by Afam Onyimadu
Afam is a geek and the go-to among his peers for computer solutions. He has a wealth of experience with Windows operating systems, dating back to his introduction… read more
Updated on February 2, 2023
- If your computer can’t connect to the remote computer because of a security package error, we discuss three ways to resolve it.
- When you encounter a security package error, you have likely tried to initiate the connection through a proxy server.
- Stopping Windows from saving your RDP connection history may be a good precautionary method to try.
XINSTALL BY CLICKING THE DOWNLOAD FILE
- Download Restoro PC Repair Tool that comes with Patented Technologies (patent available here).
- Click Start Scan to find Windows 11 issues that could be causing PC problems.
- Click Repair All to fix issues affecting your computer’s security and performance
- Restoro has been downloaded by 0 readers this month.
Windows’ RDP (Remote Desktop Protocol) makes it possible for you to gain access to another computer. RDP functions using Windows’ modern Remote Desktop or legacy Remote Desktop Connection app.
When trying to establish a connection, you may have encountered the error message: your computer can’t connect to the remote computer because of a security package error.This error is more likely to have occurred because you initiate the connection through a proxy server.
In this article, we discuss the security package error and show you the steps to take to fix it.
In our guide, you can also get the best suggestions for Remote Control software for Windows 10 and 11.
Why am I getting the Remoteapp disconnected security package error?
There are multiple reasons for this error, and the most common are your registry values. If the app isn’t properly configured in registry, you may encounter this issue.
It’s also possible that there’s an issue with your credentials, so removing them and adding them again can help with this problem.
How can I fix the security package error on Windows 11?
1. Delete the RDP connection cache in your registry
- Open the Run dialog using Windows key + R, type in regedit, and click OK.
- Navigate to:
ComputerHKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault
- On the right pane, select the list of connections; these are labeled MRU(X), where X is a number, right-click on them and select the delete option.
- Navigate to:
ComputerHKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers
- Right-click on the server folder and select Delete.
- Click on the Start Window, type CMD and select Run as administrator.
- Type the following command and press Enter:
del /ah %homepath%documentsdefault.rdp
Each user’s registry stores information for every RDP connection. Using built-in Windows tools, removing a computer or computers from the list of RDP connection history is impossible. The above steps are taken to get rid of the registry keys manually.
Once the steps are completed, the security package error message may be resolved.
2. Clear the saved RDP credentials
- Open the Start Menu, type Control Panel, and click on the Control Panel app.
- Navigate to User Accounts section. Then go to Credential Manager and pick Manage Windows credentials.
- Under the Generic Credentials, if you have any RDP credentials saved, it will show us an IP address preceded by TERMSRV. Expand it and click Remove.
Note that if you select the option to Remember me before you enter your password for a new remote RDP connection, your credentials (username and password) will be remembered in the Windows Credential Manager.
The RDP client utilizes the previously remembered credentials for authentication on the remote host for subsequent connections. Clearing these credentials may resolve the security package error.
- How to run commands on a remote computer using wmic
- 5+ best remote control software for Windows 11
- How to Play DVDs on Windows 11 [Easy & Free Methods]
3. Disable Remote Desktop bitmap caching
- Open the round dialog using Windows key + R, type mstsc.exe, and hit the OK button.
- Navigate to the Experience tab of your Remote Desktop Connection app, and uncheck the option for Persistent Bitmap Caching at the bottom.
Note that image persistent bitmap caching is included in the RDC (Remote Desktop Connection) client. As a raster image cache, the RDP client caches rarely changing parts of the remote screen.
The mstsc.exe client uses this to load elements of the screen from the local drive cache that haven’t changed since the last rendering. The RDP caching feature reduces the quantity of data sent across the network.
Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.
When using the RDP cache, it may be damaged. Disabling persistent bitmap caching may also be beneficial.
4. Use a 3rd-party RDP
A third-party RDP may not fix the issues you have with your Windows RDP, but it is a great way to bypass it. Third-party solutions often are more advanced than the inbuilt Windows solution.
A tool like Mikogo is a viable option, and it is packed with many features.
You may help customers using mouse control and remote keyboard, or you can give someone else control of your PC.
It offers a function that allows you to share documents, desktop, or application windows in real-time with up to 25 meeting attendees.
It also allows you to show only the application windows you want to be seen and conceal the others, ensuring that your presentation is the focus of attention. Mikogo also supports up to four monitors.
⇒ Get Mikogo
Can I stop Windows from saving my RDP connection History?
As a prevention against the security package error, you may want Windows not to save RDP connection history. It is possible.
In this case, you should disable all accounts from automatic writing to the registry key: HKCUSoftwareMicrosoftTerminal Server Client
Note that if you do not have access to gpedit.msc you may not be able to stop Windows from saving your RDP connection History manually.
These solutions are simple things to try if you receive the security package error message while trying to create a remote connection.
If you’re still having problems, our Remote Desktop connection not working guide has a couple of great solutions that you should try.
We will like to read your comments and know which of the solutions discussed helped you resolve the security package error.
Still having issues? Fix them with this tool:
SPONSORED
If the advices above haven’t solved your issue, your PC may experience deeper Windows problems. We recommend downloading this PC Repair tool (rated Great on TrustPilot.com) to easily address them. After installation, simply click the Start Scan button and then press on Repair All.
Newsletter
by Afam Onyimadu
Afam is a geek and the go-to among his peers for computer solutions. He has a wealth of experience with Windows operating systems, dating back to his introduction… read more
Updated on February 2, 2023
- If your computer can’t connect to the remote computer because of a security package error, we discuss three ways to resolve it.
- When you encounter a security package error, you have likely tried to initiate the connection through a proxy server.
- Stopping Windows from saving your RDP connection history may be a good precautionary method to try.
XINSTALL BY CLICKING THE DOWNLOAD FILE
- Download Restoro PC Repair Tool that comes with Patented Technologies (patent available here).
- Click Start Scan to find Windows 11 issues that could be causing PC problems.
- Click Repair All to fix issues affecting your computer’s security and performance
- Restoro has been downloaded by 0 readers this month.
Windows’ RDP (Remote Desktop Protocol) makes it possible for you to gain access to another computer. RDP functions using Windows’ modern Remote Desktop or legacy Remote Desktop Connection app.
When trying to establish a connection, you may have encountered the error message: your computer can’t connect to the remote computer because of a security package error.This error is more likely to have occurred because you initiate the connection through a proxy server.
In this article, we discuss the security package error and show you the steps to take to fix it.
In our guide, you can also get the best suggestions for Remote Control software for Windows 10 and 11.
Why am I getting the Remoteapp disconnected security package error?
There are multiple reasons for this error, and the most common are your registry values. If the app isn’t properly configured in registry, you may encounter this issue.
It’s also possible that there’s an issue with your credentials, so removing them and adding them again can help with this problem.
How can I fix the security package error on Windows 11?
1. Delete the RDP connection cache in your registry
- Open the Run dialog using Windows key + R, type in regedit, and click OK.
- Navigate to:
ComputerHKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault
- On the right pane, select the list of connections; these are labeled MRU(X), where X is a number, right-click on them and select the delete option.
- Navigate to:
ComputerHKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers
- Right-click on the server folder and select Delete.
- Click on the Start Window, type CMD and select Run as administrator.
- Type the following command and press Enter:
del /ah %homepath%documentsdefault.rdp
Each user’s registry stores information for every RDP connection. Using built-in Windows tools, removing a computer or computers from the list of RDP connection history is impossible. The above steps are taken to get rid of the registry keys manually.
Once the steps are completed, the security package error message may be resolved.
2. Clear the saved RDP credentials
- Open the Start Menu, type Control Panel, and click on the Control Panel app.
- Navigate to User Accounts section. Then go to Credential Manager and pick Manage Windows credentials.
- Under the Generic Credentials, if you have any RDP credentials saved, it will show us an IP address preceded by TERMSRV. Expand it and click Remove.
Note that if you select the option to Remember me before you enter your password for a new remote RDP connection, your credentials (username and password) will be remembered in the Windows Credential Manager.
The RDP client utilizes the previously remembered credentials for authentication on the remote host for subsequent connections. Clearing these credentials may resolve the security package error.
- How to run commands on a remote computer using wmic
- 5+ best remote control software for Windows 11
- How to Play DVDs on Windows 11 [Easy & Free Methods]
3. Disable Remote Desktop bitmap caching
- Open the round dialog using Windows key + R, type mstsc.exe, and hit the OK button.
- Navigate to the Experience tab of your Remote Desktop Connection app, and uncheck the option for Persistent Bitmap Caching at the bottom.
Note that image persistent bitmap caching is included in the RDC (Remote Desktop Connection) client. As a raster image cache, the RDP client caches rarely changing parts of the remote screen.
The mstsc.exe client uses this to load elements of the screen from the local drive cache that haven’t changed since the last rendering. The RDP caching feature reduces the quantity of data sent across the network.
Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.
When using the RDP cache, it may be damaged. Disabling persistent bitmap caching may also be beneficial.
4. Use a 3rd-party RDP
A third-party RDP may not fix the issues you have with your Windows RDP, but it is a great way to bypass it. Third-party solutions often are more advanced than the inbuilt Windows solution.
A tool like Mikogo is a viable option, and it is packed with many features.
You may help customers using mouse control and remote keyboard, or you can give someone else control of your PC.
It offers a function that allows you to share documents, desktop, or application windows in real-time with up to 25 meeting attendees.
It also allows you to show only the application windows you want to be seen and conceal the others, ensuring that your presentation is the focus of attention. Mikogo also supports up to four monitors.
⇒ Get Mikogo
Can I stop Windows from saving my RDP connection History?
As a prevention against the security package error, you may want Windows not to save RDP connection history. It is possible.
In this case, you should disable all accounts from automatic writing to the registry key: HKCUSoftwareMicrosoftTerminal Server Client
Note that if you do not have access to gpedit.msc you may not be able to stop Windows from saving your RDP connection History manually.
These solutions are simple things to try if you receive the security package error message while trying to create a remote connection.
If you’re still having problems, our Remote Desktop connection not working guide has a couple of great solutions that you should try.
We will like to read your comments and know which of the solutions discussed helped you resolve the security package error.
Still having issues? Fix them with this tool:
SPONSORED
If the advices above haven’t solved your issue, your PC may experience deeper Windows problems. We recommend downloading this PC Repair tool (rated Great on TrustPilot.com) to easily address them. After installation, simply click the Start Scan button and then press on Repair All.
Newsletter
by Afam Onyimadu
Afam is a geek and the go-to among his peers for computer solutions. He has a wealth of experience with Windows operating systems, dating back to his introduction… read more
Published on April 9, 2022
- If your computer can’t connect to the remote computer because of a security package error, we discuss three ways to resolve it.
- When you encounter a security package error, you have likely tried to initiate the connection through a proxy server.
- Stopping Windows from saving your RDP connection history may be a good precautionary method to try.
XINSTALL BY CLICKING THE DOWNLOAD FILE
- Download Restoro PC Repair Tool that comes with Patented Technologies (patent available here).
- Click Start Scan to find Windows 11 issues that could be causing PC problems.
- Click Repair All to fix issues affecting your computer’s security and performance
- Restoro has been downloaded by 0 readers this month.
Windows’ RDP (Remote Desktop Protocol) makes it possible for you to gain access to another computer. RDP functions using Windows’ modern Remote Desktop or legacy Remote Desktop Connection app.
When trying to establish a connection, you may have encountered the error message: your computer can’t connect to the remote computer because of a security package error.This error is more likely to have occurred because you initiate the connection through a proxy server.
In this article, we discuss the security package error and show you the steps to take to fix it.
In our guide, you can also get the best suggestions for Remote Control software for Windows 10 and 11.
Why am I getting the Remoteapp disconnected security package error?
There are multiple reasons for this error, and the most common are your registry values. If the app isn’t properly configured in registry, you may encounter this issue.
It’s also possible that there’s an issue with your credentials, so removing them and adding them again can help with this problem.
How can I fix the security package error on Windows 11?
1. Delete the RDP connection cache in your registry
- Open the Run dialog using Windows key + R, type in regedit, and click OK.
- Navigate to:
ComputerHKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault
- On the right pane, select the list of connections; these are labeled MRU(X), where X is a number, right-click on them and select the delete option.
- Navigate to:
ComputerHKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers
- Right-click on the server folder and select Delete.
- Click on the Start Window, type CMD and select Run as administrator.
- Type the following command and press Enter:
del /ah %homepath%documentsdefault.rdp
Each user’s registry stores information for every RDP connection. Using built-in Windows tools, removing a computer or computers from the list of RDP connection history is impossible. The above steps are taken to get rid of the registry keys manually.
Once the steps are completed, the security package error message may be resolved.
2. Clear the saved RDP credentials
- Open the Start Menu, type Control Panel, and click on the Control Panel app.
- Navigate to User Accounts section. Then go to Credential Manager and pick Manage Windows credentials.
- Under the Generic Credentials, if you have any RDP credentials saved, it will show us an IP address preceded by TERMSRV. Expand it and click Remove.
Note that if you select the option to Remember me before you enter your password for a new remote RDP connection, your credentials (username and password) will be remembered in the Windows Credential Manager.
The RDP client utilizes the previously remembered credentials for authentication on the remote host for subsequent connections. Clearing these credentials may resolve the security package error.
- How to run commands on a remote computer using wmic
- 5+ best remote control software for Windows 11
- Windows 11 Not Printing In Color: 6 Quick Fixes
- Fix: System Cooling Policy is Missing in Windows 11
3. Disable Remote Desktop bitmap caching
- Open the round dialog using Windows key + R, type mstsc.exe, and hit the OK button.
- Navigate to the Experience tab of your Remote Desktop Connection app, and uncheck the option for Persistent Bitmap Caching at the bottom.
Note that image persistent bitmap caching is included in the RDC (Remote Desktop Connection) client. As a raster image cache, the RDP client caches rarely changing parts of the remote screen.
The mstsc.exe client uses this to load elements of the screen from the local drive cache that haven’t changed since the last rendering. The RDP caching feature reduces the quantity of data sent across the network.
Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.
When using the RDP cache, it may be damaged. Disabling persistent bitmap caching may also be beneficial.
4. Use a 3rd-party RDP
A third-party RDP may not fix the issues you have with your Windows RDP, but it is a great way to bypass it. Third-party solutions often are more advanced than the inbuilt Windows solution.
A tool like Mikogo is a viable option, and it is packed with many features.
You may help customers using mouse control and remote keyboard, or you can give someone else control of your PC.
It offers a function that allows you to share documents, desktop, or application windows in real-time with up to 25 meeting attendees.
It also allows you to show only the application windows you want to be seen and conceal the others, ensuring that your presentation is the focus of attention. Mikogo also supports up to four monitors.
⇒ Get Mikogo
Can I stop Windows from saving my RDP connection History?
As a prevention against the security package error, you may want Windows not to save RDP connection history. It is possible.
In this case, you should disable all accounts from automatic writing to the registry key: HKCUSoftwareMicrosoftTerminal Server Client
Note that if you do not have access to gpedit.msc you may not be able to stop Windows from saving your RDP connection History manually.
These solutions are simple things to try if you receive the security package error message while trying to create a remote connection.
If you’re still having problems, our Remote Desktop connection not working guide has a couple of great solutions that you should try.
We will like to read your comments and know which of the solutions discussed helped you resolve the security package error.
Still having issues? Fix them with this tool:
SPONSORED
If the advices above haven’t solved your issue, your PC may experience deeper Windows problems. We recommend downloading this PC Repair tool (rated Great on TrustPilot.com) to easily address them. After installation, simply click the Start Scan button and then press on Repair All.
Newsletter
by Afam Onyimadu
Afam is a geek and the go-to among his peers for computer solutions. He has a wealth of experience with Windows operating systems, dating back to his introduction… read more
Published on April 9, 2022
- If your computer can’t connect to the remote computer because of a security package error, we discuss three ways to resolve it.
- When you encounter a security package error, you have likely tried to initiate the connection through a proxy server.
- Stopping Windows from saving your RDP connection history may be a good precautionary method to try.
XINSTALL BY CLICKING THE DOWNLOAD FILE
- Download Restoro PC Repair Tool that comes with Patented Technologies (patent available here).
- Click Start Scan to find Windows 11 issues that could be causing PC problems.
- Click Repair All to fix issues affecting your computer’s security and performance
- Restoro has been downloaded by 0 readers this month.
Windows’ RDP (Remote Desktop Protocol) makes it possible for you to gain access to another computer. RDP functions using Windows’ modern Remote Desktop or legacy Remote Desktop Connection app.
When trying to establish a connection, you may have encountered the error message: your computer can’t connect to the remote computer because of a security package error.This error is more likely to have occurred because you initiate the connection through a proxy server.
In this article, we discuss the security package error and show you the steps to take to fix it.
In our guide, you can also get the best suggestions for Remote Control software for Windows 10 and 11.
Why am I getting the Remoteapp disconnected security package error?
There are multiple reasons for this error, and the most common are your registry values. If the app isn’t properly configured in registry, you may encounter this issue.
It’s also possible that there’s an issue with your credentials, so removing them and adding them again can help with this problem.
How can I fix the security package error on Windows 11?
1. Delete the RDP connection cache in your registry
- Open the Run dialog using Windows key + R, type in regedit, and click OK.
- Navigate to:
ComputerHKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault
- On the right pane, select the list of connections; these are labeled MRU(X), where X is a number, right-click on them and select the delete option.
- Navigate to:
ComputerHKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers
- Right-click on the server folder and select Delete.
- Click on the Start Window, type CMD and select Run as administrator.
- Type the following command and press Enter:
del /ah %homepath%documentsdefault.rdp
Each user’s registry stores information for every RDP connection. Using built-in Windows tools, removing a computer or computers from the list of RDP connection history is impossible. The above steps are taken to get rid of the registry keys manually.
Once the steps are completed, the security package error message may be resolved.
2. Clear the saved RDP credentials
- Open the Start Menu, type Control Panel, and click on the Control Panel app.
- Navigate to User Accounts section. Then go to Credential Manager and pick Manage Windows credentials.
- Under the Generic Credentials, if you have any RDP credentials saved, it will show us an IP address preceded by TERMSRV. Expand it and click Remove.
Note that if you select the option to Remember me before you enter your password for a new remote RDP connection, your credentials (username and password) will be remembered in the Windows Credential Manager.
The RDP client utilizes the previously remembered credentials for authentication on the remote host for subsequent connections. Clearing these credentials may resolve the security package error.
- How to run commands on a remote computer using wmic
- 5+ best remote control software for Windows 11
- Windows 11 Not Printing In Color: 6 Quick Fixes
3. Disable Remote Desktop bitmap caching
- Open the round dialog using Windows key + R, type mstsc.exe, and hit the OK button.
- Navigate to the Experience tab of your Remote Desktop Connection app, and uncheck the option for Persistent Bitmap Caching at the bottom.
Note that image persistent bitmap caching is included in the RDC (Remote Desktop Connection) client. As a raster image cache, the RDP client caches rarely changing parts of the remote screen.
The mstsc.exe client uses this to load elements of the screen from the local drive cache that haven’t changed since the last rendering. The RDP caching feature reduces the quantity of data sent across the network.
Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.
When using the RDP cache, it may be damaged. Disabling persistent bitmap caching may also be beneficial.
4. Use a 3rd-party RDP
A third-party RDP may not fix the issues you have with your Windows RDP, but it is a great way to bypass it. Third-party solutions often are more advanced than the inbuilt Windows solution.
