Sau khi cài đặt các bản cập nhật bảo mật mới nhất trên máy tính để bàn Windows 10 của mình, tôi không thể kết nối từ xa với máy chủ VDS mới của mình (chạy Windows Server 2012 R2) bằng Máy tính từ xa. Khi tôi chỉ định tên máy chủ RDP trong cửa sổ máy khách mstsc.exe và nhấp vào “Kết nối”, một lỗi xuất hiện:
Kết nối Máy tính Từ xaĐã xảy ra lỗi xác thực.
Chức năng được yêu cầu không được hỗ trợ.
Máy tính từ xa:computer_name
Sau khi gỡ cài đặt các bản cập nhật mới nhất và khởi động lại máy tính của mình, tôi đã có thể kết nối với máy chủ từ xa qua RDP. Theo tôi hiểu, đây là một cách giải quyết tạm thời. Một gói cập nhật Windows tích lũy mới sẽ đến và sẽ được cài đặt vào tháng tới, đồng thời lỗi xác thực RDP sẽ quay trở lại. Bạn có thể tư vấn cho tôi điều gì không?
Trả lời
Bạn hoàn toàn đúng. Giải quyết vấn đề này bằng cách xóa bản cập nhật Windows đã cài đặt là vô ích vì bạn đang khiến máy tính của mình có nguy cơ bị khai thác các lỗ hổng bảo mật khác nhau mà bản cập nhật này sửa chữa. Lỗi RDP “Đã xảy ra lỗi xác thực” cũng có thể xuất hiện khi cố gắng chạy ứng dụng RemoteApp.
Tại sao chuyện này đang xảy ra? Thực tế là các bản cập nhật bảo mật mới nhất (phát hành sau tháng 5 năm 2018) đã được cài đặt trên máy tính để bàn Windows 10 của bạn. Các bản cập nhật này khắc phục một lỗ hổng nghiêm trọng trong CredSSP giao thức (Nhà cung cấp hỗ trợ bảo mật thông tin xác thực) được sử dụng để xác thực trên máy chủ RDP ( CVE-2018-0886 - đọc kỹ bài Lỗi xác thực RDP:CredSSP Encryption Oracle Remediation). Các bản cập nhật này không được cài đặt ở phía máy chủ RDP / RDS của bạn và NLA (Xác thực cấp độ mạng) được bật để truy cập máy tính từ xa. NLA sử dụng cơ chế CredSSP để xác thực trước người dùng RDP qua TLS / SSL hoặc Kerberos. Máy tính của bạn chỉ cần chặn kết nối máy tính từ xa với máy chủ sử dụng phiên bản CredSSP dễ bị tấn công.
Bạn có thể làm gì để khắc phục sự cố này và kết nối với máy chủ RDP của mình?
- Cách đúng nhất để giải quyết vấn đề là cài đặt các bản cập nhật bảo mật tích lũy mới nhất của Windows trên máy tính từ xa hoặc máy chủ RDS (mà bạn đang cố gắng kết nối qua RDP);
- Cách giải quyết 1. Bạn có thể tắt NLA (Xác thực mức mạng) ở phía máy chủ RDP (như mô tả bên dưới);
- Giải pháp khác 2. Bạn có thể định cấu hình lại máy tính để bàn của mình bằng cách cho phép chúng kết nối với Máy tính từ xa bằng phiên bản CredSSP không an toàn (như được mô tả trong bài viết tại liên kết ở trên). Để thực hiện việc này, hãy thay đổi tham số đăng ký AllowEncryptionOracle (sử dụng lệnh:
REG ADD) hoặc thay đổi chính sách cục bộ Mã hóa Oracle Remediation bằng cách đặt giá trị của nó thành Dễ bị tổn thương . Đây là cách duy nhất để truy cập máy chủ từ xa qua RDP nếu bạn không thể đăng nhập cục bộ trên máy chủ (thông qua ILO, bảng điều khiển máy ảo hoặc giao diện web của nhà cung cấp dịch vụ đám mây). Bạn có thể kết nối với máy chủ từ xa ở chế độ này và cài đặt các bản cập nhật bảo mật mới nhất. Sau khi cập nhật máy chủ, đừng quên tắt chính sách hoặc trả lại giá trị của tham số đăng ký AllowEncryptionOracle về 0 (
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0).
Tắt NLA cho Máy tính Từ xa trong Windows
Nếu NLA được bật trên máy chủ RDP của bạn, điều này có nghĩa là CredSSP được sử dụng để xác thực trước của người dùng RDP. Bạn có thể tắt Xác thực cấp độ mạng trong Thuộc tính hệ thống trên Điều khiển từ xa bằng cách bỏ chọn các tùy chọn “ Chỉ cho phép kết nối từ các máy tính chạy Máy tính Từ xa với Xác thực Cấp độ Mạng (được khuyến nghị) ”(Windows 10 / 8.1 hoặc Windows Server 2012R2 / 2016).
Trong Windows 7 (Windows Server 2008 R2), tùy chọn này được gọi theo cách khác. Trên Điều khiển từ xa , hãy chọn tùy chọn “ Cho phép kết nối từ các máy tính chạy bất kỳ phiên bản Máy tính Từ xa nào (kém an toàn hơn) “.
Bạn cũng có thể tắt Xác thực cấp độ mạng (NLA) bằng trình chỉnh sửa Chính sách nhóm cục bộ - gpedit.msc (bạn có thể chạy gpedit.msc trong phiên bản Windows 10 Home như thế này) hoặc sử dụng bảng điều khiển quản lý chính sách nhóm miền - GPMC.msc . Trong trình chỉnh sửa chính sách, hãy chuyển đến phần Cấu hình máy tính -> Mẫu quản trị -> Cấu phần Windows -> Dịch vụ máy tính từ xa -> Máy chủ phiên máy tính từ xa -> Bảo mật , tìm và tắt chính sách “ Yêu cầu xác thực người dùng cho các kết nối từ xa bằng cách sử dụng Xác thực cấp độ mạng “.
Bạn cũng cần chọn RDP Lớp bảo mật trong phần “ Yêu cầu sử dụng lớp bảo mật cụ thể cho các kết nối từ xa (RDP) ”Cài đặt chính sách.
Để áp dụng cài đặt RDP mới, bạn cần cập nhật chính sách nhóm trên máy tính cục bộ (gpupdate / force ) hoặc khởi động lại màn hình của bạn. Sau đó, bạn sẽ kết nối thành công với màn hình từ xa.