Napaka odstranjevanja oracle kriptiranja CredSSP

Kljub temu, da je bila podpora za Windows XP ustavljena pred 4 leti (Windows XP End Of Support) - veliko zunanjih in notranjih strank še naprej uporablja ta OS, in zdi se, da te težave v bližnji prihodnosti ne bodo radikalno rešili 🙁 ... Drugi dan so našli težavo. : Odjemalci sistema Windows XP se prek Oddaljenega namizja ne morejo povezati z novim terminalom Farme Services Remote Desktop Services na Windows Server 2012 R2. Podobna težava se pojavi, ko se poskusite povezati prek RDP iz sistema Windows XP na Windows 10 1803.

Vsebina:

  • Povezave prek RDP iz sistema Windows XP s sistemom Windows Server 2016 / 2012R2 in Windows 10 ni mogoče povezati
  • Onemogoči NLA na RDS Windows Server 2016/2012 R2
  • Omogočanje NLA na ravni odjemalca Windows XP

Povezave prek RDP iz sistema Windows XP s sistemom Windows Server 2016 / 2012R2 in Windows 10 ni mogoče povezati

Uporabniki XP so se pritožili zaradi teh napak odjemalca rdp:

Stranka se zaradi varnostne napake ni mogla povezati z oddaljenim računalnikom. Preverite, ali ste prijavljeni v omrežje in nato poskusite znova povezati. Oddaljena seja je bila prekinjena, ker je oddaljeni računalnik od tega računalnika prejel neveljavno licenčno sporočilo. Oddaljeni računalnik zahteva preverjanje pristnosti omrežja, ki ga vaš računalnik ne podpira. Za pomoč se obrnite na skrbnika sistema ali tehnično podporo.

Če želite rešiti to težavo, preverite, ali je različica odjemalca RDP v računalnikih z operacijskim sistemom Windows XP posodobljena. Trenutno je največja različica odjemalca RDP, ki ga je mogoče namestiti v sistem Windows XP - rdp različica odjemalca 7.0 (KB969084 - https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol -rdp-7-0-ali-7-1 /). To posodobitev lahko namestite samo v Windows XP SP3. Namestitev odjemalca RDP različice 8.0 ali novejše v sistemu Windows na XP ni podprta. Po namestitvi te posodobitve je polovica strank rešila težavo s povezavo RDP. Druga polovica je ostala ... .

Onemogoči NLA na RDS Windows Server 2016/2012 R2

Ko smo podrobneje začeli preučevati temo strežnika RDS, ki temelji na sistemu Windows 2012 R2, smo ugotovili, da v strežniku Windows Server 2012 (in novejši) privzeto zahteva obvezno podporo tehnologije s strani strank. NLA (Preverjanje pristnosti na mreži - preverjanje pristnosti na omrežni ravni, več o tej tehnologiji tukaj), vendar če odjemalec ne podpira NLA, se ne bo uspel povezati s strežnikom RDS. Podobno je NLA privzeto omogočen, ko v operacijskem sistemu Windows 10 omogočite RDP.

Navedena sta dva zaključka, tako da se preostali odjemalci XP lahko prek RDP povežejo s terminalskim strežnikom v sistemu Windows Server 2016/2012 R2 ali v sistemu Windows 10:

  • Onemogoči preverjanje veljavnosti NLA na storitvah za oddaljene namizje 2012 R2 / 2016 Farm Server ali Windows 10
  • ali omogočite podporo NLA za odjemalce XP;

Če želite onemogočiti zahtevo po obvezni uporabi protokola NLA za odjemalce na strežniku RDS za Windows Server 2012 R2 v konzoli Server Manager, pojdite na Oddaljeni Namizje Storitve -> Zbirke -> QuickSessionCollection, izbrati Naloge -> Uredi Lastnosti, izberite razdelek  Varnost in odstranite možnost: Dovoli povezave samo iz računalniki tek Oddaljeni Namizje s Omrežje Raven Preverjanje pristnosti

V sistemu Windows 10 lahko v sistemskih lastnostih onemogočite preverjanje pristnosti na mreži (sistem - konfiguriranje oddaljenega dostopa). Počistite polje "Dovoli povezave samo z računalniki, na katerih se izvaja oddaljeno namizje z avtentifikacijo na ravni omrežja (priporočeno)".