A tool like Mikogo is a viable option, and it is packed with many features.
You may help customers using mouse control and remote keyboard, or you can give someone else control of your PC.
It offers a function that allows you to share documents, desktop, or application windows in real-time with up to 25 meeting attendees.
It also allows you to show only the application windows you want to be seen and conceal the others, ensuring that your presentation is the focus of attention. Mikogo also supports up to four monitors.
⇒ Get Mikogo
Can I stop Windows from saving my RDP connection History?
As a prevention against the security package error, you may want Windows not to save RDP connection history. It is possible.
In this case, you should disable all accounts from automatic writing to the registry key: HKCUSoftwareMicrosoftTerminal Server Client
Note that if you do not have access to gpedit.msc you may not be able to stop Windows from saving your RDP connection History manually.
These solutions are simple things to try if you receive the security package error message while trying to create a remote connection.
If you’re still having problems, our Remote Desktop connection not working guide has a couple of great solutions that you should try.
We will like to read your comments and know which of the solutions discussed helped you resolve the security package error.
Still having issues? Fix them with this tool:
SPONSORED
If the advices above haven’t solved your issue, your PC may experience deeper Windows problems. We recommend downloading this PC Repair tool (rated Great on TrustPilot.com) to easily address them. After installation, simply click the Start Scan button and then press on Repair All.
Newsletter
В Windows 10 вы можете настроить VPN-сеть средствами операционной системы, не прибегая к помощи сторонних программ. Для удобного создания VPN-подключения в Windows 10 и 11 разработчиками был реализован соответствующий графический интерфейс раздела приложения «Параметры», в котором пользователю предлагается ввести данные провайдера VPN. К сожалению, данная функция не отшлифована до конца.
На что указывают разные ошибки, время от времени выдаваемые системой при подключении к виртуальной сети.
Наиболее распространённой неполадкой при подключении к VPN в Windows 10 является сбой соединения L2TP, при этом система выдает сообщение «Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности…». Неполадка может быть вызвана некорректными настройками одного или нескольких сетевых устройств, однако, если вы не вносили изменений в их конфигурацию и до появления первого сбоя всё работало нормально, высока вероятность того, что причиной сбоя стали баги в обновлениях операционной системы.
Примечание: L2TP — это протокол соединения второго уровня, используемый в виртуальных сетях и представляющий собой расширение двухточечного протокола PPP, обеспечивающего прямую связь между устройствами. Основным преимуществом протокола L2TP является поддержка не только сетей IP, но также ATM, X.25 и Frame Relay.
Так, было замечено, что указанная ошибка в Windows 10 стала появляться после установки накопительных обновлений безопасности KB5009543 и KB5009566.
Откройте журнал обновлений и посмотрите, имеются ли эти апдейты на вашем ПК.
Если да, удалите их и перезагрузите компьютер.
Если решение не дало положительного результата или обновления не установлены, переходим к другим способам устранения неполадки.
Проверьте настройки виртуального адаптера
- Откройте командой ncpa.cpl настройки сетевых подключений, кликните по вашему виртуальному адаптеру правой кнопкой мыши и выберите «Свойства»;
- Переключитесь в окошке свойств на вкладку «Безопасность», активируйте радиокнопку «Разрешить следующие протоколы» и отметьте флажком пункт «Протокол Microsoft CHAP версии 2»;
- Переключитесь на вкладку «Параметры» и нажмите кнопку «Параметры PPP»;
- Откроется диалоговое окошко параметров PPP. Убедитесь, что в пункте «Включить расширения LCP» установлена галочка. Если ее нет, поставьте и сохраните настройки.
Отсутствие или неверные настройки ключей реестра
Ошибка подключения L2TP может быть вызвана отсутствием или неверным значением предварительных ключей ProhibitIPSec и AllowL2TPWeakCrypto, обеспечивающих соединение с использованием протокола L2TP/IPSec.
Если в свойствах VPN-подключения у вас выставлен тип L2TP, стоит проверить записи ветки реестра:
HKLMSystemCurrentControlSetServicesRasmanParameters
Откройте редактор реестра командой regedit, перейдите к указанной ветке и проверьте наличие в правой колонке DWORD-параметра ProhibitIPSec. Если таковой отсутствует, создайте его вручную.
И установите в качестве его значения 1.
Заодно проверяем наличие DWORD-параметра AllowL2TPWeakCrypto, он также должен иметь значение 1.
Если параметр отсутствует, создаем его, сохраняем настройки, перезагружаем компьютер и пробуем подключиться к VPN.
Загрузка…
Содержание
- 1 Ошибка CredSSP, исправляем за минуту
- 2 Ошибка CredSSP, исправляем за минуту
- 3 Как выглядит ошибка credssp
- 4 Назначение CredSSP
- 5 Причины ошибки шифрования CredSSP
- 6 Варианты исправления ошибки CredSSP
- 7 Отключаем credssp в Windows через NLA
- 8 Отключаем шифрование credssp через GPO
- 9 Самый правильный метод, это установка обновлений
Начиная с 8 мая 2018 года, после установки обновлений на свой персональный компьютер, многие пользователи виртуальных серверов под управлением ОС Windows Server столкнулись с ошибкой «CredSSP encryption oracle remediation» при попытке подключения к удалённому рабочему столу: На самом деле это не ошибка, а уведомление о проблеме безопасности давно необновлённого сервера. 13 марта 2018 года вышла информация об уязвимости в протоколе CredSSP и первые патчи для ее закрытия в серверных операционных системах. Эта уязвимость позволяет в обход проверки выполнять на самом сервере от имени передаваемых учётных записей различные команды, включая установку и удаление произвольного программного обеспечения, изменение и удаление данных на сервере, создание учётных записей с произвольными правами. С этой проблемой не столкнулись те, кто своевременно устанавливал накопительные обновления на свой сервер. В марте они вышли для серверных операционных систем, для десктопных ОС они автоматически установились с прочими обновлениями в мае. Для решения проблемы первым делом нужно к нему все-таки подключиться. Проще всего это сделать через авариный режим работы с сервером в вашем личном кабинете – такое есть почти у кажого провайдера VPS / VDS серверов. На VPS.house это делается простым кликом на скриншот экрана сервера в личном кабинете: Или же вы можете на время просто отключить на компьютере, с которого пытаетесь подключаться, данное блокирующее уведомление о проблеме безопасности:Инструкция для тех, кто пользуется редакцией Windows HOME:[развернуть]1. Запустите на вашем компьютере (том, с которого хотите подключиться к серверу) командную строку от имени администратора2. Наберите следующий текст в командной строке (можно скопировать и вставить):
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Эта команда вносит изменения в реестр Windows, разрешая вашему компьютеру подключаться с протоколом шифрования CredSSP к ещё необновлённому серверу. Если в результате выполнения вы получили ошибку «Отказано в доступе», значит вы запустили командную строку НЕ от имени администратора (см. на скриншоте выше как запускается командная строка корректно).Инструкция для тех, кто пользуется редакцией Windows PRO:[развернуть]1. Откройте редактор групповых политик, для этого в командной строке или в PowerShell наберите «gpedit.msc» или найдите его через поиск на вашем ПК по фразе «Edit group policy» или «Изменение групповой политики» если вы работаете в русскоязычном интерфейсе. Если после выполнения этой команды вы получили ошибку о том, что команда не найдена или не является внутренней или внешней командой, значит у вас Windows не версии PRO, а скорее всего HOME и вам нужно смотреть инструкцию выше.2. В папках настроек дерева слева вам необходимо открыть:
Computer Configuration -> Administrative Templates -> System -> Credentials Delegation
если ваша ОС русифицирована, то:
Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных
3. В папке «Credentials Delegation» («Передача учетных данных») найдите параметр «Encryption Oracle Remediation» («Исправление уязвимости шифрующего оракула»), откройте его, включите его использование, выбрав «Enabled» («Включено») и установите значение параметра в выпадающем списке на «Vulnerable» («Оставить уязвимость») После выполнения этих действий на вашем ПК, вы сможете подключаться к серверу также, как и раньше, но это не решение проблемы безопасности. Как только вы подключились к серверу, установите обновления как это делается в любой десктопной версии Windows. Если при попытке установки возникает ошибка, поверьте запущена ли служба «Windows Update» («Центр обновления Windows»). Открыть список служб можно по пути:
Start -> Windows Administrative Tools -> Services
если ваша ОС русифицирована, то:
Пуск -> Средства администрирования Windows -> Службы
Если служба не запускается, проверьте, разрешен ли ее запуск: статус не должен быть «Disabled» («Отключена»). Если вы используете Windows Server 2012 R2 или Windows Server 2008 R2 SP1, то вы можете установить не все обновления, а только одно, исправляющее эту уязвимость и тем самым значительно быстрее решить проблему подключения к серверу. Скачать его можно прямо с сайта Microsoft на странице описания уязвимости: • обновление для Windows Server 2012 R2 • обновление для Windows Server 2008 R2 SP1 Если, прочитав всё описанное выше, вам так и не удалось понять, что нужно сделать или если ничего не получилось, вы всегда можете пересоздать сервер в личном кабинете – эта функция также есть у любого провайдера облачных услуг. Она существует для получения сервера чистого, как будто вы только что его заказали, он будет пустым, все ваши данных будут потеряны! Прибегаете к ней только в крайней необходимости и в случае если на вашем сервере не хранится и не работает ничего важного или требующего долгой последующей настройки. Все образы операционных систем Windows Server на VPS.house по умолчанию содержат все последние обновления и после пересоздания сервера проблем с ошибкой «CredSSP encryption oracle remediation» при подключении к нему уже не будет.
Ошибка CredSSP, исправляем за минуту
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз мы с вами чинили HDD с поврежденной файловой системой и состоянием RAW уверен, что вам удалось это сделать. Сегодня я в очередной раз переведу наш вектор траблшутера в сторону терминальных столов, а именно мы рассмотрим ситуацию, что когда вы пытаетесь подключиться к удаленному серверу по RDP протоколу, а у вас после ввода логина и пароля, выскакивает ошибка, что вы не прошли проверку подлинности и причиной ошибки может быть исправление шифрования CredSSP. Давайте разбираться, что за зверь, этот CredSSP и как вам получить доступ к вашему серверу.
Как выглядит ошибка credssp
Перед тем, как я покажу вам известные мне методы ее устранения, я бы как обычно хотел подробно описать ситуацию. Вчера при попытке подключиться к своему рабочему компьютеру, работающему на Windows 10 1709, с терминального стола, входящего в RDS ферму на Windows Server 2012 R2, я получил ошибку после ввода логина и пароля:
An authentication error has occurred. The function requested is not supported. Remote computer name. This coild be to CredSSP encryption oracle remediation.
Ну и конечно в русском исполнении:
Произошла ошибка при проверке подлинности. Указанная функция не поддерживается. Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP
Получается двоякая ситуация, что RDP как бы работает, но вот по какой-то причине ваши учетные данные на принимающей стороне не соответствуют, каким-то критериям, давайте разбираться, что это за зверь CredSSP.
Назначение CredSSP
Что такое CredSSP — это Win32 API, используемый системами Microsoft Windows для выполнения различных операций, связанных с безопасностью, таких как аутентификация. SSPI функционирует, как общий интерфейс для нескольких поставщиков поддержки безопасности (SSP). Поставщик поддержки безопасности — это библиотека динамической компоновки (DLL), которая делает один или несколько пакетов безопасности доступными для приложений.
CredSSP позволяет приложению делегировать учетные данные пользователя от клиента целевому серверу для удаленной аутентификации. CredSSP предоставляет зашифрованный канал протокола безопасности транспортного уровня . Клиент проходит проверку подлинности по зашифрованному каналу с использованием протокола SPNEGO (Simple and Protected Negotiate) с Microsoft Kerberos или Microsoft NTLM.
После проверки подлинности клиента и сервера клиент передает учетные данные пользователя на сервер. Учетные данные дважды шифруются с использованием ключей сеанса SPNEGO и TLS. CredSSP поддерживает вход в систему на основе пароля, а также вход в систему с использованием смарт-карт на основе X.509 и PKINIT.
Подробнее на Microsoft https://docs.microsoft.com/en-us/windows/desktop/secauthn/credential-security-support-provider
Windows SSP
Следующие поставщики общих служб устанавливаются вместе с Windows:
- Согласование (введено в Windows 2000) (secur32.dll) — выбирает Kerberos и, если не доступно, протокол NTLM. SSP обеспечивает возможность единого входа , иногда называемую встроенной аутентификацией Windows (особенно в контексте IIS). В Windows 7 и более поздних версиях представлен NEGOExts, в котором согласовывается использование установленных пользовательских SSP, которые поддерживаются на клиенте и сервере для аутентификации.
- Безопасный канал (он же SChannel) — Представлен в Windows 2000 и обновлен в Windows Vista и выше для поддержки более надежного шифрования AES и ECC. Этот поставщик использует записи SSL/TLS для шифрования полезных данных. (Schannel.dll)
- PCT (устарел) реализация Microsoft TLS/SSL — криптография SSP с открытым ключом, которая обеспечивает шифрование и безопасную связь для аутентификации клиентов и серверов через Интернет. Обновлено в Windows 7 для поддержки TLS 1.2.
- Учетные данные (CredSSP) (Представлено в Windows Vista и доступно в Windows XP с пакетом обновления 3 (SP3)) (credssp.dll) — обеспечивает SSO и проверку подлинности на уровне сети для служб удаленных рабочих столов.
- Криптография с открытым ключом «пользователь-пользователь» (PKU2U) (представлена в Windows 7 ) (pku2u.dll) — обеспечивает одноранговую аутентификацию с использованием цифровых сертификатов между системами, которые не являются частью домена.
Подробнее на https://en.wikipedia.org/wiki/Security_Support_Provider_Interface
Причины ошибки шифрования CredSSP
В марте 2018 года, компания Microsoft выпустила обновление безопасности для устранения уязвимостей для протокола поставщика поддержки безопасности учетных данных (CredSSP) под именем CVE-2018–0886 (https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018), используемого подключениями по протоколу удаленного рабочего стола (RDP) для клиентов Windows и Windows Server. Как только пользователи и системные администраторы произвели установку апдейтов, то по всему миру начались массовые жалобы, что люди не могут подключаться по протоколу RDP к серверам, компьютерам, получая ошибку, что причиной ошибки может быть шифрование CredSSP.
К сожалению 99% людей и администраторов совершают одну и туже ошибку, они сразу ставят обновления, не дождавшись пары дней после их выхода. Обычно этого времени хватает, чтобы вендор определил проблемы и отозвал глючное обновление.
Уязвимость в протоколе Credential Security Support Provider (CredSSP — провайдер поддержки безопасности учетных данных) допускала удаленный запуск произвольного кода на уязвимой системе и 8 мая 2018 г. Microsoft изменила уровень безопасности подключения с Vulnerable
на Mitigated
и начались проблемы подключения к удаленному рабочему столу по RDP. Ранее вы могли удаленно подключаться с обновленной машины к машинам без обновления безопасности, так сказать в мягком режиме. Однако с последним обновлением, Microsoft усилила безопасность, и вы больше не можете подключаться к компьютерам без обновления закрывающего брешь CVE-2018–0886.
Под раздачу попали буквально все, клиентские ОС Windows 7, Windows 8.1, Windows 10 с которых были попытки подключиться к RDS ферме или RemoteApp приложениям работающим на Windows Server 2008 R2 и выше. Если бы вы читали ветки обсуждений в эти дни, то вы бы поняли все негодование людей, особенно с запада.
Варианты исправления ошибки CredSSP
На самом деле вариантов много, есть правильные, есть и временные и обходные, которые нужно сделать быстро, чтобы хоть как-то работало, так как бизнес может в этот момент простаивать и терять деньги.
- Вы можете удалить новое обновление безопасности, самый плохой вариант, но в ответственные моменты, иногда используется, чтобы перенести работы на вечер или ночь
- Если нужно быстро получить доступ к серверу и избежать проверку подлинности credssp, то я вам советую отключить на принимающем подключении сервере галку NLA (Network Level Authentication) в русском варианте «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети»
- То же быстрый метод и на массовое применение, это использование групповой политики, которая изменит шифрование Oracle Remediation
- Ну и самый правильный метод, это установка обновлений на все ваши системы
Отключаем credssp в Windows через NLA
Данный метод выхода из ситуации я бы рассматривал, как быстрое, временное решение, до того, как вы установите обновления безопасности. Чтобы разрешить удаленное подключение к серверу и избегать ситуации, что произошла ошибка при проверке подлинности credssp, сделайте вот что. Откройте свойства моего компьютера, попав в систему, так же можно нажать одновременно WIN+Pause Breake или как вариант в командной строке ввести control /name Microsoft.System. В окне «Система» находим пункт меню «Настройка удаленного доступа»
Снимите галку «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети»
После этого вы легко сможете подключиться к данному компьютеру или серверу, но как быть что вы не можете туда попасть и снять эту галку, тут нам на помощь придет реестр Windows. Вы можете удаленно создать нужные ключи реестра, которые отключат галку NLA или политику CredSSP. Для этого вы можете пойти двумя путями:
- Использовать сетевой реестр Windows
- Использовать удаленное управление компьютером, например PsExec.exe, я вам с помощью него уже показывал, как открывать порты в брандмауэре, удаленно.
Давайте попробуем через удаленный реестр, для этого открываем Regedit, через окно «Выполнить».
Из меню «Файл» выберите пункт «Подключить сетевой реестр», далее найдите нужный вам сервер.
У вас подключится дополнительный реестр с двумя кустами. Переходите по пути (Если у вас не будет CredSSPParameters, то нужно будет их создать):
HKLMSoftwareMicrosoftWindowsCurrentVersion PoliciesSystemCredSSPParameters
Тут вам необходимо создать REG_DWORD ключ с именем AllowEncryptionOracle и значением 2. В данном варианте политика CredSSP выставит Уязвимый уровень — это самый низкий уровень защиты. Это позволит вам подключаться к серверам удаленно, используя RDP. Однако это подвергнет серверы атакам.
Или можно так же отключить NLA, для этого найдите ветку реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl Terminal ServerWinStationsRDP-Tcp
Найдите там ключ SecurityLayer и выставите ему значение , чтобы деактивировать Network Level Authentication.
Теперь то же самое вы можете выполнить и через PsExec.exe, выставив для CredSSP минимальный уровень защиты или же отключить NLA, для этого находясь в cmd в режиме администратора введите команду:
PsExec.exe w10-cl01 -u rootАдминистратор -p пароль cmd
w10-cl01 — это имя компьютера.
Далее имея запущенный сеанс cmd для удаленного компьютера, выполните команду:
REG ADD HKLMSoftwareMicrosoftWindows CurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2 (0 вернет все как было)
Аналогично можно сделать и для отключения Network Level Authentication, команда будет такой:
REG ADD «HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminal ServerWinStationsRDP-Tcp» /v SecurityLayer /t REG_DWORD /d 0
Еще раз обращаю ваше внимание, что данный метод временный и самый не безопасный, применяемый в случаях, когда уже ничего сделать нельзя или дольше, а нужно уже вчера, обязательно установите все нужные обновления.
