  • Windows 10 1803 - KB4103721 yangilanishi
  • Windows 10 1709 - KB4103727 yangilanishi
  • Windows 10 1703 - KB4103731 yangilanishi
  • Windows 10 1609 - KB4103723 yangilanishi
  • Windows Server 2016 - KB4103723 yangilanishi

Ulanishni tiklash uchun siz shunchaki yuqoridagi yangilanishlarni olib tashlashingiz mumkin, ammo bu harakat topilgan zaiflikni ochadi, shuning uchun muammoni hal qilish bo'yicha harakatlar rejasi quyidagicha bo'ladi:

  1. Biz RDP orqali ulanayotgan kompyuterda ulanishni bloklaydigan xavfsizlik bildirishnomasini vaqtincha olib tashlaymiz;
  2. Keling, allaqachon tiklangan RDP ulanishidan foydalanib, unga ulanamiz va kerakli xavfsizlik yamog'ini o'rnatamiz;
  3. Harakatlar rejasining birinchi bandida vaqtincha o'chirilgan xavfsizlik bildirishnomasini qaytarib olaylik.
  • Mahalliy guruh siyosati muharririni oching: Boshlash - Ishga tushirish - gpedit.msc;
  • Kompyuter konfiguratsiyasi - Ma'muriy shablonlar - Tizim - Hisob ma'lumotlarini topshirish bo'limiga o'ting;
  • Encryption Oracle Remediation Vulnerability Fix nomli siyosatni toping. Yoqilgan siyosatni yoqing, ochiladigan ro'yxatda parametr sifatida Zaif ni tanlang;

Skrinshot: GPO opsiyasini yoqish - Oracle shifrlash zaifligini tuzatish
  • Kompyuterdagi siyosatlarni yangilash qoladi (buni amalga oshirish uchun Cmd-ni oching va gpupdate / force buyrug'ini ishlating) va RDP orqali ulanishga harakat qiling. Siyosat yoqilgan bo'lsa, CredSSP yoqilgan mijoz ilovalari hatto yamalmagan masofaviy ish stoli serverlariga ham ulanishi mumkin bo'ladi.

Agar bu Windows-ning o'chirilgan versiyasiga ega uy kompyuteri bo'lsa va siz mahalliy guruh siyosati konsoliga kirish imkoniga ega bo'lmasangiz, bu muhim emas, biz ro'yxatga olish kitobi muharriridan (Regedit) foydalanamiz. Biz uni ishga tushiramiz va biz yo'ldan boramiz:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters

va AllowEncryptionOracle parametrining qiymatini 2 (0x00000002) ga o'rnating.

Keyinchalik, tizimingizga mos keladigan xavfsizlik yangilanishlarini yuklab olishingiz va o'rnatishingiz kerak (sizga qulaylik yaratish uchun men Windows Server yangilanishlariga to'g'ridan-to'g'ri havolalarni e'lon qilaman, ularni o'rnatishni tavsiya qilaman):

  • Windows Server 2016 / Windows 10 1607 - KB4103723
  • Windows Server 2012 R2 / Windows 8 -

Windows 7 kompyuterimga KB4103718 yangilanishini o'rnatganimdan so'ng, RDP masofaviy ish stoli orqali Windows Server 2012 R2 ishlaydigan serverga masofadan ulana olmayapman. Mtsc.exe mijoz oynasida RDP server manzilini belgilab, "Ulanish" tugmasini bosganimdan so'ng, xato paydo bo'ladi:

Masofaviy ish stoliga ulanish

Haqiqiylikni tekshirishda xatolik yuz berdi.

Belgilangan funksiya qo'llab-quvvatlanmaydi.
Masofaviy kompyuter: kompyuter nomi

KB4103718 yangilanishini olib tashlab, kompyuterimni qayta ishga tushirganimdan so'ng, RDP ulanishi yaxshi ishlay boshladi. Agar men to'g'ri tushungan bo'lsam, bu faqat vaqtinchalik yechim, keyingi oyda yangi yig'ilgan yangilash paketi keladimi va xato qaytadi? Har qanday maslahat?

Javob

Siz mutlaqo haqsiz, muammoni hal qilish befoyda, chunki bu bilan siz kompyuteringizni ushbu yangilanishdagi yamoqlar bilan yopilgan turli zaifliklardan foydalanish xavfiga duchor qilasiz.

Muammoingizda yolg'iz emassiz. Ushbu xato har qanday Windows yoki Windows Server operatsion tizimida paydo bo'lishi mumkin (nafaqat Windows 7). Windows 10 ning inglizcha versiyasi foydalanuvchilari uchun RDP / RDS serveriga ulanishga harakat qilganda, shunga o'xshash xatolik quyidagicha ko'rinadi:

Haqiqiylikni tekshirishda xatolik yuz berdi.

