Pradžia
Atsiliepimai
KPP autentifikavimo klaida. CredSSP šifravimo taisymas. Pataisykite, kai įvyko KPP autentifikavimo klaida. Rdp windows 7 nurodyta funkcija nepalaikoma

KPP autentifikavimo klaida. CredSSP šifravimo taisymas. Pataisykite, kai įvyko KPP autentifikavimo klaida. Rdp windows 7 nurodyta funkcija nepalaikoma

Ši klaida susiję su CredSSP naujinimų CVE-2018-0886 diegimu. Problema išspręsta įdiegus naujinimą.

Įvadas

2018 m. kovo 13 d. buvo išleistas CredSSP autentifikavimo protokolo „Windows“ saugos naujinimas, kuris pašalina pažeidžiamumą CVE-2018–0886. Leidžiamas kredencialų saugos palaikymo paslaugų teikėjo protokolo (CredSSP) pažeidžiamumas nuotolinis paleidimas savavališkas kodas pažeidžiamoje sistemoje.

2018 m. gegužės 8 d. „Microsoft“ pakeitė ryšio saugos lygį iš pažeidžiamo į sumažintą ir kilo problemų jungiantis prie nuotolinio darbalaukio per KPP.

Įvedus kredencialus, pasirodo klaida:

Įvyko autentifikavimo klaida.
Nurodyta funkcija nepalaikoma.
Klaidą gali sukelti CredSSP šifravimo pataisymas

1 sprendimas: įdiekite „Windows“ saugos naujinimą serveryje.

  • Apsilankykite CVE-2018-0886 pažeidžiamumo puslapyje
  • Skiltyje Paveikti produktai iš stulpelio Atsisiuntimai pasirinkite atitinkamą failą, atsisiųskite ir įdiekite.

2 sprendimas: pašalinkite „Windows“ saugos naujinimą kliente.

3 sprendimas: redaguokite kliento / serverio saugos politiką.

Verta naudoti, jei nepavyksta prisijungti prie serverio ir įdiegti naujinimo. Įdiegus naujinimą, politika turi būti grąžinta į pradinę būseną.

Atidarykite vietinės grupės strategijos rengyklę:

  • Paspauskite Win + R
  • Įveskite komandą gpedit.msc ir paspauskite Enter

Pakeiskite saugos nustatymus:

  • Kompiuterio konfigūracija > Administravimo šablonai > Sistema > Kredencialų delegavimas
  • Atidarykite parinktį Encryption Oracle Remediation
  • Pasirinkite „Įjungta“.
  • Nustatykite apsaugos lygį į „Palikti pažeidžiamą“ („Pažeidžiamas“).

Politikoje yra 3 parinktys:

  • Pažeidžiamas – klientai gali prisijungti prie pažeidžiamų mašinų.
  • Sušvelninta – klientai negali prisijungti prie pažeidžiamų serverių, bet serveriai gali priimti pažeidžiamus klientus.
  • Force Updated Clients – saugus klientų sąveikos lygis.

Jei kliento kompiuteryje nėra vietinės grupės strategijos rengyklės, pakeitimai atliekami registre.

Po kito atnaujinimo operacinė sistema„Windows“, kuri buvo maždaug 2018 m. gegužės 8 d., beveik visi vartotojai susidūrė su prisijungimo prie nuotolinio darbalaukio (RDP ir nuotolinės programos) problema.

Bandant prisijungti prie serverio, kliento įrenginys rodo klaidą:
Nuotolinio darbalaukio ryšys
Įvyko autentifikavimo klaida.
Nurodyta funkcija nepalaikoma

Nuotolinis kompiuteris:
Klaidą gali sukelti CredSSP šifravimo pataisymas.
Daugiau informacijos rasite adresu https://go.microsoft.com/fwlink/?linkid=866660

Egzistuoja dviem būdais Ištaiso CredSSP šifravimo klaidą. Pirmasis metodas yra teisingiausias, antrasis yra greičiausias.

#1 Įdiekite naujinimą, kad ištaisytumėte CredSSP serverio šifravimą.

Norėdami išspręsti problemą, turite įdiegti CVE-2018-0886 naujinimą serverio pusėje arba asmeninis kompiuteris prie kurio reikia prisijungti per RDP nuotolinį darbalaukį.