Seveda morate razumeti, da onemogočanje NLA na ravni strežnika zmanjšuje varnost sistema in na splošno ni priporočljivo. Zaželeno je uporabljati drugo tehniko..

Omogočanje NLA na ravni odjemalca Windows XP

Za pravilno delovanje sistema Windows XP kot odjemalec morate imeti vsaj servisni paket 3. Če ne, prenesite in namestite to posodobitev. Ta servisni paket 3 je najmanjša zahteva za posodabljanje odjemalca RDP z različice 6.1 na 7.0 in podporo potrebnih komponent, vključno s ponudnikom storitev zaupne varnosti (CredSSP -KB969084), ki je opisana spodaj..

Brez podpore za CredSSP in NLA se bo med povezavo RDP iz sistema Windows XP z novo različico sistema Windows pojavila napaka

Napaka overjanja (koda: 0x80090327).

Prej smo opisali, kako omogočiti podporo za preverjanje pristnosti omrežja na računalnikih z operacijskim sistemom Windows XP, na kratko se spomnite glavnih točk.

Podpora za NLA se je pojavila v operacijskem sistemu Windows XP, začenši s SP3, vendar privzeto ni omogočena. Omogočeno je mogoče samo overjanje ponudnikov NLA in CredSSP. Če želite to narediti:

  1. V podružnici registra HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders potrebno urediti ključno vrednost Varnostni zaščitniki, dodajanje na koncu credssp.dll (ločeno z vejico od njene trenutne vrednosti);
  2. Dalje v podružnici HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa v vrednosti parametra Varnostni paketi dodaj vrstico tspkg;
  3. Po teh spremembah je treba računalnik znova zagnati.

Po zaključku vseh manipulacij bi se moral računalnik z operacijskim sistemom Windows XP SP3 prek rdp povezati s terminalsko kmetijo v operacijskem sistemu Windows Server 2016/2012 R2 ali Windows 10. Vendar pa gesla za povezavo RDP ne morete shraniti na odjemalcu Windows XP (geslo boste morali vnesti vsakič povezovanje).

Namig. Vzporedno se je pojavila še ena težava s tiskanjem prek programa Easy Print. Če lahko računalniki z operacijskim sistemom Windows XP tiskajo na RDS 2012 z Easy Printom, morajo stranke izpolnjevati naslednje zahteve: OS - Windows XP SP3, odjemalca rdp različico 6.1, .NET Framework 3.5 (kako najti različico NET Framework).

Napaka odstranjevanja oracle kriptiranja CredSSP

V letu 2018 je bila v protokolu CredSSP (bilten CVE-2018-0886) odkrita resna ranljivost, ki je bila določena v Microsoftovih varnostnih posodobitvah. Maja 2018 je MSFT izdal dodatno posodobitev, ki strankam prepoveduje povezovanje z računalniki in strežniki RDP z ranljivo različico CredSSP (glej članek: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka- credssp-encryption-oracle-sanacija /). Pri povezovanju z oddaljenimi računalniki prek RDP se pojavi napaka Prišlo je do napake pri preverjanju pristnosti. Navedena funkcija ni podprta..

Ker Microsoft ne izda varnostnih posodobitev za Windows XP in Windows Server 2003, se s temi operacijskimi operacijskimi sistemi ne boste mogli povezati s podprto različico sistema Windows..

Če želite omogočiti povezljivost RDP iz sistema Windows XP do posodobljenega sistema Windows 10 / 8.1 / 7 in Windows Server 2016 / 2012R2 / 2012/2008 R2, morate omogočiti pravilnik na strani strežnika RDP Šifriranje Oracle Sanacija / Popraviti ranljivost oracle šifriranja (Računalnik Konfiguracija -> Upravni Predloge -> Sistem -> Poverilnice Delegacija / Konfiguracija računalnika -> Administrativne predloge -> Sistem -> Prenos poverilnic) z vrednostjo Zmanjšano, kar je, kot razumete, nevarno.

Namig. Za operacijski sistem Windows XP (različica z imenom Windows Embedded POSReady 2009) je dejansko ločena posodobitev za ranljivost izvajanja oddaljene kode CredSSP - https://support.microsoft.com/en-us/help/4056564 (WindowsXP-KB4056564-x86-Embedded- ENU.exe) in teoretično obstaja možnost namestitve posodobitev za vgrajeni POSReady tako v običajni različici Windows XP x86 kot Windows Server 2003.
Kategorija