Отключаем шифрование credssp через GPO
Если у вас большая инфраструктура, в которой сотни компьютеров и сотни серверов, то вы можете до установки нужных обновлений в вечернее время, временно отключить новый уровень шифрования CredSSP и убрать ошибку «Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP». Для этого мы можем воспользоваться всеми плюсами доменной инфраструктуры Active Directory. Тут два варианта, вы можете создать массовую политику для распространения ее на нужные OU или если у вас требование для одного или двух локальных компьютеров, то на них можно запустить локальный редактор групповых политик, тем самым внеся изменения только на них.
Напоминаю, что оснастку управление групповой политикой вы можете найти на контроллере домена или компьютере с установленным пакетом RSAT, открыть ее можно через команду в окне «Выполнить» gpmc.msc. Если нужно открыть локальный редактор групповых политик, то в окне «Выполнить» введите gpedit.msc.
Вам необходимо перейти в ветку:
Конфигурация компьютера — Административные шаблоны — Система — Передача учетных данных — Исправление уязвимости шифрующего оракула (Computer Configuration — Administrative Templates — System — Credentials Delegation — Encryption Oracle Remediation
Открываем настройку «Исправление уязвимости шифрующего оракула (Encryption Oracle Remediation)». Включаем политику, у вас активируется опция «Уровень защиты», на выбор будет три варианта:
- Принудительно применять обновленные клиенты (Force Updated Clients) — она будет стоять по умолчанию из-за максимального уровня защиты, вам данную опцию нужно сменить. Это так сказать максимально безопасный уровень взаимодействия клиент, он должен быть в идеале, после установки обновлений на все сервера и компьютеры.
- Оставить уязвимость (Vulnerable) – клиенты могут подключаться на уязвимые машины.
- Уменьшить риск (Mitigated) – клиенты не могут подключаться к уязвимым серверам, но серверы могут принимать уязвимые клиенты.
Выбираем на время пункт «Оставить уязвимость (Vulnerable)». Сохраняем настройки.
После чего вам нужно обновить политику, для этого откройте командную строку и введите gpupdate /force. Если у вас не доменный компьютер, да и еще Windows 10 Home, которая не имеет встроенного локального редактора политик, то вам как я описывал выше, нужно производить правку реестра
REG ADD HKLMSoftwareMicrosoftWindows CurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2 (0 вернет все как было)
На просторах интернета ходит скрипт PowerShell, который поможет включить данную политику на всех компьютерах в Active Directory
Самый правильный метод, это установка обновлений
Когда вам удалось везде подключиться и подошло время обслуживания ваших серверов, быстренько производим установку обновлений закрывающих брешь (CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability).
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Раньше были вот такие KB, но они со временем могут меняться свой номер, поэтому пройдите по ссылке выше, так будет надежнее.
- Windows Server 2012 R2 / Windows 8: KB4103715
- Windows Server 2008 R2 / Windows 7: KB4103712
- Windows Server 2016 / Windows 10 1607 — KB4103723
- Windows Server 2016 / Windows 10 1703 — KB4103731
- Windows Server 2016 / Windows 10 1709 — KB4103727
- Windows Server 2016 / Windows 10 1803 — KB4103721
На этом у меня все, надеюсь, что вы разобрались в работе CredSSP и научились ей управлять. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Мар 28, 2019 09:00
После установки обновлений безопасности Windows, которые вышли после мая 2018 года, вы можете столкнуться с ошибкой CredSSP encryption oracle remediation при RDP подключении к удаленному серверу и компьютеру Windows в следующих случаях:
- Вы подключаетесь к удаленному рабочему столу компьютера с недавно установленной старой (например, RTM) версией Windows (например, Windows 10 ниже билда 1803, Windows Server 2012 R2, Windows Server 2016), на котором не установлены последние обновления безопасности Windows;
- Вы пытаетесь подключиться к RDP компьютеру, на который давно не устанавливали обновления Microsoft;
- RDP подключение блокирует удаленный компьютер, т.к. нет нужных обновлений безопасности на вашем клиентском компьютере.
Попробуем разобраться с тем, что означает RDP ошибка CredSSP encryption oracle remediation и как ее можно исправить.
Итак, при попытке подключения к приложению RemoteApp на RDS серверах под Windows Server 2016 / 2012 R2 / 2008 R2, или к удаленным рабочим столам других пользователей по протоколу RDP (на Windows 10, 8.1 или 7), появляется ошибка:
Данная ошибка связана с тем, что на Windows Server или на обычной десктопной версии Windows, к которой вы пытаетесь подключится по RDP, не устанавлены обновления безопасности Windows (как минимум с марта 2018 года).
Так же эта ошибка может выглядеть так: Произошла ошибка проверки подлинности. Указанная функция не поддерживается.
Дело в том, что еще в марте 2018 Microsoft выпустила обновление, закрывающее возможность удаленного выполнения кода с помощью уязвимости в протоколе CredSSP (Credential Security Support Provider). Подробно проблема описана в бюллетене CVE-2018-0886. В мае 2018 было опубликовано дополнительное обновление, в котором по-умолчанию клиентам Windows запрещается подключаться к удаленным RDP серверам с уязвимой (непропатченной) версией протокола CredSSP.
Таким образом, если вы на RDS/RDP серверах (компьютерах) Windows с марта 2018 года не устанавливались накопительные обновления безопасности, а на RDP клиентах установлены майские обновления (или более новые), то на них при попытке подключится к RDS серверам с непропатченной версией CredSSP будет появляется ошибка о невозможности подключения: This could be due to CredSSP encryption oracle remediation
.
Ошибка RDP клиента появляется после установки следующих обновлений безопасности:
- Windows 7 / Windows Server 2008 R2 — KB4103718
- Windows 8.1 / Windows Server 2012 R2 — KB4103725
- Windows Server 2016 — KB4103723
- Windows 10 1803 — KB4103721
- Windows 10 1709 — KB4103727
- Windows 10 1703 — KB4103731
- Windows 10 1609 — KB4103723
В списке перечислены номера KB от мая 2018 года, на данный момент вам нужно скачивать и устанавливать более новый пакет накопительных обновлений для вашей редакции Windows. Вы можете получить последние обновления безопасности через Windows Update с серверов Microsoft, с локального WSUS сервера, или скачать вручную из каталога обновлений Windows — Microsoft Update Catalog — https://www.catalog.update.microsoft.com/Home.aspx. Например, для поиска обновлений за август 2019 года для Windows 10 1803 нужно использовать поисковый запрос: windows 10 1803 8/*/2019. Скачайте и установите кумулятивное обновление (в моем примере это будет “2019-08 Cumulative Update for Windows 10 Version 1803 for x64-based Systems (KB4512509)”.
Для восстановления удаленного подключения к рабочему столу можно удалить обновления безопасности на клиенте, с которого выполняется RDP подключение (но это крайнене рекомендуется, т.е. есть более безопасное и правильное решение).
Для решения проблемы вы можете временно на компьютере, с которого вы подключаетесь по RDP, отключить проверку версии CredSSP на удаленном компьютере. Это можно сделать через редактор локальных групповых политик. Для этого:
- Запустите редактор локальных GPO — gpedit.msc;
- Перейдите в раздел политик Computer Configuration -> Administrative Templates -> System -> Credentials Delegation (Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных);
- Найдите политику с именем Encryption Oracle Remediation (Исправление уязвимости шифрующего оракула). Включите политику (Enabled/ Включено), а в качестве параметра в выпадающем списке выберите Vulnerable / Оставить уязвимость;
- Осталось обновить политики на вашем компьютере (команда
gpupdate /force
) и попробовать подключится по RDP к удаленному компьютеру. При включенной политике Encryption Oracle Remediation со значением Vulnerable ваши терминальные приложения с поддержкой CredSSP смогут подключаться даже к RDS/RDP серверам и компьютерам Windows, на которых отсутствуют актуальные обновления безопасности.
Политика Encryption Oracle Remediation предлагает 3 доступных значения защиты от CredSSP уязвимости:
- Force Updated Clients — самый высокий уровень защиты, когда RDP сервер запрещает подключение не обновлённым клиентам. Обычно эту политику стоит включать после полного обновления всей инфраструктуры и интеграции актуальных обновлений безопасности в установочные образы Windows для серверов и рабочих станций;
- Mitigated – в этом режиме блокируется исходящее удаленное RDP подключение к RDP серверам с уязвимой версией CredSSP. Однако другие службы, использующие CredSSP работаю нормально;
- Vulnerable –самый низкий уровень зашиты, когда разрешается подключение к RDP сервера с уязвимой версией CredSSP.
Если у вас отсутствует редактор локальных GPO (например, в Home редакциях Windows), вы можете внести изменение, разрешающее RDP подключение к серверам с непропатченной версия CredSSP, напрямую в реестр с помощью команды:REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Вы можете изменить этот параметр в реестре сразу на множестве компьютеров в AD с помощью доменной GPO (консоль gpmc.msc) или таким PowerShell скриптом (список компьютеров в домене можно получить с помощью командлета Get-ADComputer из модуля RSAT-AD-PowerShell):
Import-Module ActiveDirectory$PSs = (Get-ADComputer -Filter *).DNSHostNameForeach ($computer in $PCs) {Invoke-Command -ComputerName $computer -ScriptBlock {REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2}}
После успешного подключения к удаленному RDP серверу (компьютеру) нужно установить на нем актуальные обновления безопасности через службу Windows Update (проверьте, что служба включена) или вручную. Скачайте и установите последние кумулятивные обновления Windows как показано выше. Если при установке MSU обновления появляется ошибка “Это обновление неприменимо к вашему компьютеру”, познакомьтесь со статей по ссылке.
Для Windows XP/ Windows Server 2003, которые сняты с поддержки нужно установить обновления для Windows Embedded POSReady 2009. Например, https://support.microsoft.com/en-us/help/4056564
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 0 /f
Есть еще один сценарий, когда обновления отсутствуют на вашем компьютере. Например, RDP сервер обновлен, но на нем выставлена политика, блокирующая RDP подключения с компьютеров с уязвимой версией CredSSP (Force Updated Clients). В этом случае при RDP подключении вы также увидите ошибку “This could be due to CredSSP encryption oracle remediation”.
Проверьте последнюю дату установки обновлений Windows на вашем компьютере с помощью модуля PSWindowsUpdate или через WMI команду в консоли PowerShell:
gwmi win32_quickfixengineering |sort installedon -desc
В этом примере видно, что последние обновления безопасности Windows устанавливалось 17 июня 2018 года. Скачайте и установите более новый MSU файл с кумулятивным обновлением для вашей редакции Windows (смотрите выше).
Используемые источники:
- https://habr.com/p/358190/
- http://pyatilistnik.org/oshibka-credssp-ispravlyaem-za-minutu/
- https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka-credssp-encryption-oracle-remediation/
Содержание
- Удаленный рабочий стол не работает после обновления Windows 10? Попробуйте это 5 решений
- Удаленный рабочий стол не работает
- Проверьте есть проблема с сетью
- Проверьте, разрешено ли соединение RDC
- Разрешить удаленный рабочий стол через брандмауэр Защитника Windows
- Проверьте службы зависимости RDP
- Отключить протокол IPv6
- Не удается подключиться к удаленному компьютеру
- Причины и история появления ошибки
- Исправление ошибки с RDP-подключением
- Удаление конфликтного ПО
- Откат изменений обновления KB2992611
- Снижение требований к уровню шифрования
- Смена или обновление RDP-клиента
- RDP: ошибка пакета безопасности на транспортном уровне
- Из-за ошибки безопасности клиент не смог подключиться к серверу Терминала
- Симптомы
- Причина
- Решение
Удаленный рабочий стол Windows также известен как Службы удаленных рабочих столов (RDS), или RDP (Протокол удаленного рабочего стола) — очень полезная функция, позволяющая подключаться к другим компьютерам или устройствам, которые подключены к локальной сети или находятся в Интернете и имеют публичный IP-адрес. Но иногда пользователи сообщают:Невозможно подключиться к удаленному ПК«, Удаленный рабочий стол не работает после обновления windows 10, windows 10 удаленный рабочий стол недоступен и т.п.
Удаленный рабочий стол не работает
Ваш компьютер не может подключиться к удаленному компьютеру из-за ошибки пакета безопасности на транспортном уровне. Повторите попытку подключения или обратитесь к администратору сети за помощью.
или
«Невозможно подключиться к удаленному ПК. Убедитесь, что удаленный рабочий стол включен, удаленный компьютер включен и доступен в сети, а затем повторите попытку ».
Существуют различные причины, такие как ограниченное сетевое подключение, нехватка памяти, ошибочное обновление или неправильные настройки брандмауэра и другие причины, которые приводят к невозможности подключения удаленного рабочего стола. Если вы также боретесь с Проблема с подключением к удаленному рабочему столу, Здесь 5 рабочих решений для вас.
Проверьте есть проблема с сетью
Прежде чем идти вперед, сначала проверьте и убедитесь, что:
Проверьте, разрешено ли соединение RDC
Если вы используете функцию подключения к удаленному рабочему столу в первый раз, или у вас новый компьютер, и вы ищете доступ через удаленный рабочий стол, поэтому вам необходимо проверить, разрешено ли подключение RDC. Вот как Разрешить удаленные подключения на вашем Windows 10 компьютер,
Разрешить удаленный рабочий стол через брандмауэр Защитника Windows
В большинстве случаев брандмауэр Windows блокирует доступ к удаленному рабочему столу по соображениям безопасности. Следуйте инструкциям ниже, чтобы Разрешить удаленный рабочий стол через брандмауэр Защитника Windows.
Проверьте службы зависимости RDP
Отключить протокол IPv6
Отключите IPv6 (версия интернет-протокола), одно из самых эффективных решений, которое помогает большинству пользователей устранять проблемы с подключением к удаленному рабочему столу.
Помогли ли эти решения устранить проблемы с подключением к удаленному рабочему столу Windows 10? Дайте нам знать о комментариях ниже, также читайте Google Chrome не работает / не отвечает в Windows 10? Попробуйте это 7 решений
Источник
Не удается подключиться к удаленному компьютеру
Окно с ошибкой «Не удается подключиться к удаленному компьютеру» возникает при попытке подключения к удаленному серверу через RDP-клиент. Исправление ситуации может требовать много времени из-за длительной диагностики причины проблемы, так как все настройки сети и подключения оказываются в порядке.
Попытка определить проблему и последующая трассировка показывает, что при попытке подключения клиент все-таки подключается к удаленному серверу. Все порты также исправно работают и оказываются доступны. Выходит, что компьютер успешно подключается к серверу, но тот его не пускает.
Оглавление:
Причины и история появления ошибки
Возникновение ошибки «Не удается подключиться к удаленному компьютеру» после ввода логина и пароля говорит о том, что порт доступен. Проблема началась с 2014 года, после того, как было выпущено обновление KB2992611. Этот пакет обновлений существенно ужесточил параметры безопасности.
Уровень безопасности и шифрования поднялся, но при этом появились непредвиденные последствия вроде этой ошибки. Последующие обновления ситуацию не исправили, а только ухудшали. Усиление безопасности Windows приводило к новым программным конфликтам между разными версиями ОС и сторонним ПО. К примеру, конкретно эта ошибка имеет одинаковые шансы появиться на Windows XP, 7, 8, 10, Windows Server 2012 и даже менее популярных версиях системы.
Причины возникновения ошибки:
Это основные, но не единственные причины, по которым Windows вступает в конфликт с ПО и выдает ошибку с сообщением «Не удается подключиться к удаленному компьютеру. Повторите попытку подключения. Если проблема повторится, обратитесь к владельцу удаленного компьютера.»
Если начать просматривать логи Windows, то можно увидеть следующее системное предупреждение: «Возникло следующее неустранимое предупреждение: 80 (или 36888). Внутренне состояние ошибки: 1250.»
Помимо этого, можно найти информацию об ошибке в компоненте протокола: «Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента.» Именно эта ошибка ответственна за то, что не удается установить соединение с удаленным компьютером по RDP-клиенту.
Если причиной появления проблемы стала конкретная программа, установленная недавно, самым простым способом будет ее удаление с компьютера. Практически всегда можно найти аналогичное по функционалу ПО, которое не будет вступать в конфликт с операционной системой. Если это невозможно, либо возникновение ошибки не связано с недавно установленным софтом, можно попробовать исправить ситуацию при помощи одного из советов ниже.
Исправление ошибки с RDP-подключением
Существует несколько способов исправить системную ошибку с RPD-подключением. Следует выбрать способ решения проблемы, наиболее подходящий для конкретной ситуации, в зависимости от вызвавшей ошибку причины. При помощи советов ниже можно исправить ошибку «Не удается подключиться к удаленному компьютеру. Повторите попытку подключения. Если проблема повторится, обратитесь к владельцу удаленного компьютера» в 9 из 10 случаев.
Первое, что следует сделать:
После выполнения этих действий Windows должна перестать конфликтовать с удаленным компьютером, и подключение успешно установится.
Удаление конфликтного ПО
Удаление «Крипто ПРО», VipNet и других программ с аналогичным функционалом или связанных с шифрованием — самый простой способ исправление проблемы. Деинсталляция ПО также является правильным и самым безопасным способом, поскольку исключает вмешательство в систему.
Если требуются конкретно эти программы, следует все равно удалить их и очистить систему от мусора при помощи CCleaner или аналогичного софта. После этого следует перезагрузить компьютер и убедиться, что ошибка при подключении к удаленному компьютеру более не появляется. Затем можно заново установить нужный софт, только использовать последнюе лицензионные версии — они не вызывают ошибки при RDP-подключении.
Откат изменений обновления KB2992611
В случае с обновлением KB2992611 есть два способа действий: переустановка этого обновление и установка других, перекрывающих проблемное.
Можно пойти двумя путями:
Указанные версии обновлений со временем могут становиться недействительными, поскольку будут перекрываться более новыми версиями. Следует посетить сайт Microsoft и проверить наличие обновлений. Для версий операционной системы начиная с Windows 7, все нужные обновления можно устанавливать через «Центр обновлений» в Панели управления.
Скачать обновление KB2992611 можно с официального сайта Microsoft по ссылке microsoft.com/ru-ru/download/
Скачать обновление KB3011780 можно по ссылке microsoft.com/ru-ru/download/id=44966
Данные обновления системы безопасности предназначены для Windows Server 2008 R2 x64 Edition. Это логично, так как ошибка часто возникает при попытке подключения компьютера к удаленному серверу, работающему под управлением Windows Server 2008.
Снижение требований к уровню шифрования
Этот способ советуется использовать в самом конце, так как он снижает общий уровень безопасности соединения. Тем не менее, уменьшение защиты RDP-соединения и понижение требований к шифрованию может помочь во многих случаях. Для того, чтобы это сделать, потребуется изменить настройки безопасности удаленного рабочего стола.
После того, как указанные действия были сделаны, ошибка должна исчезнуть. Можно сразу пробовать подключиться по RDP при помощи логина и пароля — соединение успешно установится. Если это не помогло, то следует воспользоваться одним из альтернативных вариантов решения проблемы.
Смена или обновление RDP-клиента
Самое простое, что можно сделать, если не помогают другие способы — использовать другой RDP-клиент. К примеру, можно загрузить Remote Desktop Manager. Несмотря на большое количество настроек, в базовом функционале программы достаточно просто разобраться. Не сложно найти другие бесплатные решения, избавляющие от ошибок подключения к удаленному ПК по RDP-протоколу.
Если нет желания ставить сторонний софт, можно постараться обновить штатный RDP-клиент от Microsoft. Наиболее стабильной версией считается RDP 8.1, в первую очередь предназначенная для Windows 7 SP1. Загрузить обновление клиента можно с официального сайта Microsoft.