#2 Išjungti CredSPP šifravimo klaidos pranešimą kliento kompiuteryje.

Tiems, kurie nenori vargti atnaujindami serverį, antrasis būdas yra išsigelbėjimas!

Ką daryti:

1. Paleiskite programą " Vykdyti“ ir parašykite ten komandą gpedit.msc Pamatysite ""
2. Toliau einame: Kompiuterio konfigūracija - Administraciniai šablonai - Sistema - Perduoti įgaliojimai.
Anglų versijos Windows OS kelias yra toks: Kompiuterio konfigūracija - Administraciniai šablonai - Sistema - Įgaliojimų delegacija.

3. Čia reikia atidaryti parametrą "" ("Šifravimo Oracle Remediation") ir pasirinkti " įtraukta" ("Įjungta"). Ir apsaugos lygis " Palikite pažeidžiamumą"("Pažeidžiamas").

4. Taikykite pakeitimus paspausdami mygtuką " Gerai“ ir viskas! Gali reikėti iš naujo paleisti kompiuterį.

Taip atsitinka, kad „Kredencialų perdavimas“ jokio parametro„Šifravimo orakulo pažeidžiamumo taisymas“. Tada reikia registruoti pakeitimus rankiniu būdu į registrą.

1. Paleiskite programą " Vykdyti“ ir parašykite ten komandą regedit"Tu atsidarysi" Registro redaktorius".

2. Judame tokiu keliu:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

3. Reikia rasti parametrą DWORD su titulu Leisti EncryptionOracle ir įdėkite vertę 2 . Jei šis parametras Nr, tada tau reikia sukurti jį.

4. Būtinai iš naujo paleiskite kompiuterį.

Yra dar paprastesnis būdas atlikti pakeitimus registre – galite tiesiog paleisti šią komandą komandinė eilutė(turite turėti administratoriaus teises):

tai viskas!

„Windows“ namų versijos pataisymas

1. Paleisti komandų eilutė (cmd) administratoriaus vardu.

2. Įklijuokite arba parašykite komandą:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Paspaudus klavišą Įeikite turėtų pasirodyti pranešimas: Operacija sėkmingai baigta.

Ši komanda atlieka pakeitimus Windows registras ir leidžia kompiuteriui prisijungti naudojant CredSSP šifravimo protokolą.

Sėkmės ir sėkmės visiems!

Skaityti 47964 vieną kartą

Straipsnio turinys:

Po 2018 m. gegužės 8 d. daugelis operacinės sistemos vartotojų Windows sistemos susidūrė su problema, dėl kurios, bandydami prisijungti prie kito Windows kompiuterio per nuotolinį darbalaukį (arba naudodami nuotolinę programą), jie gauna šią klaidą:

Įvyko autentifikavimo klaida.
Nurodyta funkcija nepalaikoma
Klaidą gali sukelti CredSSP šifravimo pataisymas.

Bendra informacija

Ekrano kopija su klaidos tekstu

Šiame straipsnyje apžvelgsime 3 būdus, kaip ištaisyti šią klaidą. Pirmasis metodas yra pats teisingiausias ir jį turėtumėte naudoti, jei susiduriate su šia problema. Antrasis ir trečiasis metodai, nors ir leidžia pašalinti klaidą, turėtų būti naudojami tik tuo atveju, jei nėra galimybės įdiegti pataisos.

1 būdas: įdiekite naujinimą, kad ištaisytumėte CreedSSP šifravimą

Šios klaidos priežastis yra ta, kad serverio pusėje arba kompiuteryje, prie kurio bandote prisijungti naudodami nuotolinį darbalaukį (RDP), trūksta naujinimo CVE-2018-0886. Norėdami jį pašalinti, tiesiog įdiekite šį naujinimą kompiuteryje, kuris veikia kaip serveris. Galite atsisiųsti reikiamos OS versijos naujinimą naudodami toliau pateiktas nuorodas:

2 būdas: išjunkite CreedSSP šifravimo klaidos pranešimą naudodami grupės politiką

Jei dėl kokių nors priežasčių neįmanoma įdiegti naujinimų, galite išjungti šį klaidos pranešimą. Norėdami tai padaryti, kompiuteryje, kuris veikia kaip klientas, atliekame šiuos veiksmus:

