Произошла ошибка проверки подлинности. Указанная функция не поддерживается
После установки обновления KB4103718 на моем компьютере с Windows 7 я не могу удаленно подключится к серверу c Windows Server 2012 R2 через удаленный рабочий стол RDP. После того, как я указываю адрес RDP сервера в окне клиента mstsc.exe и нажимаю «Подключить», появляется ошибка:
Произошла ошибка проверки подлинности.
Указанная функция не поддерживается.
Удаленный компьютер: computername
После того, как я удалил обновление KB4103718 и перезагрузил компьютер, RDP подключение стало работать нормально. Если я правильно понимаю, это только временное обходное решение, в следующем месяце приедет новый кумулятивный пакет обновлений и ошибка вернется? Можете что-нибудь посоветовать?
Ответ
Вы абсолютно правы в том, что бессмысленно решать проблему удалением обновлений Windows, ведь вы тем самым подвергаете свой компьютер риску эксплуатации различных уязвимостей, которые закрывают патчи в данном обновлении.
В своей проблеме вы не одиноки. Данная ошибка может появится в любой операционной системе Windows или Windows Server (не только Windows 7). У пользователей английской версии Windows 10 при попытке подключится к RDP/RDS серверу аналогичная ошибка выглядит так:
The function requested is not supported.
Remote computer: computername
Ошибка RDP “An authentication error has occurred” может появляться и при попытке запуска RemoteApp приложений.
Почему это происходит? Дело в том, что на вашем компьютере установлены актуальные обновления безопасности (выпущенные после мая 2018 года), в которых исправляется серьёзная уязвимость в протоколе CredSSP (Credential Security Support Provider), использующегося для аутентификации на RDP серверах (CVE-2018-0886) (рекомендую познакомится со статьей Ошибка RDP подключения: CredSSP encryption oracle remediation). При этом на стороне RDP / RDS сервера, к которому вы подключаетесь со своего компьютера, эти обновления не установлены и при этом для RDP доступа включен протокол NLA (Network Level Authentication / Проверку подлинности на уровне сети). Протокол NLA использует механизмы CredSSP для пре-аутентификация пользователей через TLS/SSL или Kerberos. Ваш компьютер из-за новых настроек безопасности, которые выставило установленное у вас обновление, просто блокирует подключение к удаленному компьютеру, который использует уязвимую версию CredSSP.
Что можно сделать для исправления эту ошибки и подключиться к вашему RDP серверу?
- Самый правильный способ решения проблемы – установка последних кумулятивных обновлений безопасности Windows на компьютере / сервере, к которому вы подключаетесь по RDP;
- Временный способ 1 . Можно отключить проверку подлинности на уровне сети (NLA) на стороне RDP сервера (описано ниже);
- Временный способ 2 . Вы можете на стороне клиента разрешить подключение к RDP серверам с небезопасной версией CredSSP, как описано в статье по ссылке выше. Для этого нужно изменить ключ реестра AllowEncryptionOracle (команда REG ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 ) или изменить настройки локальной политики Encryption Oracle Remediation / Исправление уязвимости шифрующего оракула), установив ее значение = Vulnerable / Оставить уязвимость).
Отключение NLA для протокола RDP в Windows
Если на стороне RDP сервера, которому вы подключаетесь, включен NLA, это означает что для преаутентификации RDP пользователя используется CredSPP. Отключить Network Level Authentication можно в свойствах системы на вкладке Удаленный доступ (Remote), сняв галку «Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети / Allow connection only from computers running Remote Desktop with Network Level Authentication (recommended)» (Windows 10 / Windows 8).
В Windows 7 эта опция называется по-другому. На вкладке Удаленный доступ нужно выбрать опцию «Разрешить подключения от компьютеров с любой версией удаленного рабочего стола (опасный) / Allow connections from computers running any version of Remote Desktop (less secure)».
Также можно отключить проверку подлинности на уровне сети (NLA) с помощью редактора локальной групповой политики — gpedit.msc (в Windows 10 Home редактор политик gpedit.msc можно запустить так) или с помощью консоли управления доменными политиками – GPMC.msc. Для этого перейдите в разделе Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Безопасность (Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services – Remote Desktop Session Host –> Security), отключите политику Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети (Require user authentication for remote connections by using Network Level Authentication).
