Не дивлячись на те, що підтримка Windows XP припинена вже 4 роки тому (Windows XP End Of Support) – багато зовнішні і внутрішні замовники продовжують використовують цю ОС, і схоже, кардинально цю проблему вирішити найближчим часом не вдасться 🙁 … Днями виявили проблему : клієнти з ОС Windows XP не можуть підключитися через віддалений робочий стіл до нової термінальної Remote Desktop Services фермі на Windows Server 2012 R2. Аналогічна проблема виникає при спробі підключитися по RDP з Windows XP на Windows 10 1803.

Неможливо підключитися по RDP з Windows XP до Windows Server 2016 / 2012R2 і Windows 10

Користувачі XP скаржилися на такі помилки rdp клієнта:

Через помилку безпеки клієнт не зміг підключитися до віддаленого комп’ютера. Переконайтеся, що ви ввійшли в мережу, а потім спробуйте знову підключитися.

Віддалений сеанс було відключено, оскільки віддалений комп’ютер отримав повідомлення про недійсне ліцензування з цього комп’ютера.

Для віддаленого комп’ютера потрібна автентифікація на рівні мережі, яку ваш комп’ютер не підтримує. За допомогою зверніться до системного адміністратора або технічної підтримки.

Для віддаленого комп’ютера потрібна автентифікація на рівні мережі, яку ваш комп’ютер не підтримує.  За допомогою зверніться до системного адміністратора або технічної підтримки

Щоб вирішити дану проблему, перевірте що на комп’ютерах з Windows XP оновлена ​​версія клієнта RDP. На поточний момент максимальна версія RDP клієнта, яку можна встановити на Windows XP – rdp клієнт версії 7.0 (KB969084 – https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol-rdp- 7-0-або-7-1 /). Встановити це оновлення можна тільки на Windows XP SP3. Установка RDP клієнта версії 8.0 і вище на Windows на XP не підтримується. Після установки цього оновлення у половини клієнтів проблема з RDP підключенням зважилася. Залишилася друга половина ….

Відключаємо NLA на сервері RDS Windows Server 2016/2012 R2

Почавши більш детально вивчати тему RDS сервера на базі Windows 2012 R2 ми виявили, що в ОС Windows Server 2012 (і вище) за замовчуванням вимагає від своїх клієнтів обов’язкової підтримки технології НЛА (Network-Level Authentication – перевірки автентичності на рівні мережі, докладніше про цю технологію тут), якщо ж клієнт не підтримує NLA, підключитися до RDS сервера йому не вдасться. Аналогічно NLA включений за замовчуванням при включенні RDP в Windows 10.

З вищесказаного є два висновки, щоб залишилися XP-клієнти змогли підключатися по RDP до термінального сервера на Windows Server 2016/2012 R2 або до Windows 10 потрібно:

  • відключити перевірку NLA на серверах ферми Remote Desktop Services 2012 R2 / 2016 або в Windows 10;
  • або включити підтримку NLA на XP-клієнтів;

Щоб на сервері RDS Windows Server 2012 R2 відключити вимога обов’язкового використання протоколу NLA клієнтами, потрібно в консолі Server Manager перейти в розділ Віддалений Робочий стіл Послуги -> Колекції -> QuickSessionCollection, вибрати Завдання -> Редагувати Властивості, Вибрати розділ Безпека і зняти опцію: Дозвольте зв’язку тільки від комп’ютери біг Віддалений Робочий стіл з Мережа Рівень Аутентифікація. windows 2012 remote desctop services відключаємо nla для можливості rdp підключення з Windows XP

У Windows 10 можна відключити Network-Level Authentication у властивостях системи (Система – Налаштування віддаленого доступу). Зніміть галку «Дозволити підключення лише з комп’ютерів, на яких працює віддалений робочий стіл з перевіркою достовірності на рівні мережі (рекомендується)».

windows10 відключити перевірку автентичності на рівні мережі в RDP

Природно, потрібно розуміти, що відключення NLA на рівні сервера зменшує захищеність системи і в загальному випадку використовувати не рекомендується. Переважно використовувати другу методику.