3 būdas: išjunkite CreedSSP šifravimo klaidos pranešimą redaguodami registrą

Jei jūsų „Windows“ leidime nėra redaktoriaus grupės politika(pvz., „Windows 10 Home“), tuomet turėsite rankiniu būdu atlikti reikiamus registro pakeitimus. Norėdami tai padaryti, kompiuteryje, kuris veikia kaip klientas, atliekame šiuos veiksmus:

  1. Atidarykite registro rengyklę ir eikite į šį kelią: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
  2. Ieškau parametro DWORD paskambino Leisti EncryptionOracle ir nustatykite vertę 2 . Jei tokio parametro nėra, sukurkite jį.
  3. Perkraukite kompiuterį

Tiems, kurie nenori trikdyti registro, tiesiog paleiskite toliau pateiktą komandą komandų eilutėje su administratoriaus teisėmis:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Kovo 13 d. Microsoft paskelbė CVE-2018-0886 pažeidžiamumo aprašą CredSSP autentifikavimo protokole, kuris ypač naudojamas jungiantis per KPP prie terminalų serverių. Vėliau „Microsoft“ paskelbė, kad blokuos ryšius su nepataisytais serveriais, kuriuose yra šis pažeidžiamumas. Dėl to daugelis klientų susidūrė su problemomis prisijungdami per KPP.

Tiksliau, „Windows 7“ galite matyti klaidą: „Įvyko autentifikavimo klaida. Nurodyta funkcija nepalaikoma“
„Windows 10“ klaida aprašyta išsamiau, ypač joje sakoma: „Klaidą gali sukelti CredSSP šifravimo pataisymas“:


Norėdami apeiti klaidą kliento pusėje, daugelis pataria išjungti grupės politiką nustatant vertę Šifravimas Oracle Remediation V Pažeidžiamas:
naudodamiesi gpedit.msc skiltyje Kompiuterio konfigūracija / Administravimo šablonai / Sistema / Kredencialų perkėlimas, kairėje pasirinkite „Šifravimo orakulo pažeidžiamumo taisymas“ (žinoma, juokingas vertimas), nustatymuose nustatykite „Įjungta“ ir pasirinkite „Palikti pažeidžiamumą“.


arba per registrą (kadangi, pavyzdžiui, „Windows Home“ nėra komandos gpedit.msc):

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2


BET! To daryti nereikia! Nes Taigi jūs paliekate pažeidžiamumą ir riziką, kad jūsų srautas ir kiti konfidencialūs duomenys, įskaitant slaptažodžius, bus perimti. Vienintelis laikas, kai to gali prireikti, yra tada, kai neturite kito būdo prisijungti prie nuotolinio serverio, išskyrus per KPP, kad įdiegtumėte naujinimus (nors bet kuris debesies paslaugų teikėjas turėtų turėti galimybę prisijungti prie serverio konsolės). Iškart po naujinimų įdiegimo, politika turi būti grąžinta į pradinę būseną.

Jei turite prieigą prie nuotolinio serverio, laikinai galite išjungti NLA (tinklo lygio autentifikavimo) reikalavimą ir serveris nustos naudoti CredSSP. Norėdami tai padaryti, tiesiog eikite į skirtuką Sistemos ypatybės nuotoliniai ryšiai Atžymėkite atitinkamą laukelį „Leisti jungtis tik iš kompiuterių, kuriuose veikia nuotolinis darbalaukis su tinklo lygio autentifikavimu“:

Tačiau tai taip pat neteisingas požiūris.

Tinkamas būdas yra tiesiog įdiegti būtinus operacinės sistemos naujinimus, kurie uždaro CredSSP CVE-2018-0886 pažeidžiamumą, tiek serveryje, prie kurio jungiatės, tiek kliento, prie kurio jungiatės.

Visų operacinių sistemų naujinimų sąrašas, pradedant nuo Windows 7 ir „Windows Server“. 2008 m. galima rasti adresu https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Pasirinkite reikiamą versiją operacinę sistemą, atsisiųskite atitinkamą naujinimą iš katalogo, įdiekite ir paleiskite iš naujo. Po to klaida turėtų išnykti.
Pavyzdžiui, „Windows Server 2016“ atsisiuntimo nuoroda bus tokia:

Įdiegę gegužės 8 d. saugos naujinimus (2018 m. gegužės 8 d. Windows 7/8/10 platformose ir serverių platformose Windows Server 2008 R2 / 2012 R2 / 2016), vartotojai nebegauna prieigos prie nuotolinio įrenginio per RDP ir RemoteApp, ir įvyksta tokia klaida:

Ekrano kopija: CredSSP klaidos langas užmezgus KPP ryšį su serveriu iš kliento įrenginio.

