В этой статье расскажем, как исправить ошибку проверки подлинности при подключении к удаленному рабочему столу через RDP. Эта ошибка возникает, когда используется уязвимая версия протокола CredSSP.
При подключении к рабочему столу удаленного компьютера с помощью встроенного RDP клиента (mstsc.exe) может появиться ошибка:
Произошла ошибка при проверке подлинности. Указанная функция не поддерживается
Причина ошибки проверки подлинности RDP
Эта ошибка связана с тем, что Windows по умолчанию блокирует RDP подключения к удаленным компьютерам, на которых используется уязвимая версия протокола CredSSP (CVE-2018-0886). Протокол CredSSP (Credential Security Support Provider) используется для пре-аутентификации пользователей, когда для RDP доступа включен протокол NLA (Network Level Authentication). Microsoft выпустила обновление для устранения уязвимости CredSSP в 2018 году, однако если это обновление не установлено на удаленном хосте, вы можете столкнуться с этой ошибкой.
Как исправить ошибку проверки подлинности RDP?
Чтобы исправить ошибку и подключиться к вашему RDP серверу, воспользуйтесь одним из следующих способов:
Рекомендованный способ:
1. Установите последние кумулятивные обновления безопасности Windows на удаленном компьютере или сервере, к которому вы подключаетесь по RDP. Вероятно, этот компьютер недавно был развернут из старого образа или на нем отключена служба обновлений Windows.
2. Проверьте дату последней установки обновлений Windows с помощью модуля PSWindowsUpdate или команды:
gwmi win32_quickfixengineering | sort installedon -desc
3. Обновления можно получить через Windows Update или скачать и установить вручную. Необходимо установить любое кумулятивное обновление, выпущенное после 2019 года.
Не рекомендуется — временный способ 1:
— Разрешите подключение к RDP серверам с небезопасной версией CredSSP на своем компьютере (клиенте), изменив ключ реестра AllowEncryptionOracle командой:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
— Либо можно изменить настройки локальной политики Encryption Oracle Remediation, установив значение на Vulnerable.
— После успешного подключения и обновления сервера отключите политику или измените значение ключа AllowEncryptionOracle на 0:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0
Не рекомендуется — временный способ 2:
— Отключите проверку подлинности на уровне сети (NLA) на стороне RDP сервера.
Отключение проверки подлинности уровня сети (NLA) для RDP
Если на стороне RDP сервера включен NLA, для преаутентификации пользователей используется протокол CredSSP. Вы можете отключить Network Level Authentication в свойствах системы (SystemPropertiesRemote.exe) на вкладке Удаленный доступ (Remote), сняв галочку «Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети».
В Windows 7 эта опция называется по-другому: «Разрешить подключения от компьютеров с любой версией удаленного рабочего стола (опасный)».
Также можно отключить проверку подлинности на уровне сети (NLA) с помощью редактора локальной групповой политики:
— Перейдите в раздел Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Безопасность (Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services – Remote Desktop Session Host –> Security).
Отключите политику «Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети» (Require user authentication for remote connections by using Network Level Authentication).
Также необходимо в политике «Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP» (Require use of specific security layer for remote (RDP) connections) выбрать уровень безопасности (Security Layer) — RDP.
Для применения новых настроек RDP обновите настройки групповых политик
gpupdate /force
Или перезагрузите компьютер. После этого вы сможете успешно подключиться к удаленному рабочему столу сервера.