Soʻralgan funksiya qoʻllab-quvvatlanmaydi.

Masofaviy kompyuter: kompyuter nomi

"Autentifikatsiya xatosi yuz berdi" RDP xatosi RemoteApp ilovalarini ishga tushirishga urinayotganda ham paydo bo'lishi mumkin.

Nima uchun bu sodir bo'lmoqda? Gap shundaki, sizning kompyuteringizda RDP serverlarida (CVE-2018-0886) autentifikatsiya qilish uchun foydalaniladigan CredSSP (Kredit maʼlumotlari xavfsizligini qoʻllab-quvvatlash provayderi) protokolidagi jiddiy zaiflikni tuzatuvchi soʻnggi xavfsizlik yangilanishlari (2018-yil may oyidan keyin chiqarilgan) mavjud. Men maqolani o'qishni tavsiya qilaman). Shu bilan birga, siz kompyuteringizdan ulangan RDP / RDS server tomonida ushbu yangilanishlar o'rnatilmagan va RDP kirish uchun NLA protokoli (Tarmoq darajasidagi autentifikatsiya) yoqilgan. NLA foydalanuvchilarni TLS/SSL yoki Kerberos orqali oldindan autentifikatsiya qilish uchun CredSSP mexanizmlaridan foydalanadi. Siz o'rnatgan yangilanish yangi xavfsizlik sozlamalari tufayli kompyuteringiz CredSSP ning zaif versiyasidan foydalanadigan masofaviy kompyuterga ulanishni bloklaydi.

Ushbu xatoni tuzatish va RDP serveringizga ulanish uchun nima qilish mumkin?

  1. Ko'pchilik to'g'ri muammoni hal qilish usuli - RDP orqali ulangan kompyuter / serverga Windowsning eng so'nggi xavfsizlik yangilanishlarini o'rnatish;
  2. Vaqtinchalik usul 1 ... RDP server tomonida Tarmoq darajasidagi autentifikatsiyani (NLA) o'chirib qo'yishingiz mumkin (quyida tasvirlangan);
  3. Vaqtinchalik usul 2 ... Yuqoridagi havoladagi maqolada ta'riflanganidek, mijoz tomonida CredSSP ning xavfli versiyasi bilan RDP serverlariga ulanishga ruxsat berishingiz mumkin. Buning uchun siz ro'yxatga olish kitobi kalitini o'zgartirishingiz kerak AllowEncryptionOracle(REG ADD buyrug'i
    HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) yoki mahalliy siyosat sozlamalarini o'zgartiring Oracle Remediation shifrlash/ Oracle shifrlash zaifligini tuzating) qiymatini belgilash orqali = Zaif / zaiflikni qoldiring).

    Bu RDP orqali masofaviy serverga kirishning yagona yo'li, agar siz serverga mahalliy sifatida kirish imkoniga ega bo'lmasangiz (XMT konsoli, virtual mashina, bulutli interfeys va boshqalar orqali). Ushbu rejimda siz masofaviy serverga ulanishingiz va xavfsizlik yangilanishlarini o'rnatishingiz mumkin, shuning uchun tavsiya etilgan 1 usulga o'tasiz. Serverni yangilagandan so'ng, siyosatni o'chirishni yoki kalit qiymatini qaytarishni unutmang AllowEncryptionOracle = 0: REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0

Windows-da RDP uchun NLA-ni o'chirib qo'ying

Agar siz ulanayotgan RDP server tomonida NLA yoqilgan bo'lsa, bu CredSPP RDP foydalanuvchisini oldindan autentifikatsiya qilish uchun foydalanilganligini anglatadi. Yorliqdagi tizim xususiyatlarida Tarmoq darajasidagi autentifikatsiyani o'chirib qo'yishingiz mumkin Masofaviy kirish(Masofadan) "Tarmoq darajasida autentifikatsiya qilingan masofaviy ish stoli bilan ishlaydigan kompyuterlardan ulanishga ruxsat berish (tavsiya etiladi)" (Windows 10 / Windows 8) katagiga belgini olib tashlash orqali.

Windows 7 da ushbu parametr uchun boshqa nom mavjud. Yorliqda Masofaviy kirish variantni tanlashingiz kerak " Masofaviy ish stolining istalgan versiyasiga ega kompyuterlardan ulanishga ruxsat bering (xavfli)/ Masofaviy ish stolining istalgan versiyasida ishlaydigan kompyuterlardan ulanishga ruxsat bering (kamroq xavfsiz).