2018 m. pavasario pradžioje „Microsoft“ išleido naujinimą, kuris neleido nuotoliniu būdu vykdyti kodo naudojant CredSSP protokolo pažeidžiamumą, o gegužę po įdiegimo buvo išleistas naujinimas, kurį pagal numatytuosius nustatymus klientų įrenginiams draudžiama prisijungti prie nuotolinių KPP serverių su pažeidžiama versija. CredSSP protokolas. Atitinkamai, jei pavasariniai naujinimai yra įdiegti klientuose, bet neįdiegti serveriuose, kuriuose veikia „Windows Server“ OS, prisijungdami gausime klaidą:

„Įvyko autentifikavimo klaida. Nurodyta funkcija nepalaikoma. Klaidą gali sukelti CredSSP pataisymas.

Arba angliška versija:

"Tai gali būti dėl CredSSP šifravimo orakulo ištaisymo."

Įdiegus saugos naujinimus pasirodo RDP kliento klaida:

  • „Windows 7“ / „Windows Server 2008 R2“ – naujinimas KB4103718
  • „Windows 8.1“ / „Windows Server 2012 R2“ – naujinimas KB4103725
  • Windows 10 1803 – naujinimas KB4103721
  • „Windows 10 1709“ – naujinimas KB4103727
  • „Windows 10 1703“ – naujinimas KB4103731
  • „Windows 10 1609“ – naujinimas KB4103723
  • „Windows Server 2016“ – naujinimas KB4103723

Norėdami atkurti ryšį, galite tiesiog pašalinti aukščiau nurodytus naujinimus, tačiau šis veiksmas atvers rastą pažeidžiamumą, todėl problemos sprendimo veiksmų planas bus toks:

  1. Laikinai pašalinsime saugos pranešimą, kuris blokuoja ryšį kompiuteryje, nuo kurio jungiamės per KPP;
  2. Prisijunkime prie jo per jau atkurtą KPP ryšį ir įdiegsime reikiamą saugos pataisą;
  3. Grąžinkime saugos pranešimą, kuris buvo laikinai išjungtas pirmame veiksmų plano punkte.
  • Atidarykite vietinės grupės strategijos rengyklę: Pradėti - Vykdyti - gpedit.msc;
  • Eikite į skyrių Kompiuterio konfigūracija - Administravimo šablonai - Sistema - Kredencialų delegavimas - Anglų kalba;
  • Randame politiką pavadinimu Encryption Oracle Remediation. Įgalinkite strategiją Įgalinta ir išskleidžiamajame sąraše pasirinkite Palikti pažeidžiamą;

Ekrano kopija: GPO parinkties įjungimas – šifravimo „Oracle“ pažeidžiamumo taisymas
  • Belieka tik atnaujinti kompiuteryje esančias strategijas (kad tai padarytumėte, atidarykite Cmd ir naudokite komandą gpupdate/force) ir pabandykite prisijungti per RDP. Kai politika įgalinta, kliento programos, palaikančios CredSSP, galės prisijungti net prie nepataisytų nuotolinio darbalaukio serverių.

Jei šis namų kompiuteris su nuluptu Windows versija, ir jūs neturite prieigos prie vietinės grupės strategijos konsolės – jokių problemų, naudosime registro rengyklę („Regedit“). Paleiskite jį ir eikime šiuo keliu:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

ir nustatykite parametro AllowEncryptionOracle reikšmę į 2 (0x00000002).

Tada turite atsisiųsti ir įdiegti jūsų sistemai tinkamus saugos naujinimus (jūsų patogumui skelbiu tiesiogines nuorodas į Windows Server naujinimus, kuriuos labai rekomenduoju įdiegti):

  • „Windows Server 2016“ / „Windows 10 1607“ – KB4103723
  • „Windows Server 2012 R2“ / „Windows 8“ –
Atsiliepimai

Jums taip pat gali patikti