Также нужно в политике «Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP» (Require use of specific security layer for remote (RDP) connections) выбрать уровень безопасности (Security Layer) — RDP.
Для применения новых настроек RDP нужно обновить политики (gpupdate /force) или перезагрузить компьютер. После этого вы должны успешно подключиться к удаленному рабочему столу сервера.
Источник
Дополнительные способы устранения неполадок проверки подлинности на основе стандарта безопасности 802.1X Advanced troubleshooting 802.1X authentication
Обзор Overview
В этой статье содержится общее устранение неполадок для беспроводных и проводных клиентов 802.1X. This article includes general troubleshooting for 802.1X wireless and wired clients. При устранении неполадок 802.1X и беспроводной связи важно знать, как работает поток проверки подлинности, а затем выяснить, где она ломается. While troubleshooting 802.1X and wireless, it’s important to know how the flow of authentication works, and then figure out where it’s breaking. Она включает множество сторонних устройств и программного обеспечения. It involves a lot of third-party devices and software. Большую часть времени мы должны определить, где возникла проблема, и другой поставщик должен ее устранить. Most of the time, we have to identify where the problem is, and another vendor has to fix it. Мы не делаем точек доступа или переключатели, поэтому это не решение Корпорации Майкрософт. We don’t make access points or switches, so it’s not an end-to-end Microsoft solution.
Сценарии Scenarios
Этот метод устранения неполадок применяется к любому сценарию, в котором попытки беспроводных или проводных подключений с проверкой подлинности 802.1X не удается установить. This troubleshooting technique applies to any scenario in which wireless or wired connections with 802.1X authentication is attempted and then fails to establish. Рабочий процесс охватывает Windows 7 через Windows 10 для клиентов и Windows Server 2008 R2 Windows Server 2012 R2 для NPS. The workflow covers Windows 7 through Windows 10 for clients, and Windows Server 2008 R2 through Windows Server 2012 R2 for NPS.
Известные проблемы Known issues
Сбор данных Data collection
Поиск и устранение неисправностей Troubleshooting
Просмотр событий состояния проверки подлинности NPS в журнале событий Безопасности Windows является одним из наиболее полезных методов устранения неполадок для получения сведений о сбойных проверках подлинности. Viewing NPS authentication status events in the Windows Security event log is one of the most useful troubleshooting methods to obtain information about failed authentications.
Записи журнала событий NPS содержат сведения о попытке подключения, включая имя политики запроса на подключение, которая совпадала с попыткой подключения, и сетевой политики, которая приняла или отклоняет попытку подключения. NPS event log entries contain information about the connection attempt, including the name of the connection request policy that matched the connection attempt and the network policy that accepted or rejected the connection attempt. Если вы не видите событий успешности и сбоя, см. в разделе Политика аудита NPS в этой статье. If you don’t see both success and failure events, see the NPS audit policy section later in this article.
Проверьте журнал событий безопасности Windows в NPS Server для событий NPS, соответствующих отклоненным (ID события6273)или принятым(ID события 6272)попыткам подключения. Check Windows Security Event log on the NPS Server for NPS events that correspond to rejected (event ID 6273) or accepted (event ID 6272) connection attempts.
В сообщении события прокрутите вниз, а затем проверьте поле Код причины и текст, связанный с ним. In the event message, scroll to the very bottom, and then check the Reason Code field and the text that’s associated with it.
аудита Пример: ID события 6273 (сбой аудита) example of an audit failure](images/auditfailure.png) Example: event ID 6273 (Audit Failure)
Example: event ID 6272 (Audit Success) Example: event ID 6272 (Audit Success)
The WLAN AutoConfig operational log lists information and error events based on conditions detected by or reported to the WLAN AutoConfig service. The WLAN AutoConfig operational log lists information and error events based on conditions detected by or reported to the WLAN AutoConfig service. Операционный журнал содержит сведения о адаптере беспроводной сети, свойствах профиля беспроводного подключения, указанной проверке подлинности сети и в случае проблем с подключением. The operational log contains information about the wireless network adapter, the properties of the wireless connection profile, the specified network authentication, and, in the event of connectivity problems, the reason for the failure. Для подключенного доступа к сети операционный журнал Wired AutoConfig является эквивалентным. For wired network access, the Wired AutoConfig operational log is an equivalent one.