Включаємо NLA на рівні клієнта Windows XP

Для коректної роботи Windows XP в якості клієнта необхідна наявність, як мінімум, Service Pack 3. Якщо немає, то обов’язково скачайте і встановіть це оновлення. Саме Service Pack 3 є мінімальним вимогою для поновлення клієнта RDP з версії 6.1 до 7.0 і підтримки необхідних компонентів, в тому числі Credential Security Service Provider (CredSSP -KB969084), про який трохи нижче.

Без підтримки CredSSP і NLA при RDP підключенні з Windows XP до нових версія Windows буде з’являтися помилка

Помилка при перевірці достовірності (код: 0x80090327).

Помилка при перевірці достовірності (код: 0x80090327).

Раніше ми вже описували, як включити підтримку Network Level Authentication на комп’ютерах з Windows XP, коротко нагадаємо основні моменти.

Підтримка NLA з’явилася в Windows XP, починаючи з SP3, але за замовчуванням вона не включена. Включити підтримку аутентифікації NLA і CredSSP-провайдера можна тільки реєстр. Для цього:

  1. У гілці реєстру HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders потрібно відредагувати значення ключа Постачальники безпеки, Додавши в кінці credssp.dll (Через кому від його поточного значення);windows xp включаємо підтримку nla: credssp.dll
  2. Далі в гілці HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Lsa в значення параметра Пакети безпеки додайте рядок ч.л.кг;windows xp підтримка автентифікація на рівні мережі: tspkg
  3. Після внесення зазначених змін, комп’ютер потрібно перезавантажити.

Після виконання всіх маніпуляцій, комп’ютер з Windows XP SP3 повинен без проблем підключиться по rdp до термінальної фермі на Windows Server 2016/2012 R2 або до Windows 10. Однак ви не зможете зберегти пароль для RDP підключення на клієнті Windows XP (пароль доведеться вводити при кожному підключенні).

Порада. Паралельно виникла ще одна проблема з печаткою через Easy Print. Щоб комп’ютери з Windows XP могли друкувати на RDS 2012 за допомогою Easy Print, клієнти повинні відповідати таким вимогам: ОС – Windows XP SP3, версія rdp клієнта не менше 6.1, наявність .NET Framework 3.5 (як дізнатися версію NET Framework).

У 2018 року в протоколі CredSSP була виявлена ​​серйозна уразливість (бюлетень CVE-2018-0886), яка була виправлена ​​в оновленнях безпеки Microsoft. У травні 2018 року MSFT випустила додатковий оновлення, яке забороняє клієнтам підключатися до RDP комп’ютерів і сервера з вразливою версією CredSSP (див статтю: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka- credssp-encryption-oracle-remediation /). При підключенні до віддалених комп’ютерів по RDP з’являється помилка Сталася помилка перевірки автентичності. Зазначена функція не підтримується.

У зв’язку з тим, що Microsoft не випускає оновлення безпеки оновлень безпеки для Windows XP і Windows Server 2003, ви не зможете підключитися до підтримуваних версій Windows з цих ОС.

Щоб забезпечити можливість RDP підключення з Windows XP до оновленим Windows 10 / 8.1 / 7 і Windows Server 2016 / 2012R2 / 2012/2008 R2, необхідно на стороні RDP сервера включити політику Шифрування Oracle Санація / Виправлення вразливості шифрувального оракула (Комп’ютер Конфігурація -> Адміністративний Шаблони -> Система -> Повноваження Делегування / Конфігурація комп’ютера -> Адміністративні шаблони -> Система -> Передача облікових даних) зі значенням Пом’якшені, Що, як ви розумієте, небезпечно.

Порада. Для Windows XP (версія називається Windows Embedded POSReady 2009) насправді є окремо оновлення для CredSSP вразливість віддаленого виконання коду – https://support.microsoft.com/ru-ru/help/4056564 (WindowsXP-KB4056564-x86-Embedded-ENU.exe) і в теорії існує можливість встановити оновлення для Embedded POSReady і на звичайну версію Windows XP x86 і на Windows Server 2003.

Leave a Reply

Your email address will not be published. Required fields are marked *