Обновление работает на следующих версиях Windows: Windows 7 (Service Pack 1, Enterprise, Home Basic, Home Premium, Professional, Starter, Ultimate),Windows Server 2008 (R2 Service Pack 1, R2 Enterprise, R2 Datacenter, R2 Foundation, R2 Standard), Windows Web Server 2008 R2.
Указанные действия должны помочь в 99% случаев. Оставшемуся проценту можно посоветовать:
Удаленный компьютер может попросту находиться в спящем режиме. Для того, чтобы этого не происходило, следует в настройках выставить переход в спящий режим «Никогда». К удаленному компьютеру не получится подключиться, если на учетной записи пользователя не установлен пароль — эта мера необходима по соображениям безопасности. В конце концов, подключению могут мешать настройки NLA, если включена проверка подлинности на уровне сети на стороне сервера.
Источник
RDP: ошибка пакета безопасности на транспортном уровне
Однажды у пользователя при попытке подключиться к ЛАЙВ.Cloud начала возникать ошибка:
Пользователь обратился в поддержку облака от Первого Бита, но там ему не смогли помочь, посоветовали обновить Windows:
Я решил последовать этому совету и обновить Windows. На компьютере была Windows 7:
Попытался запустить обновления, но обновление не сработало:
Тогда решил погуглить по поводу ошибки, как ее исправлять.
Согласно одной из рекомендаций сначала решил проверил целостность системных файлов командой sfc /scannow
Но потом вспомнил, что эта команда работает долго, поэтому решил попробовать методику с одного форума. Там пеняют на Крипто-Про.
Я сам ставил на этот компьютер Vipnet CSP, поэтому подумал, что проблема может касаться и этого криптопровайдера. Но на всякий случай набрал в строке запуска «Крипто» и обнаружил, что на компьютере стоит еще и Крипто-Про. А ведь эти программы не дружат между собой. Наверное, доступ прекратился после установки Vipnet-CSP в довесок к имеющейся Крипто-Про.
Поэтому выполнил вот этот совет:
Зашел в ветку реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa:
И поменял там sspp на schannel:
Сразу не заработало, поэтому попросил перезагрузить компьютер (как в методичке).
Удивительно, но сработало и после перезагрузки пользователь получил доступ по RDP!
Время факт: 20 минут.
Приятно осознавать, что я оказался компетентнее поддержки самого Первого Бита!
Источник
Из-за ошибки безопасности клиент не смог подключиться к серверу Терминала
В этой статье данная статья позволяет решить проблему, из-за которой клиентам служб терминалов после обновления неоднократно отказывали в доступе к серверу терминала Windows.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 329896
Симптомы
После обновления домена Microsoft Windows NT до Windows 2000 или Windows Server 2003 Windows клиенты терминалов 2000 могут быть неоднократно лишены доступа к серверу терминала. Если клиент служб терминала используется для входа на сервер терминала, вы можете получить одно из следующих сообщений об ошибке:
Из-за ошибки безопасности клиент не смог подключиться к серверу терминала. После входа в сеть попробуйте снова подключиться к серверу.
Удаленный рабочий стол отключен. Из-за ошибки безопасности клиент не мог подключиться к удаленному компьютеру. Убедитесь, что вы вошли в сеть, а затем попробуйте подключиться снова.
Кроме того, следующие сообщения об ИД событий могут быть зарегистрированы в viewer событий на сервере терминала:
ID события: 50
Источник событий: TermDD
Описание события. Компонент протокола RDP X.224 обнаружил ошибку в потоке протокола и отключил клиента.
Идентификатор события: 1008
Источник событий: TermService
Описание события. Истек срок действия льготного периода лицензирования служб терминалов, и служба не зарегистрирована на сервере лицензии. Для непрерывной работы требуется лицензионный сервер служб терминала. Сервер терминала может работать без лицензионного сервера в течение 90 дней после начального запуска.
ID события: 1004
Источник событий: TermService
Описание событий. Сервер терминала не может выдавать клиентскую лицензию.
Идентификатор события: 1010
Источник событий: TermService
Описание событий. Службы терминала не смогли найти сервер лицензии. Подтвердим, что все серверы лицензий в сети зарегистрированы в WINSDNS, принимают сетевые запросы и работает служба лицензирования терминальных служб.
ID события: 28
Источник событий: TermServLicensing
Описание события. Лицензирование терминальных служб можно запускать только на контроллерах домена или сервере в workgroup. Дополнительные сведения см. в разделе Справка по лицензированию терминалов серверов.
Причина
Эта проблема может возникнуть, если сертификат на сервере терминала поврежден.
Решение
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт: 322756 Как создать и восстановить реестр в Windows
Чтобы устранить эту проблему, повторите работу и удалите ключи реестра сертификатов X509, перезапустите компьютер, а затем активируете сервер лицензирования терминальных служб. Для этого выполните указанные ниже действия.
Выполните следующую процедуру на каждом из серверов терминала.
Убедитесь, что реестр серверов терминала был успешно отлажнен.
Откройте редактор реестра.
Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermServiceParameters
В меню реестра щелкните Файл реестра экспорта.
Введите экспортные параметры в поле Имя файла и нажмите кнопку Сохранить.
Если в будущем необходимо восстановить этот файл реестра, дважды щелкните файл Exported-parameters.reg, сохраненный на этом шаге.
В подки «Параметры реестра» щелкните правой кнопкой мыши каждое из следующих значений, щелкните Удалить, а затем нажмите кнопку Да, чтобы подтвердить удаление:
Выйти из редактора реестра и перезапустить сервер.
Активировать сервер лицензирования терминальных служб с помощью метода телефонного подключения в мастере лицензирования.
Если активировать сервер лицензирования терминальных служб с помощью параметра Phone, сервер лицензирования использует другую форму сертификата.
Источник
Не удается установить связь с локальным администратором безопасности
Не удается установить связь с локальным администратором безопасности
Всем привет сегодня расскажу из-за чего выскакивает ошибка не удается установить связь с локальным администратором безопасности при попытке зайти на удаленный рабочий стол сервера терминалов. Ее вы спокойно можете увидеть, как в Windows XP, так и в server 2008 r2- 2016. Давайте смотреть какие причины могут быть препятствием к подключению. Сразу отмечу, что все это быстро решаемо и не займет у вас много сил и времени. Убедитесь, что для выполнения действий у вас есть права локального администратора, если нет, обратитесь к вашим технарям.
Вот как все это выглядит:
Ситуация следующая, есть рабочий компьютер одного бухгалтера, в один из прекрасных дней обращается она ко мне по скайпу, и рассказывает что не может подключиться на терминальный рабочий стол Windows Server 2012 R2, хотя вчера у нее все работало. Захожу к ней по teamviwer и начинаю проверять. У нас для захода на сервер терминалов нужно чтобы было VPN подключение, у нее все работало отлично. Следующим шагом проверил обновления Windows. При попытке обновить валилась ошибка 800B001. Как только я ее увидел, вспомнил что были проблемы раньше с Крипто про CSP. И действительно стал смотреть в Ccleaner раздел программы. отфильтрованном по дате установки, увидел старого знакомого Крипто про CSP 3.6, установленного сегодня. Спросил можно ли его удалить проверить догадку, девушка дала добро. После чего ошибка не удается установить связь с локальным администратором безопасности в Windows 7 при попытке подключиться через RDP исчезла. Подключились сразу к сервер терминалов 2012 и продолжили работу. Победа.
Я уверен что программа Крипто про очень часто выступает в роли сущности, которая не очень дружит порой с Windows, пилите Шура пилите.
Еще из возможных причин может быть уровень проверки подлинности удаленного рабочего стола, если у вас на сервере терминалов включен режим:
Если это так, то со старых систем, по типу XP, вы не подключитесь, если только не обновите RDP клиента на нем, либо отключите эту проверку.
Источник
Произошла ошибка проверки подлинности. Указанная функция не поддерживается
После установки обновления KB4103718 на моем компьютере с Windows 7 я не могу удаленно подключится к серверу через удаленный рабочий стол RDP. После того, как я указываю адрес RDP сервера в окне клиента mstsc.exe и нажимаю «Подключить», появляется ошибка:
Подключение к удаленному рабочему столу
Произошла ошибка проверки подлинности.
Указанная функция не поддерживается.
После того, как я удалил обновление KB4103718 и перезагрузил компьютер, RDP подключение стало работать нормально. Но, как я понимаю, это только временное обходное решение, в следующем месяце приедет новый патч и ошибка вернется. Можете что-нибудь посоветовать?
Ответ
Вы абсолютно правы в том, что бессмысленно решать проблему удалением обновлениq Windows, ведь вы тем самым подвергаете свой компьютер риску эксплуатации различных уязвимостей, которые закрывает данное обновление.
В своей проблеме вы не одиноки. У пользователей английской версии Windows при попытке подключится к RDP/RDS серверу появляется ошибка:
An authentication error has occurred.
The function requested is not supported.
Почему это происходит? В первую очередь рекомендую познакомится со статьей Ошибка RDP подключения: CredSSP encryption oracle remediation . В ней я подробно описывал, почему после установки последних (май 2018 года) обновлений безопасности на Windows клиентах, у пользователей могут появится проблемы с подключением к удаленным компьютерам / серверам по RDP. Дело в том, что в майских обновлениях безопасности Microsoft исправила серьезную уязвимость в протоколе CredSSP, использующегося для аутентификации на RDP серверах(CVE-2018-0886). В том случае, если на RDP сервере не установлены последние обновления и на нем используется устаревшая версия протокола CredSSP, такое подключение блокируется клиентом.
Что можно сделать для исправления данной проблемы
- Самый правильный способ решения проблемы – установка актуальных кумулятивных обновлений безопасности на компьютере / сервере, к которому вы подключаетесь по RDP.
- Временный способ 1 . Можно отключить NLA (Network Level Authentication / Проверку подлинности на уровне сети) на стороне RDP сервера (описано ниже).
- Временный способ 2 . Вы можете разрешить на стороне клиентов подключаться к RDP с небезопасной версией CredSSP, как описано в статье по ссылке выше (ключ реестра AllowEncryptionOracle или локальная политика Encryption Oracle Remediation / Исправление уязвимости шифрующего оракула) = Vulnerable / Оставить уязвимость).
Отключение NLA для протокола RDP в Windows
В том случае, если на стороне RDP сервера включен NLA, то это означает что для преаутентификации используется CredSPP. Отключить Network Level Authentication можно в свойствах системы на вкладке Удаленный доступ , сняв галку « Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети / Allow connection only from computers running Remote Desktop with Network Level Authentication (recommended)» (Windows 10 / Windows 8).
В Windows 7 эта опция называется по-другому. На вкладке Удаленный доступ нужно выбрать опцию « Разрешить подключения от компьютеров с любой версий удаленного рабочего стола (опасный) / Allow connections from computers running any version of Remote Desktop (less secure)»
Либо можно отключить проверку подлинности на уровне сети (NLA) с помощью редактора локальной групповой политики (gpedit.msc). Для этого перейдите в разделе Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Безопасность (Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services – Remote Desktop Session Host –> Security) нужно отключить политику Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети (Require user authentication for remote connections by using Network Level Authentication).
Также нужно в политике « Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP » (Require use of specific security layer for remote (RDP) connections) выбрать уровень безопасности (Security Layer) — RDP .
Для применения настроек RDP нужно обновить политики (gpupdate /force) или перезагрузить компьютер. После этого вы должны успешно подключиться к удаленному рабочему столу.
Источник
Не удается связаться с локальной службой безопасности
Эта ошибка возникает, когда пользователи пытаются подключиться к другим компьютерам через подключение к удаленному рабочему столу. Проблема не позволяет им подключиться и отображает сообщение об ошибке «Невозможно связаться с местным органом безопасности». Проблема часто возникает после установки обновления на клиентском или хост-ПК и вызывает много проблем в разных версиях Windows.
Было много неофициальных решений проблемы, которые были созданы пользователями, у которых был такой же неудачный опыт. Мы суммировали методы работы в этой статье, поэтому обязательно следуйте им, чтобы решить проблему.
Вот сообщение об ошибке:
Произошла ошибка аутентификации.
С местным органом безопасности нельзя связаться.
Если учетная запись пытается войти в авторизованное время, все будет работать нормально. Если сетевая аутентификация не требуется, клиент подключается к серверу, который отказывается подключаться, но отображает гораздо более приятное сообщение об ошибке «У вашей учетной записи есть ограничения по времени…».
Есть бесчисленное множество причин, почему это может иметь место. Но для меня это всегда было
Пользователь должен сменить пароль при следующем входе в систему.
Обновить:
Теперь мы рекомендуем использовать этот инструмент для вашей ошибки. Кроме того, этот инструмент исправляет распространенные компьютерные ошибки, защищает вас от потери файлов, вредоносных программ, сбоев оборудования и оптимизирует ваш компьютер для максимальной производительности. Вы можете быстро исправить проблемы с вашим ПК и предотвратить появление других программ с этим программным обеспечением:
- Шаг 1: Скачать PC Repair & Optimizer Tool (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
- Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
- Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.
Во многих ситуациях (например, если локальный компьютер не является членом домена удаленного компьютера), приложение «Подключение к удаленному рабочему столу» не может обработать запрос на изменение пароля пользователя, если включена проверка подлинности на уровне сети.
Отключение проверки подлинности на уровне сети для компьютеров за пределами домена
Это уменьшает RDP безопасность и поэтому не подходит для всех сред.
- Откройте панель управления. Убедитесь, что панель управления отображает элементы по категориям (т.е. не в классическом представлении). Нажмите «Система и безопасность», затем в разделе «Система» выберите «Разрешить удаленный доступ».
- В группе «Удаленный рабочий стол» выберите «Разрешить подключения с компьютеров, на которых установлена любая версия удаленного рабочего стола (менее безопасная).
Измените свой адрес DNS
Проблема часто вызвана дефектной конфигурацией DNS, которая просто не принимается хостом или его службой. Эту проблему легко решить, изменив настройки DNS по умолчанию, чтобы использовать параметры, предоставленные OpenDNS или Google. Это легко сделать в панели управления, поэтому обязательно внимательно следуйте этим шагам.
- Используйте сочетание клавиш Windows + R, которое сразу же открывает диалоговое окно «Выполнить», в котором необходимо ввести ncpa.cpl ‘на панели и нажать «ОК», чтобы открыть элемент «Параметры подключения к Интернету» на панели управления.
- Вы можете сделать то же самое, открыв панель управления вручную. Чтобы изменить отображение, нажмите «Определить категорию» в правом верхнем углу окна и выберите «Сеть и Интернет» в верхней части. Нажмите кнопку «Общий доступ и сетевой центр», чтобы открыть его. Попробуйте найти и нажать кнопку «Изменить настройки адаптера» в левом меню.
- Теперь, когда окно подключения к Интернету открывается одним из указанных выше способов, дважды щелкните активный сетевой адаптер и нажмите кнопку «Свойства» ниже, если у вас есть права администратора.
- Найдите Интернет-протокол версии 4 (TCP / IPv4) в списке. Нажмите на него, чтобы выбрать его, и нажмите кнопку «Свойства» ниже.
- Оставайтесь на вкладке «Общие» и установите переключатель в окне «Свойства» на «Использовать следующие адреса DNS-серверов», если для него установлено другое значение.
- Установите предпочитаемый DNS-сервер на 8.8.8.8, а альтернативный DNS-сервер на 8.8.4.4.
- Оставьте параметр «Проверить настройки при выходе» включенным и нажмите кнопку «ОК», чтобы немедленно применить изменения. Проверьте, сохраняется ли та же проблема!
CCNA, веб-разработчик, ПК для устранения неполадок
Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.
Источник
Содержание
- Вариант 1: Брандмауэр Windows
- Способ 1: Выключение брандмауэра
- Способ 2: Сброс настроек
- Способ 3: Добавление в список исключений
- Способ 4: Создание правила для входящих подключений
- Вариант 2: Антивирусная программа
- Вопросы и ответы
В большинстве случаев доступ в интернет блокируется встроенным средством защиты Windows – брандмауэром. Межсетевой экран может посчитать сайт ненадежным, ограничивая его посещение. Если ресурс проверенный, то можно попробовать отключить программное обеспечение системы, сбросить его настройки или добавить веб-сайт в список исключений. Для более опытных пользователей есть возможность создавать правила для входящих соединений с сетью.
Способ 1: Выключение брандмауэра
Чтобы проверить, действительно ли проблема кроется в работе встроенной защиты, можно попробовать на время деактивировать ее, затем посетить проблемный сайт и посмотреть, был ли восстановлен доступ к нему. Есть несколько способов отключить брандмауэр Windows, включая интерфейс «Защитника», а также через такие штатные средства, как «Панель управления» или «Командная строка». Все способы разобраны на нашем сайте в отдельном пошаговом руководстве для Windows 10.
Подробнее: Как отключить брандмауэр в Виндовс 10
Не забудьте снова активировать брандмауэр после проверки, иначе компьютер будет подвержен угрозе. Если блокирует доступ в интернет именно «Защитник», лучше воспользоваться следующими способами.
Способ 2: Сброс настроек
Пользователь может вернуть значения параметров брандмауэра по умолчанию, что позволит сбросить все настройки «Защитника». Это сработает, если кто-то случайно изменил их или произошел сбой в системе.
- Перейдите в «Панель управления», найдя приложение через «Пуск».
- В качестве просмотра выберите крупные или мелкие значки, затем нажмите на раздел «Брандмауэр Защитника Windows».
- На панели слева кликните по строке «Восстановить значения по умолчанию».
- В новом окне подтвердите действие, нажав на соответствующую кнопку.
- Откроется системное окно, в котором отобразится предупреждение. Ознакомьтесь с ним, затем нажмите на «ОК».
На этом сброс настроек брандмауэра завершен. Все параметры, которые были в нем по умолчанию, вернутся. Попробуйте посетить сайт, чтобы проверить, открыт ли доступ в интернет. Не лишним будет перезагрузить ПК.
Способ 3: Добавление в список исключений
Брандмауэр «Защитника» Windows 10 предусматривает функцию добавления приложения в список исключений. Если доступ в интернет заблокирован через браузер, то его и потребуется внести в этот перечень. Сделать это можно через интерфейс средства в «Панели управления». В нашем отдельном материале подробно описан алгоритм действий, только в данном случае потребуется добавить исполняемый (EXE) файл используемого обозревателя или любого другого приложения, с которым возникла проблема с подключением к сети.
Подробнее: Как добавить в исключения в брандмауэр на Windows 10
Способ 4: Создание правила для входящих подключений
Созданные вручную правила для подключений разрешают или запрещают доступ. Чтобы создать параметр для входящего подключения, нужно определить условия для получения информации из сети. В случае с входящими соединениями под правилом подразумевается мониторинг запросов, которые отправляются, а также процессов ответа из интернета.
Чтобы восстановить доступ к интернету в Windows 10, создайте правило для входящих подключений таким образом:
- В интерфейсе брандмауэра «Защитника» Windows нажмите на строку «Дополнительные параметры» на левой панели.
- В левой колонке кликните по строке «Правила для входящих подключений». На панели справа выберите пункт «Создать правило».
- Запустите встроенный Мастер создания правила. На вкладке «Тип правила» отметьте пункт «Для программы», затем нажмите на кнопку «Далее».