С клиентской стороны перейдите в журналы просмотра событий (Local)\Applications and Services\Microsoft\Windows\WLAN-AutoConfig/Operational для беспроводных проблем. On the client side, go to Event Viewer (Local)\Applications and Services Logs\Microsoft\Windows\WLAN-AutoConfig/Operational for wireless issues. Для проблем с подключенным доступом к сети перейдите к .. \Wired-AutoConfig/Operational. For wired network access issues, go to ..\Wired-AutoConfig/Operational. См. приведенный ниже пример. See the following example:
Большинство проблем с проверкой подлинности 802.1X возникают из-за проблем с сертификатом, используемым для проверки подлинности клиента или сервера. Most 802.1X authentication issues are because of problems with the certificate that’s used for client or server authentication. Примеры включают недействительный сертификат, срок действия, сбой проверки цепочки и сбой проверки отзыва. Examples include invalid certificate, expiration, chain verification failure, and revocation check failure.
Сначала проверьте тип используемого метода EAP: First, validate the type of EAP method that’s used:
Если сертификат используется для метода проверки подлинности, проверьте, является ли сертификат допустимым. If a certificate is used for its authentication method, check whether the certificate is valid. Для стороны сервера (NPS) вы можете подтвердить, какой сертификат используется из меню свойств EAP. For the server (NPS) side, you can confirm what certificate is being used from the EAP property menu. В NPS snap-inперейдите к политикам > сетевой политики. In NPS snap-in, go to Policies > Network Policies. Выберите и удерживайте (или правой кнопкой мыши) политику, а затем выберите Свойства. Select and hold (or right-click) the policy, and then select Properties. В всплывающее окно перейдите на вкладку Ограничения и выберите раздел Методы проверки подлинности. In the pop-up window, go to the Constraints tab, and then select the Authentication Methods section.
Журнал событий CAPI2 полезен для устранения неполадок, связанных с сертификатами. The CAPI2 event log is useful for troubleshooting certificate-related issues. По умолчанию этот журнал не включен. By default, this log isn’t enabled. Чтобы включить этот журнал, развяжите журнал Viewer событий (Local)\Applications and Services Logs\Microsoft\Windows\CAPI2, выберите и удерживайте (или правой кнопкой мыши) оперативную, а затем выберите Включить журнал . To enable this log, expand Event Viewer (Local)\Applications and Services Logs\Microsoft\Windows\CAPI2, select and hold (or right-click) Operational, and then select Enable Log.
Сведения о том, как анализировать журналы событий CAPI2, см. в журнале Устранение проблем PKI в Windows Vista. For information about how to analyze CAPI2 event logs, see Troubleshooting PKI Problems on Windows Vista.
При устранении сложных проблем с проверкой подлинности 802.1X важно понимать процесс проверки подлинности 802.1X. When troubleshooting complex 802.1X authentication issues, it’s important to understand the 802.1X authentication process. Вот пример процесса беспроводного подключения с проверкой подлинности 802.1X: Here’s an example of wireless connection process with 802.1X authentication:
При сборе захвата сетевого пакета как на клиенте, так и на стороне сервера (NPS) можно увидеть поток, похожий на ниже. If you collect a network packet capture on both the client and the server (NPS) side, you can see a flow like the one below. Введите EAPOL в фильтре отображения для захвата клиента и EAP для захвата на стороне NPS. Type EAPOL in the Display Filter for a client-side capture, and EAP for an NPS-side capture. См. следующие примеры: See the following examples:
пакетов client-side packet capture data](images/clientsidepacket_cap_data.png) Client-side packet capture data
NPS NPS-side packet capture data](images/NPS_sidepacket_capture_data.png) NPS-side packet capture data
Если у вас есть беспроводной след, вы также можете просматривать **** файлы ETL с помощью сетевого монитора и применять фильтры ONEX_MicrosoftWindowsOneX и WLAN_MicrosoftWindowsWLANAutoConfig сетевого монитора. If you have a wireless trace, you can also view ETL files with network monitor and apply the ONEX_MicrosoftWindowsOneX and WLAN_MicrosoftWindowsWLANAutoConfig Network Monitor filters. Если требуется загрузить необходимый размер, см. инструкции в меню справки в Сетевом мониторе. If you need to load the required parser, see the instructions under the Help menu in Network Monitor. Вот пример. Here’s an example:
Политика аудита Audit policy
По умолчанию включена политика аудита NPS (журнал событий) для успешного подключения и сбоя. By default, NPS audit policy (event logging) for connection success and failure is enabled. Если один или оба типа ведения журнала отключены, для устранения неполадок используйте следующие действия. If you find that one or both types of logging are disabled, use the following steps to troubleshoot.