Mahalliy guruh siyosati muharriri yordamida tarmoq darajasidagi autentifikatsiyani (NLA) o'chirib qo'yish ham mumkin - gpedit.msc(Windows 10 Home-da gpedit.msc siyosat muharriri ishga tushirilishi mumkin) yoki Domen siyosatini boshqarish konsoli - GPMC.msc yordamida. Buni amalga oshirish uchun bo'limga o'ting Kompyuter konfiguratsiyasi -> Ma'muriy shablonlar -> KomponentlarWindows-> Masofaviy ish stoli xizmatlari - Masofaviy ish stoli sessiyasi xosti -> Xavfsizlik(Kompyuter konfiguratsiyasi -> Ma'muriy shablonlar -> Windows komponentlari -> Masofaviy ish stoli xizmatlari - Masofaviy ish stoli sessiyasi xosti -> Xavfsizlik), ajrating siyosat (Tarmoq darajasidagi autentifikatsiya yordamida masofaviy ulanishlar uchun foydalanuvchi autentifikatsiyasini talab qilish).

Siyosatda ham kerak " Masofaviy RDP ulanishlari uchun maxsus xavfsizlik darajasini talab qiling»(Masofaviy (RDP) ulanishlar uchun maxsus xavfsizlik qatlamidan foydalanishni talab qilish) Xavfsizlik qatlamini tanlang - RDP.

Yangi RDP sozlamalarini qo'llash uchun siz siyosatlarni yangilashingiz (gpupdate / force) yoki kompyuterni qayta ishga tushirishingiz kerak. Shundan so'ng siz serverning masofaviy ish stoliga muvaffaqiyatli ulanishingiz kerak.

Windows OS egalari ishlab chiquvchi ma'lum vaqt davomida o'z operatsion tizimlarini majburiy qo'llab-quvvatlashini bilishadi. Ko'pincha, bu Microsoft vaqti-vaqti bilan avtomatik yoki qo'lda kompyuterga uzatiladigan va u erda o'rnatilgan yangilanishlarni chiqarishi bilan bog'liq.

Afsuski, ba'zida bu eng yaxshi oqibatlarga olib kelmaydi. Ha, bunday yangilanishlar muayyan muammolarni hal qiladi, lekin ba'zida ular yangilarini yaratadilar.

Masalan, KB4103718 to'plamini o'rnatish, ko'plab foydalanuvchilarning kuzatishlariga ko'ra, RPR Remote Desktop yordamida serverga ulanishga urinish ishlamasligiga olib keladi, lekin faqat ekranda xabarni ko'rsatadi: xatolik yuz berdi. autentifikatsiya - belgilangan funktsiya qo'llab-quvvatlanmaydi.

Tabiiyki, bu o'ziga kerak bo'lgan va u uchun juda muhim bo'lgan ba'zi funktsiyalarni yo'qotadigan odamga mos kelmaydi. Qanday bo'lish kerak? Albatta - tuzatish uchun.

Shunday qilib, agar Windows 7 RDP autentifikatsiyasi muvaffaqiyatsiz bo'lsa, unda eng oddiy yechim Operatsion tizim yangilanishiga qaytish va yaqinda o'rnatilgan paketlarni yo'q qilish bo'ladi. Amaliyot shuni ko'rsatadiki, bu harakat muvaffaqiyatsizlikdan xalos bo'lish uchun etarli.

To'g'ri, bir nechta "lekin" bor:

  • Keyingi avtomatik yangilanishda hamma narsa qaytib keladi.
  • Agar siz Windows-ga bunday funktsiyani ishga tushirishni taqiqlasangiz, operatsion tizim juda zaif bo'lishi mumkin, chunki u ishlab chiquvchilardan eng muhim himoya ishlanmalarini ololmaydi.

Shuning uchun muqobil echimlarni izlash kerak. Tajribali foydalanuvchilar "Autentifikatsiya xatosi yuz berdi" - qanday tuzatish kerakligi so'ralganda, ular quyidagi harakatlarni tavsiya qiladilar:

  1. Barcha eng muhim, eng so'nggi yangilanish paketlarini nafaqat uskunangizga, balki ushbu protokol yordamida foydalanuvchi masofadan ulanishni rejalashtirgan kompyuter va serverga ham o'rnating. Bu muammoning amalda yagona va to'liq yechimidir. Qolganlarning hammasi vaqtinchalik.
  2. Siz NLA-ni o'chirib qo'yishingiz yoki CredSSP ning xavfsiz versiyasi deb ataladigan masofaviy serverga ruxsat berishingiz mumkin.

NLA dan qanday foydalanishni to'xtatasiz? Quyidagi amallarni bajaring:

  1. Boshqaruv paneli orqali barcha elementlarga, so'ngra tizimga o'ting.
  2. "Xususiyatlar" oynasini oching va "Masofaviy kirish" yorlig'iga o'ting.
  3. Eng pastki qismida "Faqat kompyuterlardan ulanishga ruxsat berish ..." so'zlari bilan boshlangan qatorni ko'rishingiz mumkin. Uning yonidagi katakchadan belgini olib tashlang.