- На следующем шаге потребуется указать путь к исполняемому файлу (не к ярлыку!) программы. Отметьте соответствующий пункт, затем щелкните по кнопке «Обзор». После этого укажите путь через системный «Проводник».
- После того как путь будет указан, переходите к следующему шагу, нажав на кнопку продолжения.
- Определите тип действий. В окне доступно несколько вариантов: разрешение или блокировка подключения, а также разрешение безопасного соединения. Кликните по «Далее».
- Поставьте галочку у профиля, для которого правило будет применяться. Продолжите создание.
- На последнем этапе введите имя и, при необходимости, описание правила. Нажмите на кнопку «Готово», чтобы закрыть окно Мастера.
Если нужно создать правило для мессенджера или игрового сервера, то в Шаге 3 выберите пункт «Для порта».
Когда пользовательское правило окажется создано, его название будет отображаться в главном окне Монитора брандмауэра. Для выбора действия с ним щелкните по его названию, затем разверните меню справа: можно деактивировать его в любой момент, просмотреть свойства или даже удалить.
Вариант 2: Антивирусная программа
Нередко установленная антивирусная программа является причиной проблем с интернетом. Если софт заподозрил, что ресурс несет потенциальный вред, то он не пустит пользователя на сайт. Чтобы проверить, заблокирован ли доступ в интернет антивирусом, рекомендуется ненадолго отключить его. В большинстве случаев достаточно найти иконку ПО в трее и щелкнуть по ней правой кнопкой мыши. В появившемся меню должен быть пункт «Выйти» или «Закрыть»: выберите его.
С отключенной антивирусной программой компьютер находится под угрозой, поэтому не забудьте включить приложение снова после проверки.
Метод отключения антивирусного ПО может различаться, поскольку в некоторых случаях потребуется перейти в интерфейс. В нашем отдельном материале описано, как отключить защиту в наиболее распространенных программах.
Подробнее: Как отключить антивирус
Так же, как и брандмауэр, большинство антивирусных программ позволяют самостоятельно формировать белые и черные списки. С помощью этой функции можно добавить любой браузер, мессенджер или клиент онлайн-игры в исключения, но в различных приложениях делается это по-разному. Наш автор в отдельной статье разбирал порядок действий в некоторых распространенных антивирусах.
Подробнее: Как добавить программу в антивирусе в список исключения
Если ничего не помогло, попробуйте сбросить сетевые настройки. Это безопасно, и после перезагрузки компьютера доступ в интернет возобновится (при условии, что к его блокировке привели ошибки в работе Windows).
Способы сброса сетевых параметров в Windows 10
Весной 2018 года пользователи Windows начали сталкиваться с ошибкой, которая ранее практически не встречалась.
Вскоре выяснилось, что сообщение «Еncryption oracle remediations» возникало при попытке осуществить соединение клиентского ПК с удалённой машиной, и происходило это при следующих обстоятельствах:
Рассмотрим причины возникновения ошибки и как можно исправить ситуацию.
Почему появляется ошибка CredSSP
Итак, мы уже знаем, что на многих версиях Виндовс (серверных вариантов 2016/2012/2008, за исключением 2013, а также клиентских, начиная с 7) без установленных кумулятивных патчей, если вы пытаетесь осуществить соединение с удалённым ПК по RDS/RDP, может возникнуть проблема Remote Desktop connection.
Другими словами, при удалённом подключении к компьютеру во время процедуры проверки подлинности шифрования произошла ошибка CredSSP, причиной которой может быть несовпадение протоколов шифрования. Это происходит потому, что на одной из машин (клиентской или удалённой) не установлены соответствующие обновления, вышедшие после марта 2018 года.
Именно тогда Microsoft начала распространять обновление, направленное на защиту выявленной уязвимости протокола CredSSP, грозящей вероятностью удалённого выполнения кода злоумышленниками. Технические детали проблемы достаточно подробно приведены в бюллетене CVE2018-0886. Спустя два месяца вышло ещё одно обновление, вводившее по умолчанию запрет на возможность клиентской машины Windows связываться с удалённым сервером, если на нём версия протокола CredSSP не была пропатчена мартовским обновлением.
То есть если у вас стоит клиентская Windows с вовремя установленными майскими обновлениями, а вы совершаете попытку соединиться с удалёнными серверами, на которых, начиная с весны 2018 года, не производилась установка кумулятивных обновлений безопасности, такие попытки будут заканчиваться аварийно. При этом клиентская машина получит сообщение о невозможности выполнить удалённое подключение вида CredSSP.
Итак, причиной возникновения ошибки может оказаться исправление разработчиками протокола шифрования CredSSP, появившееся в результате выхода следующих обновлений:
- для серверной версии 2008 R2 и «семёрки» – KB4103718;
- для WS 2016 – KB4103723;
- для WS 2012 R2 и Windows 8.1 – KB4103725;
- для «десятки» сборки 1803 – KB4103721;
- для Windows 10 сборки 1609 – KB4103723;
- для «десятки» сборки 1703 – KB4103731;
- для W10 build 1709 — KB4103727.
В указанном перечне указаны номера обновлений, вышедших в мае 2018 года, в настоящее время необходимо устанавливать более свежие пакеты накопительных (их ещё называют кумулятивными) обновлений. Выполнить эту операцию можно несколькими способами. Например, обратившись к службе Windows Update, базирующейся на серверах разработчика, или с использованием локального сервера WSUS. Наконец, вручную скачать необходимые заплатки безопасности можно через Microsoft Update Catalog (это каталог обновлений Виндовс).
В частности, для поиска обновлений для своего компьютера, на котором установлена «десятка» сборки 1803, за май 2020 года поисковый запрос должен иметь следующий вид: windows 10 1803 5/*/2020.
Способы решения проблемы
Существует два пути выхода из сложившейся ситуации. Как нетрудно догадаться, один из них – удаление обновлений безопасности на клиентском компьютере, установленных после марта 2018 года. Разумеется, такой шаг считается весьма рискованным и настоятельно не рекомендуется, поскольку имеются другие варианты решения проблемы. Но он – самый простой в исполнении, и его можно использовать для однократной попытки доступа к удалённой машине.
А теперь рассмотрим альтернативные «правильные» варианты исправления ошибки, возникающей при проверке подлинности CredSSP.
Один из них – отключить (одноразово) процедуру проверку версии CredSSP на удалённом ПК во время попытки соединения по RDP. В этом случае вы остаётесь защищёнными, патчи остаются установленными, риск есть только во время сеанса связи.
Алгоритм действий:
Выключение политики EncryptionOracleRemediation позволит вашему компьютеру подключаться даже к непропатченным удалённым ПК и серверам без наличия свежих обновлений безопасности.
ВНИМАНИЕ. Напомним, что такой способ устранения в Windows ошибки несовпадения шифрования CredSSP не рекомендуется для постоянного применения. Лучше сообщите администратору удалённой машины о проблеме несоответствия протоколов шифрования для установки соответствующих обновлений.
Рассмотрим, как работает политика EOR. Она имеет три уровня защиты от уязвимостей протокола CredSSP при отсутствии патчей:
- Force Updated Clients – базовый уровень защиты, полный запрет подключения со стороны удалённой машины на подключение клиентских ПК без установленных обновлений. Как правило, эту политику активируют после полного обновления в рамках всей инфраструктуры сети, то есть после установки свежих обновлений на все связанные сетью рабочие станции, включая серверы, к которым осуществляется удалённое подключение.
- Mitigated – этот уровень защиты блокирует любые попытки подключения к серверам, на которых протокол CredSSP не пропатчен. При этом все остальные службы, работающие по CredSSP, не затрагиваются.
- Vulnerable – зашита минимального уровня, снимающая запрет на удалённый доступ к RDP машине при наличии уязвимой версии CredSSP.
Отметим, что на некоторых клиентских машинах (например, домашней версии Виндовс) редактор локальных политик в сборку не включён. В этом случае внесение изменений, позволяющих связываться с удалёнными машинами без пропатченных обновлений на серверной стороне, вносится вручную правкой реестра.
Для этого вводим в консоль «Выполнить» строку:
REG ADD HKMLSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Эту процедуру можно применить ко всем рабочим станциям, используя доменную GPO (консольный запуск – gpmc.msc), а можно применить скрипт PowerShell (чтобы получить перечень рабочих станций, принадлежащих данному домену, можно воспользоваться командлетом Get-ADComputer, входящим в состав RSAT-AD-PowerShell) следующего содержания:
Import-Module ActiveDirectory
$PSs = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $PCs) {
Invoke-Command -ComputerName $computer -ScriptBlock {
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
}
}
Но чтобы избежать лишнего риска, необходимо сразу после подключения к удаленной машине при наличии соответствующих прав установить актуальные обновления, используя службу Windows Update (она должна быть включена). Эту операцию можно выполнить вручную, скачав свежие кумулятивные обновления и выполнив их установку в соответствии с указанным ранее алгоритмом.
Если вы хотите исправить ошибку шифрования CredSSP на Виндовс XP/Server 2003, которые в настоящее время уже не поддерживаются, но в силу определённых обстоятельств вами используются, необходимо все эти машины пропатчить Embedded POSReady 2009.
ВАЖНО. После успешной попытки связаться с сервером, установки на нём кумулятивных патчей и перезагрузки сервера обязательно выполните обратные преобразования в политике клиентской машины, выставив значение в политике ForceUpdatedClients в стоявшее там по умолчанию или заменив значение ключа AllowEncryptionsOracle с 2 на исходный 0. Таким образом, вы снова защитите свой компьютер от уязвимостей, присущих для непропатченного RDP соединения, произведя исправление шифрования CredSSP.
Мы не упомянули ещё об одном сценарии возникновения ошибочного сообщения «Еncryption oracle remediation» – когда с удалённым сервером всё в порядке, а непропатченным оказывается клиентский компьютер. Она будет возникать, если на удалённой машине активирована политика, блокирующая попытки установления связи с непропатченными клиентскими ПК.
В данном случае удалять обновление безопасности на клиенте не нужно. При неудачной попытке связаться с сервером следует проверить, когда последний раз на клиентской машине производилась установка кумулятивных обновлений безопасности. Выполнить проверку можно посредством использования модуля PSWindowsUpdate, а также выполнив команду в консоле:
gwmi win32_quickfixengineering |sort installed on -desk
Если дата достаточно старая (необязательно до марта 2018 года), установите самое свежее кумулятивное обновление для вашей версии Windows.
Накануне столкнулся с одной проблемой. При подключении к удаленному рабочему столу на Windows Server 2008 R2 со старых клиентов RDP (версии 5) выдается ошибка:
«Из-за ошибки безопасности клиент не смог подключиться к серверу терминалов. Убедитесь в том, что вы вошли в сеть и повторите попытку подключения к серверу.»
Одно из решений данной задачи — обновить на всех хостах клиент RDP до версии 6. Но в данном случае использовались тонкие клиенты, для которых производитель уже перестал выпускать новые версии прошивок. Так что пришлось копать на самом сервере терминалов. Перепробовав множество различных способов решения этой проблемы, я все таки нашел тот, который реально помог. Нашелся он, как ни странно, на форуме техподдержки Microsoft. Проблема оказалось в сертификатах, выдаваемых сервером лицензирования удаленных рабочих столов. Ниже я привожу вольный перевод этой инструкции со своими скриншотами. Итак:
1. Реактивация сервера лицензирования.
Открываем «Диспетчер лицензирования удаленных рабочих столов» («Пуск» — «Администрирование» — «Службы удаленных рабочих столов» — «Диспетчер лицензирования удаленных рабочих столов» ). Кликаем правой кнопкой мыши на проблемном сервере лицензирования и в списке выбираем «Свойства» .
Меняем «Метод установки:» на «В браузер веб-страниц» , после чего жмем «ОК» .
Снова кликаем правой кнопкой мыши по серверу, затем «Подробно» и «Повторно активировать сервер» .
Запустится «Мастер активации сервера» , жмем «Далее» и попадаем на окно «Реактивация сервера лицензирования» , в котором нужно ввести новый код сервера лицензирования. Чтобы получить его проходим по ссылке в верхней части окна.
На открывшемся веб-сайте выбираем русский язык, затем устанавливаем переключатель на «Повторная активация сервера лицензий» и жмем «Далее» .
На следующей странице заполняем все поля, отмеченные звездочкой, взяв Идентификатор сервера и Код продукта из окна Мастера повторной активации. Если все введено верно, нажав 2 раза «Далее» мы получим новый код сервера лицензирования. Вводим его в окно реактивации сервера, жмем «Далее» и получаем сообщение, что «Сервер лицензирования успешно активирован повторно» . Закрываем окно нажав «Готово» и закрываем Диспетчер лицензирования удаленных рабочих столов.
2. Правка реестра.
Теперь открываем редактор реестра (для этого заходим «Пуск» — «Выполнить» — вводим команду «regedit» и нажимаем «ОК» ). Сделаем, на всякий случай, экспорт реестра. Далее, в редакторе реестра проходим по ветке:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerRCM
и удаляем значения
- Certificate
- X509 Certificate
- X509 Certificate ID
- X509 Certificate2
После чего, закрываем редактор реестра и перезагружаем компьютер.
Все, пробуем подключаться и видим, что ошибка исчезла!
На чтение 7 мин. Просмотров 1.2k. Опубликовано 23.04.2021
Xbox все больше становится одной из лучших игровых платформ, конкурируя с Play Station и Wii. С Xbox One и Xbox 360 у вас есть неограниченное количество игр, в которые можно играть, включая лучшие игры, такие как FIFA, Call of Duty, Far Cry, GTA, Assassin’s Creed, Gears и другие. Однако есть много энтузиастов ПК, которые любят играть в игры на своем ПК. По этой причине Microsoft создала приложение для потоковой передачи Windows 10 Xbox на ПК с Windows 10. Потоковая передача игр позволяет вам играть в игры для Xbox One удаленно с консоли Xbox One на любом ПК с Windows 10 в домашней сети. Вы также можете создать группу и присоединиться к ней, а также иметь возможность общаться с другими игроками на платформе. Эта функция позволяет вам выйти из гостиной и играть в любимые игры для Xbox One в любом месте с доступом к домашней сети. В потоковой передаче игр для управления игрой используются возможности консоли Xbox One. Ваш компьютер с Windows 10 становится удаленным вторым экраном, поэтому вы можете свободно перемещаться по дому, продолжая наслаждаться консолью Xbox One и играми.
Однако приложение иногда выдает ошибку. Можно получить уведомление на вкладке «Настройки»> «Сеть» в приложении Xbox с надписью «Подключение к серверу: заблокировано (это может повлиять на вашу способность играть в многопользовательские игры)». Поскольку вы не можете подключиться к серверу Xbox, вы не сможете играть в сетевых многопользовательских режимах, что лишает вас возможности взаимодействия с другими. Вы также не сможете присоединяться к группам, и общение в голосовом чате будет недоступно. В этой статье объясняется, почему возникает эта ошибка и как подключить приложение Xbox к серверу Xbox.
Содержание
- Причины ошибки «Подключение к серверу: заблокировано» в приложении Xbox для Windows 10
- Метод 1. Запустите/перезапустите «IP Помощник »и« Сетевая служба Xbox Live »
- Метод 2: Отключите другие сетевые адаптеры
- Метод 3. Удаление приложений VPN
- Метод 4: Блокирование правила брандмауэра
- Метод 5: Запуск команды
- Метод 6. Удаление драйверов Intel Management Engine
- Метод 7. Обновление Windows
Причины ошибки «Подключение к серверу: заблокировано» в приложении Xbox для Windows 10
Как говорится в ошибке, приложению Xbox заблокирован доступ к серверу Xbox. Блокировка обычно происходит где-то между вашим компьютером и маршрутизатором. Ниже приведены некоторые из проблем, которые могут возникнуть.
- Службы, необходимые Xbox для подключения к серверу, могут не работать, поэтому приложение не может получить доступ к серверу Xbox через ваш сеть.
- Возможно, приложение Xbox неправильно выбирает сетевой адаптер для подключения. Это может быть в том случае, если ваш компьютер может быть подключен через кабель локальной сети и через Wi-Fi. Выбор неправильной сети означает, что приложение Xbox не может завершить подключение к серверу Xbox, несмотря на то, что он видит доступность Интернета, следовательно, возвращает ошибку, что он заблокирован. Если вы подключили свой компьютер через несколько из этих сетевых адаптеров, проблема может быть более постоянной.
- Ваше стороннее приложение безопасности может блокировать ваше соединение. Усиливая собственные политики брандмауэра, ваши антивирусные, вредоносные и шпионские программы могут блокировать соединение между вашим приложением Xbox и сервером Xbox.. Приложения VPN (виртуальные частные сети) не поддерживают и не подключают широковещательные домены, поэтому некоторые службы могут не поддерживаться полностью или работать не так, как в локальной сети.
Ниже показано, как решить проблему с подключением к серверу в приложении Xbox для Windows 10.
Метод 1. Запустите/перезапустите «IP Помощник »и« Сетевая служба Xbox Live »
Эти службы помогают в завершении подключения к серверу Xbox. Без них у приложения Xbox могут возникнуть проблемы с успешным подключением. Перезапуск этих приложений может устранить все ошибки, вызванные их неправильным запуском. Чтобы запустить или перезапустить эти приложения, выполните следующие действия.
- Нажмите клавиши Windows + R, чтобы открыть окно «Выполнить».
- Введите « services.msc » и нажмите Enter, чтобы открыть окно служб
- Прокрутите вниз, пока не найдете запись с названием «IP Helper», щелкните ее правой кнопкой мыши и выберите «перезапустить».
- Прокрутите до конца и проделайте то же самое с« Сетевой службой Xbox Live ».
- Закройте окно, откройте приложение Xbox и еще раз проверьте ваше соединение; теперь он должен работать.
Метод 2: Отключите другие сетевые адаптеры
Отключение других сетевых адаптеров (подключенных или отключен) от центра сети и общего доступа (за исключением того, который вы используете), позволит приложению Xbox найти правильный адаптер и успешно подключиться через него. Для этого:
- Нажмите Windows Key + R, чтобы открыть команду.
- Введите ncpa.cpl и нажмите введите, чтобы открыть страницу сетевых адаптеров (центр управления сетями и общим доступом> изменить настройки адаптера).
- Определите соединение, которое вы хотите сохранить.
- Щелкните правой кнопкой мыши оставшуюся часть соединения (одно за другим) и выберите “Отключить”
- Отключенное соединение будет неактивен.
- Закройте окно, откройте приложение Xbox и еще раз проверьте соединение; теперь он должен работать.
Метод 3. Удаление приложений VPN
Приложения VPN могут препятствовать правильной связи между приложение Xbox и сервер Xbox. При создании виртуальной сети приложение Xbox может не найти правильное соединение. Типичным примером приложения VPN в Windows 10 является приложение LogMeIn Hamachi. Чтобы удалить такое приложение, выполните следующие действия.
- Нажмите Windows Key + R, чтобы запустить команду
- Введите appwiz.cpl и нажмите Enter, чтобы открыть окно программ и функций
- Найдите приложение VPN, например LogMeIn Hamachi.
- Выберите приложение, щелкнув по нему, а затем нажмите« Удалить ». ”
- Следуйте инструкциям программы удаления, чтобы завершить удаление.
- Закройте окно, откройте приложение Xbox и снова проверьте соединение; теперь он должен работать.