Просмотр текущих параметров политики аудита, запуская следующую команду на сервере NPS: View the current audit policy settings by running the following command on the NPS server:
Если включены события успешного и неудачного сбоя, выход должен быть: If both success and failure events are enabled, the output should be:
Если в нем написано «Нет аудиту», можно запустить эту команду, чтобы включить ее: If it says, «No auditing,» you can run this command to enable it:
Даже если политика аудита, как представляется, полностью включена, иногда это помогает отключить и повторно включить этот параметр. Even if audit policy appears to be fully enabled, it sometimes helps to disable and then re-enable this setting. Кроме того, с помощью групповой политики можно включить проверку логона/журнала network Policy Server. You can also enable Network Policy Server logon/logoff auditing by using Group Policy. Чтобы добраться до параметра **** успеха или отказа, выберите политики конфигурации компьютера Windows Settings Security > **** > **** > Settings > Advanced Audit Policy Audit > Policies > Logon/LogoffAudit Network Policy > Server. To get to the success/failure setting, select Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Logon/Logoff > Audit Network Policy Server.
Источник
Проверка подлинности на уровне сети — RDP
При настройке терминала на Windows 2008 Server возможно хочется включить новую функцию Server Authentication, которая обеспечивает дополнительный уровень безопасности при установке соединения — новый механизм проверки подлинности на сетевом уровне — называемый Network Level Authentication (NLA).
Итак, если был включен режим проверки, то подключатся к серверу без проблем можно из ОС Windows Vista и Windows 7, а вот Windows XP, даже с установленным SP3 не получится!
Клиент RDP будет выдавать сообщение — Удаленный рабочий стол отключен.
Удаленный компьютер требует проверки подлинности на уровне сети, которую данный компьютер не поддерживает. Обратитесь за помощью к системному администратору или в службу технической поддержки.
Решить этот вопрос довольно просто — решение проверено для Windows XP.
Если уже есть SP3, то хорошо, если нет, то ставим.
Скачиваем и применяем рег файл — ссылка
(это нужно делать с правами Администратора)
Для любителей ковыряться в реестре в ручную:
Необходимо изменить следующие разделы реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
В значение “Security Packages” к уже существующим данным добавить tspkg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
В значение “SecurityProviders” к уже существующим данным добавить credssp.dll
CredSSP — это новый поставщик услуг безопасности (SSP), доступный в пакете обновления Windows XP SP3 с помощью интерфейса поставщика услуг безопасности (SSPI). CredSSP позволяет приложению делегировать учетные данные пользователя из клиента (через SSP клиентской стороны) на целевой сервер (через SSP серверной стороны). Пакет обновления Windows XP SP3 обеспечивает реализацию SSP только для клиентской стороны и в настоящее время используется протоколом RDP 6.1 (TS), хотя он может применяться любым приложением независимого поставщика, желающим использовать SSP клиентской стороны для взаимодействия с приложениями, реализующими соответствующую серверную сторону на компьютере с Vista / Server 2008.
Техническая спецификация этой реализации SSP доступна в центре загрузки Майкрософт.
Обратите внимание, что в пакете обновления Windows XP SP3 возможность CredSSP по умолчанию ВЫКЛЮЧЕНА.
Источник