Метод 4: Блокирование правила брандмауэра
В некоторых случаях брандмауэр может блокировать определенные функции приложения. для подключения к Интернету. Поэтому на этом этапе мы будем проверять, были ли размещены какие-либо правила брандмауэра, касающиеся приложения, а затем полностью отключим его. Для этого:
- Одновременно нажмите кнопки «Windows» + «R» , чтобы открыть окно «Выполнить». .
- Введите «Cmd» и нажмите «Shift» + «Ctrl» + «Enter», чтобы предоставить ему права администратора.
- Введите следующую команду и нажмите «Enter» , чтобы выполнить ее.
netsh advfirewall firewall show rule 4jxr4b3r3du76ina39a98x8k2
- Если результат команды показывает, что правило не найдено , то все в порядке, но если он показывает, что правило найдено, введите следующую команду и нажмите «Enter» , чтобы выполнить ее.
netsh advfirewall firewall set rule name = "4jxr4b3r3du76ina39a98x8k2" new enable = no
- Проверьте, сохраняется ли проблема.
Также убедитесь, что вы установили правильные настройки даты и времени.
Метод 5: Запуск команды
Некоторым пользователям мана GED, чтобы решить эту проблему, просто запустив команду, которая сбрасывает определенные параметры, относящиеся к подключению IPV6. Чтобы запустить эту команду, нам нужно сначала открыть командную строку с повышенными привилегиями. Для этого:
- Нажмите «Windows» + «R» , чтобы открыть окно запуска.
- Введите «cmd» и затем нажмите «Shift ‘ + « Ctrl ». + «Enter» , чтобы предоставить права администратора.
- Введите следующую команду и нажмите «Enter» для ее выполнения.
netsh int ipv6 set teredo client teredo.trex.fi
- Проверьте, сохраняется ли проблема.
- Если это так, полностью отключите подключение IPV6 и проверьте еще раз.
Метод 6. Удаление драйверов Intel Management Engine
В некоторых случаях ошибка может возникать, если драйверы Intel Management Engine блокируют подключение к Xbox. Поэтому на этом этапе мы полностью удалим его из нашей системы. Для этого выполните следующие действия.
- Нажмите «Windows» + «R» , чтобы открыть окно запуска.
- Введите «Devmgmt.msc» и нажмите «Enter».
- Разверните параметр « Системные устройства » и щелкните правой кнопкой мыши « Intel Management Engine » или «Интерфейс управления Intel» .
- Выберите «Удалить драйверы» и проверьте, сохраняется ли проблема.
- Также удалите Killer Network Suite, если он установлен на ваш компьютер, потому что он, как известно, блокирует подключение к Xbox.
Метод 7. Обновление Windows
В некоторых случаях проблема решается путем обновления Windows к более поздней версии. Для этого выполните следующие действия.
- Нажмите «Windows» + «I» , чтобы открыть настройки.
- Щелкните параметр «Обновление и безопасность» и нажмите «Проверить для обновлений ».
- Выберите « Загрузить и установить », если доступны какие-либо обновления.
- Проверьте , сохраняется ли проблема после установки обновления.
Также будет хорошей идеей отключить шпионское ПО, такое как Malwarebytes, и снова попытаться установить соединение. Попробуйте отключить брандмауэр в сторонних антивирусных приложениях, таких как AVG, Avast, Norton и других, или разрешите Xbox через брандмауэр в этих приложениях, включая брандмауэр Windows.
Содержание
- Произошла ошибка проверки подлинности. Указанная функция не поддерживается
- Ответ
- Отключение NLA для протокола RDP в Windows
- Устранение ошибки проверки подлинности RDP
- Произошла ошибка проверки подлинности RDP. Указанная функция не поддерживается — Решение
- В чем суть ошибки проверки подлинности RDP
- Установка апдейта, если указанная функция не поддерживается
- Изменение настроек групповых политик
- Отключение NLA для решения ошибки проверки RPD
- Заключение
- Ошибка при подключении сервера проверки достоверности
- Как выглядит ошибка credssp
- Назначение CredSSP
- Windows SSP
- Причины ошибки шифрования CredSSP
- Варианты исправления ошибки CredSSP
- Отключаем credssp в Windows через NLA
- Отключаем шифрование credssp через GPO
- Самый правильный метод, это установка обновлений
Произошла ошибка проверки подлинности. Указанная функция не поддерживается
После установки обновления KB4103718 на моем компьютере с Windows 7 я не могу удаленно подключится к серверу c Windows Server 2012 R2 через удаленный рабочий стол RDP. После того, как я указываю адрес RDP сервера в окне клиента mstsc.exe и нажимаю «Подключить», появляется ошибка:
Произошла ошибка проверки подлинности.
Указанная функция не поддерживается.
После того, как я удалил обновление KB4103718 и перезагрузил компьютер, RDP подключение стало работать нормально. Если я правильно понимаю, это только временное обходное решение, в следующем месяце приедет новый кумулятивный пакет обновлений и ошибка вернется? Можете что-нибудь посоветовать?
Ответ
Вы абсолютно правы в том, что бессмысленно решать проблему удалением обновлений Windows, ведь вы тем самым подвергаете свой компьютер риску эксплуатации различных уязвимостей, которые закрывают патчи в данном обновлении.
В своей проблеме вы не одиноки. Данная ошибка может появится в любой операционной системе Windows или Windows Server (не только Windows 7). У пользователей английской версии Windows 10 при попытке подключится к RDP/RDS серверу аналогичная ошибка выглядит так:
The function requested is not supported.
Remote computer: computername
Ошибка RDP “An authentication error has occurred” может появляться и при попытке запуска RemoteApp приложений.
Почему это происходит? Дело в том, что на вашем компьютере установлены актуальные обновления безопасности (выпущенные после мая 2018 года), в которых исправляется серьёзная уязвимость в протоколе CredSSP (Credential Security Support Provider), использующегося для аутентификации на RDP серверах (CVE-2018-0886) (рекомендую познакомится со статьей Ошибка RDP подключения: CredSSP encryption oracle remediation). При этом на стороне RDP / RDS сервера, к которому вы подключаетесь со своего компьютера, эти обновления не установлены и при этом для RDP доступа включен протокол NLA (Network Level Authentication / Проверку подлинности на уровне сети). Протокол NLA использует механизмы CredSSP для пре-аутентификация пользователей через TLS/SSL или Kerberos. Ваш компьютер из-за новых настроек безопасности, которые выставило установленное у вас обновление, просто блокирует подключение к удаленному компьютеру, который использует уязвимую версию CredSSP.
Что можно сделать для исправления эту ошибки и подключиться к вашему RDP серверу?
- Самый правильный способ решения проблемы – установка последних кумулятивных обновлений безопасности Windows на компьютере / сервере, к которому вы подключаетесь по RDP;
- Временный способ 1 . Можно отключить проверку подлинности на уровне сети (NLA) на стороне RDP сервера (описано ниже);
- Временный способ 2 . Вы можете на стороне клиента разрешить подключение к RDP серверам с небезопасной версией CredSSP, как описано в статье по ссылке выше. Для этого нужно изменить ключ реестра AllowEncryptionOracle (команда REG ADD
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2 ) или изменить настройки локальной политики Encryption Oracle Remediation / Исправление уязвимости шифрующего оракула), установив ее значение = Vulnerable / Оставить уязвимость).
Отключение NLA для протокола RDP в Windows
Если на стороне RDP сервера, которому вы подключаетесь, включен NLA, это означает что для преаутентификации RDP пользователя используется CredSPP. Отключить Network Level Authentication можно в свойствах системы на вкладке Удаленный доступ (Remote), сняв галку «Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети / Allow connection only from computers running Remote Desktop with Network Level Authentication (recommended)» (Windows 10 / Windows 8).
В Windows 7 эта опция называется по-другому. На вкладке Удаленный доступ нужно выбрать опцию «Разрешить подключения от компьютеров с любой версией удаленного рабочего стола (опасный) / Allow connections from computers running any version of Remote Desktop (less secure)».
Также можно отключить проверку подлинности на уровне сети (NLA) с помощью редактора локальной групповой политики — gpedit.msc (в Windows 10 Home редактор политик gpedit.msc можно запустить так) или с помощью консоли управления доменными политиками – GPMC.msc. Для этого перейдите в разделе Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Безопасность (Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services – Remote Desktop Session Host –> Security), отключите политику Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети (Require user authentication for remote connections by using Network Level Authentication).
Также нужно в политике «Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP» (Require use of specific security layer for remote (RDP) connections) выбрать уровень безопасности (Security Layer) — RDP.
Для применения новых настроек RDP нужно обновить политики (gpupdate /force) или перезагрузить компьютер. После этого вы должны успешно подключиться к удаленному рабочему столу сервера.
Источник
Устранение ошибки проверки подлинности RDP
8 мая 2018 г. Microsoft выпустило обновление, которое предотвращает удаленное выполнение кода с помощью уязвимости в протоколе CreedSSP.
После установки данного обновление пользователи не могут подключиться к удаленным ресурсам посредством RDP или RemoteApp. При подключении происходит такая ошибка:
Рисунок 1 — Ошибка проверки подлинности RDP
Появление ошибки обусловлено установкой данных обновлений безопасности:
- Windows Server 2016 — обновление KB4103723
- Windows 10 1609 — обновление KB4103723
- Windows 10 1703 — обновление KB4103731
- Windows 10 1709 — обновление KB4103727
- Windows 10 1803 — обновление KB4103721
- Windows 7 / Windows Server 2008 R2 — обновление KB4103718
- Windows 8.1 / Windows Server 2012 R2 — обновление KB4103725
В данной статье мы рассмотрим варианты исправления данной ошибки.
Вариант №1: Убираем проверку подлинности.
Заходим в свойства компьютера, переходим на вкладку Удаленный доступ и снимаем галку с чекбокса.
Рисунок 2 — Проверка подлинности
Вариант №2 (рекомендуемый): Обновление клиентских и серверных ОС.
Устанавливаем специально выпущенные патчи обновления, которые закрыли уязвимость в RDP-клиенте. Данные обновления можно посмотреть на сайте Microsoft. После установки данного обновления, мы обновляем CredSSP.
Вариант №3: Через групповые политики.
Локально заходим в групповые политики устройства, к которому пытаемся подключиться. Для того чтобы открыть редактор групповых политик выполним следующее действие: Нажимаете Win+R, а затем введите gpedit.msc. Переходите по данному пути: Конфигурация компьютера > Административные шаблоны > Система > Передача учетных данных > Защита от атак с использованием криптографического оракула.
В свойствах данной политики выбираем пункт Включено и ниже в параметрах выбираем уровень защиты Оставить уязвимость.
После того, как данные действия выполнены, необходимо зайти в командную строку от имени администратора и выполнить данную команду:
Вариант №4. Редактирование реестра.
Локально заходим на устройство, к которому пытаемся подключиться и нажимаем Win+R. Вводим regedit. После того, как откроется редактор реестра идем по следующему пути:
Затем находим параметр AllowEncryptionOracle, открываем его и ставим значение 2.
После выполнения данных действий с реестром выполняем перезагрузку устройства.
Нужна помощь в настройке RDP-подключений? Обращайтесь к нам!
Источник
Произошла ошибка проверки подлинности RDP. Указанная функция не поддерживается — Решение
При попытке подключения к серверу через протокол удалённого рабочего стола (RPD) пользователь может столкнуться с ошибкой подключения, сопровождающейся сообщением « Произошла ошибка проверки подлинности. Указанная функция не поддерживается ». Возникновение данной проблемы обычно связано с отсутствием необходимых обновлений на ПК клиента. А также рядом настроек на машинах сервера или клиента, блокирующих отдалённое подключение к ПК. Разберём, что является причиной проблемы, и как её исправить.
Уведомление об дисфункции при проверке подлинности
В чем суть ошибки проверки подлинности RDP
В марте 2018 года компания Microsoft выпустила обновление протокола CredSSP для CVE-2018-0886 . Последний до того обладал критической уязвимостью, позволяющей отдалённому злоумышленнику выполнять необходимые ему команды в непропатченной версии CredSSP.
Сценарий использования уязвимости
В апреле «Майкрософт» выпустила следующий апдейт, снабжающий пользователя более детальной информацией об ошибке во время использования клиента удалённого рабочего стола (RDP).
В мае 2018 года вышел финальный Update, изменяющий настройки сессии RDP c использованием CredSSP по умолчанию с « Vulnerable » (Уязвимый) до « Mitigated » (Смягчённый). Также это означало, что любое клиентское приложение, задействующее «CredSSP», будет невозможно откатить до небезопасной версии.
Если ваша рабочая станция получила майское обновление, а сервер его не получал, тогда рабочая станция (клиент) будет отображать сообщение об ошибке при попытке подключения к серверу с использованием RDP.
Разберём перечень способов, позволяющих эффективно избавиться от проблемы проверки подлинности RDP.
Установка апдейта, если указанная функция не поддерживается
Соответственно, основным способом, позволяющим исправить ошибку проверки подлинности RPD, является установка необходимого обновления ( CVE-2018-0886 ) как на клиентскую, так и на серверную ОС.
Выберите свою версию OS из списка снизу, и установите на вашу машину необходимый ей апдейт CVE-2018-0886:
Также можно перейти на сайт Майкрософта (при необходимости поставьте галочку и нажмите «Accept»), слева отыскать версию вашей системы (если не знаете, нажмите Win+Pause). Далее нажать справа на « Security Update », после чего вы получите возможность скачать нужное обновление.
Выберите и установите необходимый вам апдейт
Изменение настроек групповых политик
Если вы по каким-либо причинам не можете установить требуемые апдейты, существует паллиативное решение проблемы проверки подлинности RPD, состоящее в изменении настроек групповых политик. Не рекомендуется рассматривать его как основной вариант, так как таким образом вы сохраняете уязвимость вашей системы для действий злоумышленников.
- Нажмите на клавиши Win+R, наберите gpedit.msc и нажмите ввод;
- Кликните слева на « Конфигурация компьютера », затем на « Административные шаблоны », потом « Система » и « Передача учетных данных »;
- Справа найдите параметр « Исправление системы шифрующего оракула », и дважды кликните на нём;
- В появившемся окне данной опции выбираем « Включено » слева, а уровень защиты внизу ставим на значение « Оставить уязвимость »;
- Сохраняем изменения нажав на «Ок».
Установите указанные параметры
Также вы можете осуществить данную операцию с помощью специальной команды, выполненной в командной строке с правами админа:
REG ADD HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Отключение NLA для решения ошибки проверки RPD
Ещё одним способом решить ошибку проверки подлинности RPD является отключение NLA (аутентификации на уровне сети).
- Нажмите на Win+R, введите там sysdm.cpl и нажмите ввод;
- Перейдите на вкладку «Удалённый доступ», и снимите галочку с параметра «Разрешить подключение только с компьютеров…»;
- Нажмите на «Ок» для сохранения изменений.
Деактивируйте данную опцию
Заключение
Появление сообщения «Произошла ошибка проверки подлинности RDP. Указанная функция не поддерживается» обычно связано с отсутствием на ПК (обычно клиентском) необходимого обновления CVE-2018-0886, позволяющего ликвидировать ряд уязвимостей в системе. Необходимо установить требуемые обновления для вашей системы, а если такое временно невозможно – просто переключите параметр шифрующего оракула на «Vulnerable» (т.е. «Оставить уязвимость»), что позволит решить ошибку.
Источник
Ошибка при подключении сервера проверки достоверности
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз мы с вами чинили HDD с поврежденной файловой системой и состоянием RAW уверен, что вам удалось это сделать. Сегодня я в очередной раз переведу наш вектор траблшутера в сторону терминальных столов, а именно мы рассмотрим ситуацию, что когда вы пытаетесь подключиться к удаленному серверу по RDP протоколу, а у вас после ввода логина и пароля, выскакивает ошибка, что вы не прошли проверку подлинности и причиной ошибки может быть исправление шифрования CredSSP. Давайте разбираться, что за зверь, этот CredSSP и как вам получить доступ к вашему серверу.
Как выглядит ошибка credssp
Перед тем, как я покажу вам известные мне методы ее устранения, я бы как обычно хотел подробно описать ситуацию. Вчера при попытке подключиться к своему рабочему компьютеру, работающему на Windows 10 1709, с терминального стола, входящего в RDS ферму на Windows Server 2012 R2, я получил ошибку после ввода логина и пароля:
Ну и конечно в русском исполнении:
Получается двоякая ситуация, что RDP как бы работает, но вот по какой-то причине ваши учетные данные на принимающей стороне не соответствуют, каким-то критериям, давайте разбираться, что это за зверь CredSSP.
Назначение CredSSP
Что такое CredSSP — это Win32 API, используемый системами Microsoft Windows для выполнения различных операций, связанных с безопасностью, таких как аутентификация. SSPI функционирует, как общий интерфейс для нескольких поставщиков поддержки безопасности (SSP). Поставщик поддержки безопасности — это библиотека динамической компоновки (DLL), которая делает один или несколько пакетов безопасности доступными для приложений.
C redSSP позволяет приложению делегировать учетные данные пользователя от клиента целевому серверу для удаленной аутентификации. CredSSP предоставляет зашифрованный канал протокола безопасности транспортного уровня . Клиент проходит проверку подлинности по зашифрованному каналу с использованием протокола SPNEGO (Simple and Protected Negotiate) с Microsoft Kerberos или Microsoft NTLM.
После проверки подлинности клиента и сервера клиент передает учетные данные пользователя на сервер. Учетные данные дважды шифруются с использованием ключей сеанса SPNEGO и TLS. CredSSP поддерживает вход в систему на основе пароля, а также вход в систему с использованием смарт-карт на основе X.509 и PKINIT.
Windows SSP
Следующие поставщики общих служб устанавливаются вместе с Windows:
- NTLM (Представлено в Windows NT 3.51 ) (msv1_0.dll) — обеспечивает проверку подлинности NTLM с запросом/ответом для клиент-серверных доменов до Windows 2000 и для не доменной аутентификации (SMB /CIFS).
- Kerberos (Представлен в Windows 2000 и обновлен в Windows Vista для поддержки AES ) (kerberos.dll). Предпочтителен для взаимной аутентификации клиент-серверного домена в Windows 2000 и более поздних версиях.
- Согласование (введено в Windows 2000) (secur32.dll) — выбирает Kerberos и, если не доступно, протокол NTLM. SSP обеспечивает возможность единого входа , иногда называемую встроенной аутентификацией Windows (особенно в контексте IIS). В Windows 7 и более поздних версиях представлен NEGOExts, в котором согласовывается использование установленных пользовательских SSP, которые поддерживаются на клиенте и сервере для аутентификации.
- Безопасный канал (он же SChannel) — Представлен в Windows 2000 и обновлен в Windows Vista и выше для поддержки более надежного шифрования AES и ECC. Этот поставщик использует записи SSL/TLS для шифрования полезных данных. (Schannel.dll)
- PCT (устарел) реализация Microsoft TLS/SSL — криптография SSP с открытым ключом, которая обеспечивает шифрование и безопасную связь для аутентификации клиентов и серверов через Интернет. Обновлено в Windows 7 для поддержки TLS 1.2.
- Digest SSP (Представлено в Windows XP ) (wdigest.dll) — Обеспечивает проверку подлинности HTTP и SASL на основе запросов/ответов между системами Windows и не-Windows, где Kerberos недоступен.
- Учетные данные (CredSSP) (Представлено в Windows Vista и доступно в Windows XP с пакетом обновления 3 (SP3)) (credssp.dll) — обеспечивает SSO и проверку подлинности на уровне сети для служб удаленных рабочих столов.
- Аутентификация с распределенным паролем (DPA) — (Представлено в Windows 2000) (msapsspc.dll) — Обеспечивает аутентификацию через Интернет с использованием цифровых сертификатов.
- Криптография с открытым ключом «пользователь-пользователь» (PKU2U) (представлена в Windows 7 ) (pku2u.dll) — обеспечивает одноранговую аутентификацию с использованием цифровых сертификатов между системами, которые не являются частью домена.
Причины ошибки шифрования CredSSP
В марте 2018 года, компания Microsoft выпустила обновление безопасности для устранения уязвимостей для протокола поставщика поддержки безопасности учетных данных (CredSSP) под именем CVE-2018–0886 (https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018), используемого подключениями по протоколу удаленного рабочего стола (RDP) для клиентов Windows и Windows Server. Как только пользователи и системные администраторы произвели установку апдейтов, то по всему миру начались массовые жалобы, что люди не могут подключаться по протоколу RDP к серверам, компьютерам, получая ошибку, что причиной ошибки может быть шифрование CredSSP.
К сожалению 99% людей и администраторов совершают одну и туже ошибку, они сразу ставят обновления, не дождавшись пары дней после их выхода. Обычно этого времени хватает, чтобы вендор определил проблемы и отозвал глючное обновление.
Под раздачу попали буквально все, клиентские ОС Windows 7, Windows 8.1, Windows 10 с которых были попытки подключиться к RDS ферме или RemoteApp приложениям работающим на Windows Server 2008 R2 и выше. Если бы вы читали ветки обсуждений в эти дни, то вы бы поняли все негодование людей, особенно с запада.
Варианты исправления ошибки CredSSP
На самом деле вариантов много, есть правильные, есть и временные и обходные, которые нужно сделать быстро, чтобы хоть как-то работало, так как бизнес может в этот момент простаивать и терять деньги.
- Вы можете удалить новое обновление безопасности, самый плохой вариант, но в ответственные моменты, иногда используется, чтобы перенести работы на вечер или ночь
- Если нужно быстро получить доступ к серверу и избежать проверку подлинности credssp, то я вам советую отключить на принимающем подключении сервере галку NLA (Network Level Authentication) в русском варианте «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети»
- То же быстрый метод и на массовое применение, это использование групповой политики, которая изменит шифрование Oracle Remediation
- Ну и самый правильный метод , это установка обновлений на все ваши системы
Отключаем credssp в Windows через NLA
Данный метод выхода из ситуации я бы рассматривал, как быстрое, временное решение, до того, как вы установите обновления безопасности. Чтобы разрешить удаленное подключение к серверу и избегать ситуации, что произошла ошибка при проверке подлинности credssp, сделайте вот что. Откройте свойства моего компьютера, попав в систему, так же можно нажать одновременно WIN+Pause Breake или как вариант в командной строке ввести control /name Microsoft.System. В окне «Система» находим пункт меню «Настройка удаленного доступа»
Снимите галку «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети»
После этого вы легко сможете подключиться к данному компьютеру или серверу, но как быть что вы не можете туда попасть и снять эту галку, тут нам на помощь придет реестр Windows. Вы можете удаленно создать нужные ключи реестра, которые отключат галку NLA или политику CredSSP. Для этого вы можете пойти двумя путями:
- Использовать сетевой реестр Windows
- Использовать удаленное управление компьютером, например PsExec.exe, я вам с помощью него уже показывал, как открывать порты в брандмауэре, удаленно.
Давайте попробуем через удаленный реестр, для этого открываем Regedit, через окно «Выполнить».
Из меню «Файл» выберите пункт «Подключить сетевой реестр», далее найдите нужный вам сервер.
У вас подключится дополнительный реестр с двумя кустами. Переходите по пути (Если у вас не будет CredSSPParameters, то нужно будет их создать):
Тут вам необходимо создать REG_DWORD ключ с именем AllowEncryptionOracle и значением 2. В данном варианте политика CredSSP выставит Уязвимый уровень — это самый низкий уровень защиты. Это позволит вам подключаться к серверам удаленно, используя RDP. Однако это подвергнет серверы атакам.
Или можно так же отключить NLA, для этого найдите ветку реестра:
Найдите там ключ SecurityLayer и выставите ему значение , чтобы деактивировать Network Level Authentication.
Теперь то же самое вы можете выполнить и через PsExec.exe, выставив для CredSSP минимальный уровень защиты или же отключить NLA, для этого находясь в cmd в режиме администратора введите команду:
w10-cl01 — это имя компьютера.
Далее имея запущенный сеанс cmd для удаленного компьютера, выполните команду:
Аналогично можно сделать и для отключения Network Level Authentication, команда будет такой:
Еще раз обращаю ваше внимание, что данный метод временный и самый не безопасный, применяемый в случаях, когда уже ничего сделать нельзя или дольше, а нужно уже вчера, обязательно установите все нужные обновления.
Отключаем шифрование credssp через GPO
Если у вас большая инфраструктура, в которой сотни компьютеров и сотни серверов, то вы можете до установки нужных обновлений в вечернее время, временно отключить новый уровень шифрования CredSSP и убрать ошибку «Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP». Для этого мы можем воспользоваться всеми плюсами доменной инфраструктуры Active Directory. Тут два варианта, вы можете создать массовую политику для распространения ее на нужные OU или если у вас требование для одного или двух локальных компьютеров, то на них можно запустить локальный редактор групповых политик, тем самым внеся изменения только на них.
Напоминаю, что оснастку управление групповой политикой вы можете найти на контроллере домена или компьютере с установленным пакетом RSAT, открыть ее можно через команду в окне «Выполнить» gpmc.msc. Если нужно открыть локальный редактор групповых политик, то в окне «Выполнить» введите gpedit.msc.
Вам необходимо перейти в ветку:
Открываем настройку «Исправление уязвимости шифрующего оракула (Encryption Oracle Remediation)». Включаем политику, у вас активируется опция «Уровень защиты», на выбор будет три варианта:
- Принудительно применять обновленные клиенты (Force Updated Clients) — она будет стоять по умолчанию из-за максимального уровня защиты, вам данную опцию нужно сменить. Это так сказать максимально безопасный уровень взаимодействия клиент, он должен быть в идеале, после установки обновлений на все сервера и компьютеры.
- Оставить уязвимость (Vulnerable) – клиенты могут подключаться на уязвимые машины.
- Уменьшить риск (Mitigated) – клиенты не могут подключаться к уязвимым серверам, но серверы могут принимать уязвимые клиенты.
Выбираем на время пункт «Оставить уязвимость (Vulnerable)». Сохраняем настройки.
После чего вам нужно обновить политику, для этого откройте командную строку и введите gpupdate /force. Если у вас не доменный компьютер, да и еще Windows 10 Home, которая не имеет встроенного локального редактора политик, то вам как я описывал выше, нужно производить правку реестра
На просторах интернета ходит скрипт PowerShell, который поможет включить данную политику на всех компьютерах в Active Directory
Import-Module ActiveDirectory
$PSs = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $PCs) <
Invoke-Command -ComputerName $computer -ScriptBlock <
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
>
>
Самый правильный метод, это установка обновлений
Когда вам удалось везде подключиться и подошло время обслуживания ваших серверов, быстренько производим установку обновлений закрывающих брешь (CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability).
Раньше были вот такие KB, но они со временем могут меняться свой номер, поэтому пройдите по ссылке выше, так будет надежнее.
- Windows Server 2012 R2 / Windows 8: KB4103715
- Windows Server 2008 R2 / Windows 7: KB4103712
- Windows Server 2016 / Windows 10 1607 — KB4103723
- Windows Server 2016 / Windows 10 1703 — KB4103731
- Windows Server 2016 / Windows 10 1709 — KB4103727
- Windows Server 2016 / Windows 10 1803 — KB4103721
Источник
Содержание
- Удаленный рабочий стол не работает после обновления Windows 10? Попробуйте это 5 решений
- Удаленный рабочий стол не работает
- Проверьте есть проблема с сетью
- Проверьте, разрешено ли соединение RDC
- Разрешить удаленный рабочий стол через брандмауэр Защитника Windows
- Проверьте службы зависимости RDP
- Отключить протокол IPv6
- Не удается подключиться к удаленному компьютеру
- Причины и история появления ошибки
- Исправление ошибки с RDP-подключением
- Удаление конфликтного ПО
- Откат изменений обновления KB2992611
- Снижение требований к уровню шифрования
- Смена или обновление RDP-клиента
- RDP: ошибка пакета безопасности на транспортном уровне
- Из-за ошибки безопасности клиент не смог подключиться к серверу Терминала
- Симптомы
- Причина
- Решение
Удаленный рабочий стол не работает после обновления Windows 10? Попробуйте это 5 решений
Удаленный рабочий стол Windows также известен как Службы удаленных рабочих столов (RDS), или RDP (Протокол удаленного рабочего стола) — очень полезная функция, позволяющая подключаться к другим компьютерам или устройствам, которые подключены к локальной сети или находятся в Интернете и имеют публичный IP-адрес. Но иногда пользователи сообщают:Невозможно подключиться к удаленному ПК«, Удаленный рабочий стол не работает после обновления windows 10, windows 10 удаленный рабочий стол недоступен и т.п.
Удаленный рабочий стол не работает
Ваш компьютер не может подключиться к удаленному компьютеру из-за ошибки пакета безопасности на транспортном уровне. Повторите попытку подключения или обратитесь к администратору сети за помощью.
или
«Невозможно подключиться к удаленному ПК. Убедитесь, что удаленный рабочий стол включен, удаленный компьютер включен и доступен в сети, а затем повторите попытку ».
Существуют различные причины, такие как ограниченное сетевое подключение, нехватка памяти, ошибочное обновление или неправильные настройки брандмауэра и другие причины, которые приводят к невозможности подключения удаленного рабочего стола. Если вы также боретесь с Проблема с подключением к удаленному рабочему столу, Здесь 5 рабочих решений для вас.
Проверьте есть проблема с сетью
Прежде чем идти вперед, сначала проверьте и убедитесь, что:
Проверьте, разрешено ли соединение RDC
Если вы используете функцию подключения к удаленному рабочему столу в первый раз, или у вас новый компьютер, и вы ищете доступ через удаленный рабочий стол, поэтому вам необходимо проверить, разрешено ли подключение RDC. Вот как Разрешить удаленные подключения на вашем Windows 10 компьютер,
Разрешить удаленный рабочий стол через брандмауэр Защитника Windows
В большинстве случаев брандмауэр Windows блокирует доступ к удаленному рабочему столу по соображениям безопасности. Следуйте инструкциям ниже, чтобы Разрешить удаленный рабочий стол через брандмауэр Защитника Windows.
Проверьте службы зависимости RDP
Отключить протокол IPv6
Отключите IPv6 (версия интернет-протокола), одно из самых эффективных решений, которое помогает большинству пользователей устранять проблемы с подключением к удаленному рабочему столу.
Помогли ли эти решения устранить проблемы с подключением к удаленному рабочему столу Windows 10? Дайте нам знать о комментариях ниже, также читайте Google Chrome не работает / не отвечает в Windows 10? Попробуйте это 7 решений
Источник
Не удается подключиться к удаленному компьютеру
Окно с ошибкой «Не удается подключиться к удаленному компьютеру» возникает при попытке подключения к удаленному серверу через RDP-клиент. Исправление ситуации может требовать много времени из-за длительной диагностики причины проблемы, так как все настройки сети и подключения оказываются в порядке.
Попытка определить проблему и последующая трассировка показывает, что при попытке подключения клиент все-таки подключается к удаленному серверу. Все порты также исправно работают и оказываются доступны. Выходит, что компьютер успешно подключается к серверу, но тот его не пускает.
Оглавление:
Причины и история появления ошибки
Возникновение ошибки «Не удается подключиться к удаленному компьютеру» после ввода логина и пароля говорит о том, что порт доступен. Проблема началась с 2014 года, после того, как было выпущено обновление KB2992611. Этот пакет обновлений существенно ужесточил параметры безопасности.
Уровень безопасности и шифрования поднялся, но при этом появились непредвиденные последствия вроде этой ошибки. Последующие обновления ситуацию не исправили, а только ухудшали. Усиление безопасности Windows приводило к новым программным конфликтам между разными версиями ОС и сторонним ПО. К примеру, конкретно эта ошибка имеет одинаковые шансы появиться на Windows XP, 7, 8, 10, Windows Server 2012 и даже менее популярных версиях системы.
Причины возникновения ошибки:
Это основные, но не единственные причины, по которым Windows вступает в конфликт с ПО и выдает ошибку с сообщением «Не удается подключиться к удаленному компьютеру. Повторите попытку подключения. Если проблема повторится, обратитесь к владельцу удаленного компьютера.»
Если начать просматривать логи Windows, то можно увидеть следующее системное предупреждение: «Возникло следующее неустранимое предупреждение: 80 (или 36888). Внутренне состояние ошибки: 1250.»
Помимо этого, можно найти информацию об ошибке в компоненте протокола: «Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента.» Именно эта ошибка ответственна за то, что не удается установить соединение с удаленным компьютером по RDP-клиенту.
Если причиной появления проблемы стала конкретная программа, установленная недавно, самым простым способом будет ее удаление с компьютера. Практически всегда можно найти аналогичное по функционалу ПО, которое не будет вступать в конфликт с операционной системой. Если это невозможно, либо возникновение ошибки не связано с недавно установленным софтом, можно попробовать исправить ситуацию при помощи одного из советов ниже.
Исправление ошибки с RDP-подключением
Существует несколько способов исправить системную ошибку с RPD-подключением. Следует выбрать способ решения проблемы, наиболее подходящий для конкретной ситуации, в зависимости от вызвавшей ошибку причины. При помощи советов ниже можно исправить ошибку «Не удается подключиться к удаленному компьютеру. Повторите попытку подключения. Если проблема повторится, обратитесь к владельцу удаленного компьютера» в 9 из 10 случаев.
Первое, что следует сделать:
После выполнения этих действий Windows должна перестать конфликтовать с удаленным компьютером, и подключение успешно установится.
Удаление конфликтного ПО
Удаление «Крипто ПРО», VipNet и других программ с аналогичным функционалом или связанных с шифрованием — самый простой способ исправление проблемы. Деинсталляция ПО также является правильным и самым безопасным способом, поскольку исключает вмешательство в систему.
Если требуются конкретно эти программы, следует все равно удалить их и очистить систему от мусора при помощи CCleaner или аналогичного софта. После этого следует перезагрузить компьютер и убедиться, что ошибка при подключении к удаленному компьютеру более не появляется. Затем можно заново установить нужный софт, только использовать последнюе лицензионные версии — они не вызывают ошибки при RDP-подключении.
Откат изменений обновления KB2992611
В случае с обновлением KB2992611 есть два способа действий: переустановка этого обновление и установка других, перекрывающих проблемное.
Можно пойти двумя путями:
Указанные версии обновлений со временем могут становиться недействительными, поскольку будут перекрываться более новыми версиями. Следует посетить сайт Microsoft и проверить наличие обновлений. Для версий операционной системы начиная с Windows 7, все нужные обновления можно устанавливать через «Центр обновлений» в Панели управления.
Скачать обновление KB2992611 можно с официального сайта Microsoft по ссылке microsoft.com/ru-ru/download/
Скачать обновление KB3011780 можно по ссылке microsoft.com/ru-ru/download/id=44966
Данные обновления системы безопасности предназначены для Windows Server 2008 R2 x64 Edition. Это логично, так как ошибка часто возникает при попытке подключения компьютера к удаленному серверу, работающему под управлением Windows Server 2008.
Снижение требований к уровню шифрования
Этот способ советуется использовать в самом конце, так как он снижает общий уровень безопасности соединения. Тем не менее, уменьшение защиты RDP-соединения и понижение требований к шифрованию может помочь во многих случаях. Для того, чтобы это сделать, потребуется изменить настройки безопасности удаленного рабочего стола.
После того, как указанные действия были сделаны, ошибка должна исчезнуть. Можно сразу пробовать подключиться по RDP при помощи логина и пароля — соединение успешно установится. Если это не помогло, то следует воспользоваться одним из альтернативных вариантов решения проблемы.
Смена или обновление RDP-клиента
Самое простое, что можно сделать, если не помогают другие способы — использовать другой RDP-клиент. К примеру, можно загрузить Remote Desktop Manager. Несмотря на большое количество настроек, в базовом функционале программы достаточно просто разобраться. Не сложно найти другие бесплатные решения, избавляющие от ошибок подключения к удаленному ПК по RDP-протоколу.
Если нет желания ставить сторонний софт, можно постараться обновить штатный RDP-клиент от Microsoft. Наиболее стабильной версией считается RDP 8.1, в первую очередь предназначенная для Windows 7 SP1. Загрузить обновление клиента можно с официального сайта Microsoft.
Обновление работает на следующих версиях Windows: Windows 7 (Service Pack 1, Enterprise, Home Basic, Home Premium, Professional, Starter, Ultimate),Windows Server 2008 (R2 Service Pack 1, R2 Enterprise, R2 Datacenter, R2 Foundation, R2 Standard), Windows Web Server 2008 R2.
Указанные действия должны помочь в 99% случаев. Оставшемуся проценту можно посоветовать:
Удаленный компьютер может попросту находиться в спящем режиме. Для того, чтобы этого не происходило, следует в настройках выставить переход в спящий режим «Никогда». К удаленному компьютеру не получится подключиться, если на учетной записи пользователя не установлен пароль — эта мера необходима по соображениям безопасности. В конце концов, подключению могут мешать настройки NLA, если включена проверка подлинности на уровне сети на стороне сервера.
Источник
RDP: ошибка пакета безопасности на транспортном уровне
Однажды у пользователя при попытке подключиться к ЛАЙВ.Cloud начала возникать ошибка:
Пользователь обратился в поддержку облака от Первого Бита, но там ему не смогли помочь, посоветовали обновить Windows:
Я решил последовать этому совету и обновить Windows. На компьютере была Windows 7:
Попытался запустить обновления, но обновление не сработало:
Тогда решил погуглить по поводу ошибки, как ее исправлять.
Согласно одной из рекомендаций сначала решил проверил целостность системных файлов командой sfc /scannow
Но потом вспомнил, что эта команда работает долго, поэтому решил попробовать методику с одного форума. Там пеняют на Крипто-Про.
Я сам ставил на этот компьютер Vipnet CSP, поэтому подумал, что проблема может касаться и этого криптопровайдера. Но на всякий случай набрал в строке запуска «Крипто» и обнаружил, что на компьютере стоит еще и Крипто-Про. А ведь эти программы не дружат между собой. Наверное, доступ прекратился после установки Vipnet-CSP в довесок к имеющейся Крипто-Про.
Поэтому выполнил вот этот совет:
Зашел в ветку реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa:
И поменял там sspp на schannel:
Сразу не заработало, поэтому попросил перезагрузить компьютер (как в методичке).
Удивительно, но сработало и после перезагрузки пользователь получил доступ по RDP!
Время факт: 20 минут.
Приятно осознавать, что я оказался компетентнее поддержки самого Первого Бита!
Источник
Из-за ошибки безопасности клиент не смог подключиться к серверу Терминала
В этой статье данная статья позволяет решить проблему, из-за которой клиентам служб терминалов после обновления неоднократно отказывали в доступе к серверу терминала Windows.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 329896
Симптомы
После обновления домена Microsoft Windows NT до Windows 2000 или Windows Server 2003 Windows клиенты терминалов 2000 могут быть неоднократно лишены доступа к серверу терминала. Если клиент служб терминала используется для входа на сервер терминала, вы можете получить одно из следующих сообщений об ошибке:
Из-за ошибки безопасности клиент не смог подключиться к серверу терминала. После входа в сеть попробуйте снова подключиться к серверу.
Удаленный рабочий стол отключен. Из-за ошибки безопасности клиент не мог подключиться к удаленному компьютеру. Убедитесь, что вы вошли в сеть, а затем попробуйте подключиться снова.
Кроме того, следующие сообщения об ИД событий могут быть зарегистрированы в viewer событий на сервере терминала:
ID события: 50
Источник событий: TermDD
Описание события. Компонент протокола RDP X.224 обнаружил ошибку в потоке протокола и отключил клиента.
Идентификатор события: 1008
Источник событий: TermService
Описание события. Истек срок действия льготного периода лицензирования служб терминалов, и служба не зарегистрирована на сервере лицензии. Для непрерывной работы требуется лицензионный сервер служб терминала. Сервер терминала может работать без лицензионного сервера в течение 90 дней после начального запуска.
ID события: 1004
Источник событий: TermService
Описание событий. Сервер терминала не может выдавать клиентскую лицензию.
Идентификатор события: 1010
Источник событий: TermService
Описание событий. Службы терминала не смогли найти сервер лицензии. Подтвердим, что все серверы лицензий в сети зарегистрированы в WINSDNS, принимают сетевые запросы и работает служба лицензирования терминальных служб.
ID события: 28
Источник событий: TermServLicensing
Описание события. Лицензирование терминальных служб можно запускать только на контроллерах домена или сервере в workgroup. Дополнительные сведения см. в разделе Справка по лицензированию терминалов серверов.
Причина
Эта проблема может возникнуть, если сертификат на сервере терминала поврежден.
Решение
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт: 322756 Как создать и восстановить реестр в Windows
Чтобы устранить эту проблему, повторите работу и удалите ключи реестра сертификатов X509, перезапустите компьютер, а затем активируете сервер лицензирования терминальных служб. Для этого выполните указанные ниже действия.
Выполните следующую процедуру на каждом из серверов терминала.
Убедитесь, что реестр серверов терминала был успешно отлажнен.
Откройте редактор реестра.
Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermServiceParameters
В меню реестра щелкните Файл реестра экспорта.
Введите экспортные параметры в поле Имя файла и нажмите кнопку Сохранить.
Если в будущем необходимо восстановить этот файл реестра, дважды щелкните файл Exported-parameters.reg, сохраненный на этом шаге.
В подки «Параметры реестра» щелкните правой кнопкой мыши каждое из следующих значений, щелкните Удалить, а затем нажмите кнопку Да, чтобы подтвердить удаление:
Выйти из редактора реестра и перезапустить сервер.
Активировать сервер лицензирования терминальных служб с помощью метода телефонного подключения в мастере лицензирования.
Если активировать сервер лицензирования терминальных служб с помощью параметра Phone, сервер лицензирования использует другую форму сертификата.
Источник
В Windows 10 вы можете настроить VPN-сеть средствами операционной системы, не прибегая к помощи сторонних программ. Для удобного создания VPN-подключения в Windows 10 и 11 разработчиками был реализован соответствующий графический интерфейс раздела приложения «Параметры», в котором пользователю предлагается ввести данные провайдера VPN. К сожалению, данная функция не отшлифована до конца.
На что указывают разные ошибки, время от времени выдаваемые системой при подключении к виртуальной сети.
Наиболее распространённой неполадкой при подключении к VPN в Windows 10 является сбой соединения L2TP, при этом система выдает сообщение «Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности…». Неполадка может быть вызвана некорректными настройками одного или нескольких сетевых устройств, однако, если вы не вносили изменений в их конфигурацию и до появления первого сбоя всё работало нормально, высока вероятность того, что причиной сбоя стали баги в обновлениях операционной системы.
Примечание: L2TP — это протокол соединения второго уровня, используемый в виртуальных сетях и представляющий собой расширение двухточечного протокола PPP, обеспечивающего прямую связь между устройствами. Основным преимуществом протокола L2TP является поддержка не только сетей IP, но также ATM, X.25 и Frame Relay.
Так, было замечено, что указанная ошибка в Windows 10 стала появляться после установки накопительных обновлений безопасности KB5009543 и KB5009566.
Откройте журнал обновлений и посмотрите, имеются ли эти апдейты на вашем ПК.
Если да, удалите их и перезагрузите компьютер.
Если решение не дало положительного результата или обновления не установлены, переходим к другим способам устранения неполадки.
Проверьте настройки виртуального адаптера
- Откройте командой ncpa.cpl настройки сетевых подключений, кликните по вашему виртуальному адаптеру правой кнопкой мыши и выберите «Свойства»;
- Переключитесь в окошке свойств на вкладку «Безопасность», активируйте радиокнопку «Разрешить следующие протоколы» и отметьте флажком пункт «Протокол Microsoft CHAP версии 2»;
- Переключитесь на вкладку «Параметры» и нажмите кнопку «Параметры PPP»;
- Откроется диалоговое окошко параметров PPP. Убедитесь, что в пункте «Включить расширения LCP» установлена галочка. Если ее нет, поставьте и сохраните настройки.
Отсутствие или неверные настройки ключей реестра
Ошибка подключения L2TP может быть вызвана отсутствием или неверным значением предварительных ключей ProhibitIPSec и AllowL2TPWeakCrypto, обеспечивающих соединение с использованием протокола L2TP/IPSec.
Если в свойствах VPN-подключения у вас выставлен тип L2TP, стоит проверить записи ветки реестра:
HKLMSystemCurrentControlSetServicesRasmanParameters
Откройте редактор реестра командой regedit, перейдите к указанной ветке и проверьте наличие в правой колонке DWORD-параметра ProhibitIPSec. Если таковой отсутствует, создайте его вручную.
И установите в качестве его значения 1.
Заодно проверяем наличие DWORD-параметра AllowL2TPWeakCrypto, он также должен иметь значение 1.
Если параметр отсутствует, создаем его, сохраняем настройки, перезагружаем компьютер и пробуем подключиться к VPN.
Загрузка…
Весной 2018 года пользователи Windows начали сталкиваться с ошибкой, которая ранее практически не встречалась.
Вскоре выяснилось, что сообщение «Еncryption oracle remediations» возникало при попытке осуществить соединение клиентского ПК с удалённой машиной, и происходило это при следующих обстоятельствах:
Рассмотрим причины возникновения ошибки и как можно исправить ситуацию.
Почему появляется ошибка CredSSP
Итак, мы уже знаем, что на многих версиях Виндовс (серверных вариантов 2016/2012/2008, за исключением 2013, а также клиентских, начиная с 7) без установленных кумулятивных патчей, если вы пытаетесь осуществить соединение с удалённым ПК по RDS/RDP, может возникнуть проблема Remote Desktop connection.
Другими словами, при удалённом подключении к компьютеру во время процедуры проверки подлинности шифрования произошла ошибка CredSSP, причиной которой может быть несовпадение протоколов шифрования. Это происходит потому, что на одной из машин (клиентской или удалённой) не установлены соответствующие обновления, вышедшие после марта 2018 года.
Именно тогда Microsoft начала распространять обновление, направленное на защиту выявленной уязвимости протокола CredSSP, грозящей вероятностью удалённого выполнения кода злоумышленниками. Технические детали проблемы достаточно подробно приведены в бюллетене CVE2018-0886. Спустя два месяца вышло ещё одно обновление, вводившее по умолчанию запрет на возможность клиентской машины Windows связываться с удалённым сервером, если на нём версия протокола CredSSP не была пропатчена мартовским обновлением.
То есть если у вас стоит клиентская Windows с вовремя установленными майскими обновлениями, а вы совершаете попытку соединиться с удалёнными серверами, на которых, начиная с весны 2018 года, не производилась установка кумулятивных обновлений безопасности, такие попытки будут заканчиваться аварийно. При этом клиентская машина получит сообщение о невозможности выполнить удалённое подключение вида CredSSP.
Итак, причиной возникновения ошибки может оказаться исправление разработчиками протокола шифрования CredSSP, появившееся в результате выхода следующих обновлений:
- для серверной версии 2008 R2 и «семёрки» – KB4103718;
- для WS 2016 – KB4103723;
- для WS 2012 R2 и Windows 8.1 – KB4103725;
- для «десятки» сборки 1803 – KB4103721;
- для Windows 10 сборки 1609 – KB4103723;
- для «десятки» сборки 1703 – KB4103731;
- для W10 build 1709 — KB4103727.
В указанном перечне указаны номера обновлений, вышедших в мае 2018 года, в настоящее время необходимо устанавливать более свежие пакеты накопительных (их ещё называют кумулятивными) обновлений. Выполнить эту операцию можно несколькими способами. Например, обратившись к службе Windows Update, базирующейся на серверах разработчика, или с использованием локального сервера WSUS. Наконец, вручную скачать необходимые заплатки безопасности можно через Microsoft Update Catalog (это каталог обновлений Виндовс).
В частности, для поиска обновлений для своего компьютера, на котором установлена «десятка» сборки 1803, за май 2020 года поисковый запрос должен иметь следующий вид: windows 10 1803 5/*/2020.
Способы решения проблемы
Существует два пути выхода из сложившейся ситуации. Как нетрудно догадаться, один из них – удаление обновлений безопасности на клиентском компьютере, установленных после марта 2018 года. Разумеется, такой шаг считается весьма рискованным и настоятельно не рекомендуется, поскольку имеются другие варианты решения проблемы. Но он – самый простой в исполнении, и его можно использовать для однократной попытки доступа к удалённой машине.
А теперь рассмотрим альтернативные «правильные» варианты исправления ошибки, возникающей при проверке подлинности CredSSP.
Один из них – отключить (одноразово) процедуру проверку версии CredSSP на удалённом ПК во время попытки соединения по RDP. В этом случае вы остаётесь защищёнными, патчи остаются установленными, риск есть только во время сеанса связи.
Алгоритм действий:
Выключение политики EncryptionOracleRemediation позволит вашему компьютеру подключаться даже к непропатченным удалённым ПК и серверам без наличия свежих обновлений безопасности.
ВНИМАНИЕ. Напомним, что такой способ устранения в Windows ошибки несовпадения шифрования CredSSP не рекомендуется для постоянного применения. Лучше сообщите администратору удалённой машины о проблеме несоответствия протоколов шифрования для установки соответствующих обновлений.
Рассмотрим, как работает политика EOR. Она имеет три уровня защиты от уязвимостей протокола CredSSP при отсутствии патчей:
- Force Updated Clients – базовый уровень защиты, полный запрет подключения со стороны удалённой машины на подключение клиентских ПК без установленных обновлений. Как правило, эту политику активируют после полного обновления в рамках всей инфраструктуры сети, то есть после установки свежих обновлений на все связанные сетью рабочие станции, включая серверы, к которым осуществляется удалённое подключение.
- Mitigated – этот уровень защиты блокирует любые попытки подключения к серверам, на которых протокол CredSSP не пропатчен. При этом все остальные службы, работающие по CredSSP, не затрагиваются.
- Vulnerable – зашита минимального уровня, снимающая запрет на удалённый доступ к RDP машине при наличии уязвимой версии CredSSP.
Отметим, что на некоторых клиентских машинах (например, домашней версии Виндовс) редактор локальных политик в сборку не включён. В этом случае внесение изменений, позволяющих связываться с удалёнными машинами без пропатченных обновлений на серверной стороне, вносится вручную правкой реестра.
Для этого вводим в консоль «Выполнить» строку:
REG ADD HKMLSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Эту процедуру можно применить ко всем рабочим станциям, используя доменную GPO (консольный запуск – gpmc.msc), а можно применить скрипт PowerShell (чтобы получить перечень рабочих станций, принадлежащих данному домену, можно воспользоваться командлетом Get-ADComputer, входящим в состав RSAT-AD-PowerShell) следующего содержания:
Import-Module ActiveDirectory
$PSs = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $PCs) {
Invoke-Command -ComputerName $computer -ScriptBlock {
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
}
}
Но чтобы избежать лишнего риска, необходимо сразу после подключения к удаленной машине при наличии соответствующих прав установить актуальные обновления, используя службу Windows Update (она должна быть включена). Эту операцию можно выполнить вручную, скачав свежие кумулятивные обновления и выполнив их установку в соответствии с указанным ранее алгоритмом.
Если вы хотите исправить ошибку шифрования CredSSP на Виндовс XP/Server 2003, которые в настоящее время уже не поддерживаются, но в силу определённых обстоятельств вами используются, необходимо все эти машины пропатчить Embedded POSReady 2009.
ВАЖНО. После успешной попытки связаться с сервером, установки на нём кумулятивных патчей и перезагрузки сервера обязательно выполните обратные преобразования в политике клиентской машины, выставив значение в политике ForceUpdatedClients в стоявшее там по умолчанию или заменив значение ключа AllowEncryptionsOracle с 2 на исходный 0. Таким образом, вы снова защитите свой компьютер от уязвимостей, присущих для непропатченного RDP соединения, произведя исправление шифрования CredSSP.
Мы не упомянули ещё об одном сценарии возникновения ошибочного сообщения «Еncryption oracle remediation» – когда с удалённым сервером всё в порядке, а непропатченным оказывается клиентский компьютер. Она будет возникать, если на удалённой машине активирована политика, блокирующая попытки установления связи с непропатченными клиентскими ПК.
В данном случае удалять обновление безопасности на клиенте не нужно. При неудачной попытке связаться с сервером следует проверить, когда последний раз на клиентской машине производилась установка кумулятивных обновлений безопасности. Выполнить проверку можно посредством использования модуля PSWindowsUpdate, а также выполнив команду в консоле:
gwmi win32_quickfixengineering |sort installed on -desk
Если дата достаточно старая (необязательно до марта 2018 года), установите самое свежее кумулятивное обновление для вашей версии Windows.
Windows RDP (протокол удаленного рабочего стола) позволяет вам получить доступ к другому компьютеру. Функции RDP с использованием современного удаленного рабочего стола Windows или устаревшего приложения для подключения к удаленному рабочему столу.
При попытке установить соединение вы могли столкнуться с сообщением об ошибке: ваш компьютер не может подключиться к удаленному компьютеру из-за ошибки пакета безопасности. Скорее всего, эта ошибка возникла из-за того, что вы инициируете соединение через прокси-сервер.
В этой статье мы обсудим ошибку пакета безопасности и покажем, как ее исправить.
В нашем руководстве вы также можете получить лучшие предложения по программному обеспечению для удаленного управления для Windows 10 и 11.
Почему я получаю сообщение об ошибке «Отключенный пакет безопасности Remoteapp»?
Существует несколько причин этой ошибки, и наиболее распространенными являются значения вашего реестра. Если приложение неправильно настроено в реестре, вы можете столкнуться с этой проблемой.
Также возможно, что есть проблема с вашими учетными данными, поэтому их удаление и повторное добавление может решить эту проблему.
Как исправить ошибку пакета безопасности в Windows 11?
1. Удалите кеш подключения RDP в реестре.
- Откройте диалоговое окно «Выполнить» с помощью Windows + R, введите regedit и нажмите «ОК».
- Перейдите к:
ComputerHKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault
- На правой панели выберите список подключений; они помечены как MRU(X), где X — число, щелкните их правой кнопкой мыши и выберите параметр удаления.
- Перейдите к:
ComputerHKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers
- Щелкните правой кнопкой мыши папку сервера и выберите «Удалить».
- Нажмите на окно «Пуск», введите CMD и выберите «Запуск от имени администратора».
- Введите следующую команду и нажмите Enter:
del /ah %homepath%documentsdefault.rdp
Реестр каждого пользователя хранит информацию для каждого соединения RDP. С помощью встроенных средств Windows удалить компьютер или компьютеры из списка истории RDP-подключений невозможно. Вышеуказанные шаги предпринимаются, чтобы вручную избавиться от ключей реестра.
После выполнения этих шагов сообщение об ошибке пакета безопасности может быть устранено.
2. Очистите сохраненные учетные данные RDP.
- Откройте меню «Пуск», введите «Панель управления» и щелкните приложение «Панель управления».
- Перейдите в раздел «Учетные записи пользователей». Затем перейдите в диспетчер учетных данных и выберите «Управление учетными данными Windows».
- В разделе «Общие учетные данные», если у вас есть какие-либо сохраненные учетные данные RDP, он покажет нам IP-адрес, которому предшествует TERMSRV. Разверните его и нажмите «Удалить».
Обратите внимание, что если вы выберете параметр » Запомнить меня» перед вводом пароля для нового удаленного RDP-подключения, ваши учетные данные (имя пользователя и пароль) будут сохранены в диспетчере учетных данных Windows.
Клиент RDP использует ранее запомненные учетные данные для аутентификации на удаленном хосте для последующих подключений. Удаление этих учетных данных может устранить ошибку пакета безопасности.
3. Отключите кэширование растровых изображений удаленного рабочего стола.
- Откройте круглый диалог с помощью Windows+ R, введите mstsc.exe и нажмите кнопку ОК.
- Перейдите на вкладку «Опыт» приложения «Подключение к удаленному рабочему столу» и снимите флажок «Постоянное кэширование растровых изображений» внизу.
Обратите внимание, что постоянное кэширование растровых изображений включено в клиент RDC (подключение к удаленному рабочему столу). В качестве кэша растрового изображения клиент RDP кэширует редко меняющиеся части удаленного экрана.
Клиент mstsc.exe использует это для загрузки элементов экрана из кэша локального диска, которые не изменились с момента последнего рендеринга. Функция кэширования RDP уменьшает количество данных, отправляемых по сети.
При использовании кэша RDP он может быть поврежден. Отключение постоянного кэширования растровых изображений также может быть полезным.
4. Используйте сторонний RDP
Сторонний RDP может не решить проблемы с Windows RDP, но это отличный способ обойти его. Сторонние решения часто более продвинуты, чем встроенное решение Windows.
Такой инструмент, как Mikogo, является жизнеспособным вариантом и обладает множеством функций.
Вы можете помочь клиентам, используя мышь и удаленную клавиатуру, или вы можете передать кому-то другому управление вашим ПК.
Он предлагает функцию, которая позволяет вам обмениваться документами, рабочим столом или окнами приложений в режиме реального времени с участием до 25 участников собрания.
Это также позволяет отображать только те окна приложений, которые вы хотите видеть, и скрывать остальные, гарантируя, что ваша презентация будет в центре внимания. Mikogo также поддерживает до четырех мониторов.
Могу ли я запретить Windows сохранять историю подключений RDP?
В качестве предотвращения ошибки пакета безопасности вы можете захотеть, чтобы Windows не сохраняла историю подключений RDP. Это возможно.
В этом случае следует отключить для всех учетных записей автоматическую запись в ветку реестра:HKCUSoftwareMicrosoftTerminal Server Client
Обратите внимание: если у вас нет доступа к gpedit.msc, возможно, вы не сможете запретить Windows сохранять историю подключений RDP вручную.
Эти решения — простые вещи, которые можно попробовать, если вы получаете сообщение об ошибке пакета безопасности при попытке создать удаленное соединение.
Мы хотели бы прочитать ваши комментарии и узнать, какие из обсуждаемых решений помогли вам устранить ошибку пакета безопасности.