Ошибка 1747 неизвестная служба проверки подлинности cloud-script.ru

Ошибка 1747 неизвестная служба проверки подлинности

Как исправить ошибку Windows 7 1747

Совместима с Windows 2000, XP, Vista, 7, 8 и 10

Признаки ошибки 1747

  • Появляется сообщение «Ошибка 1747» и окно активной программы вылетает.
  • Ваш компьютер часто прекращает работу после отображения ошибки 1747 при запуске определенной программы.
  • Отображается “Windows 7 Error 1747 The Authentication Service Is Unknown”.
  • Windows медленно работает и медленно реагирует на ввод с мыши или клавиатуры.
  • Компьютер периодически «зависает» на несколько секунд.

Такие сообщения об ошибках 1747 могут появляться в процессе установки программы, когда запущена программа, связанная с Microsoft Corporation (например, Windows 7), при запуске или завершении работы Windows, или даже при установке операционной системы Windows. Отслеживание момента появления ошибки 1747 является важной информацией при устранении проблемы.

Причины ошибки 1747

  • Поврежденная загрузка или неполная установка программного обеспечения Windows 7.
  • Повреждение реестра Windows 7 из-за недавнего изменения программного обеспечения (установка или удаление), связанного с Windows 7.
  • Вирус или вредоносное ПО, которые повредили файл Windows или связанные с Windows 7 программные файлы.
  • Другая программа злонамеренно или по ошибке удалила файлы, связанные с Windows 7.

Ошибки типа Ошибки во время выполнения, такие как «Ошибка 1747», могут быть вызваны целым рядом факторов, поэтому важно устранить каждую из возможных причин, чтобы предотвратить повторение ошибки в будущем.

Ошибки во время выполнения в базе знаний

star rating here

Как исправить ошибку Windows 7 1747

Ниже описана последовательность действий по устранению ошибок, призванная решить проблемы Ошибка 1747. Данная последовательность приведена в порядке от простого к сложному и от менее затратного по времени к более затратному, поэтому мы настоятельно рекомендуем следовать данной инструкции по порядку, чтобы избежать ненужных затрат времени и усилий.

Пожалуйста, учтите: Нажмите на изображение [ ] , чтобы развернуть инструкции по устранению проблем по каждому из шагов ниже. Вы также можете использовать изображение [ ], чтобы скрывать инструкции по мере их выполнения.

Шаг 1: Восстановить записи реестра, связанные с ошибкой 1747

Редактирование реестра Windows вручную с целью удаления содержащих ошибки ключей Ошибка 1747 не рекомендуется, если вы не являетесь специалистом по обслуживанию ПК. Ошибки, допущенные при редактировании реестра, могут привести к неработоспособности вашего ПК и нанести непоправимый ущерб вашей операционной системе. На самом деле, даже одна запятая, поставленная не в том месте, может воспрепятствовать загрузке компьютера!

В связи с подобным риском мы настоятельно рекомендуем использовать надежные инструменты очистки реестра, такие как WinThruster [Загрузить] (разработанный Microsoft Gold Certified Partner), чтобы просканировать и исправить любые проблемы, связанные с Ошибка 1747. Используя очистку реестра [Загрузить], вы сможете автоматизировать процесс поиска поврежденных записей реестра, ссылок на отсутствующие файлы (например, вызывающих ошибку %%error_name%%) и нерабочих ссылок внутри реестра. Перед каждым сканированием автоматически создается резервная копия, позволяющая отменить любые изменения одним кликом и защищающая вас от возможного повреждения компьютера. Самое приятное, что устранение ошибок реестра [Загрузить] может резко повысить скорость и производительность системы.

Предупреждение: Если вы не являетесь опытным пользователем ПК, мы НЕ рекомендуем редактирование реестра Windows вручную. Некорректное использование Редактора реестра может привести к серьезным проблемам и потребовать переустановки Windows. Мы не гарантируем, что неполадки, являющиеся результатом неправильного использования Редактора реестра, могут быть устранены. Вы пользуетесь Редактором реестра на свой страх и риск.

Перед тем, как вручную восстанавливать реестр Windows, необходимо создать резервную копию, экспортировав часть реестра, связанную с Ошибка 1747 (например, Windows 7):

  1. Нажмите на кнопку Начать.
  2. Введите «command» в строке поиска. ПОКА НЕ НАЖИМАЙТЕENTER!
  3. Удерживая клавиши CTRL-Shift на клавиатуре, нажмите ENTER.
  4. Будет выведено диалоговое окно для доступа.
  5. Нажмите Да.
  6. Черный ящик открывается мигающим курсором.
  7. Введите «regedit» и нажмите ENTER.
  8. В Редакторе реестра выберите ключ, связанный с Ошибка 1747 (например, Windows 7), для которого требуется создать резервную копию.
  9. В меню Файл выберите Экспорт.
  10. В списке Сохранить в выберите папку, в которую вы хотите сохранить резервную копию ключа Windows 7.
  11. В поле Имя файла введите название файла резервной копии, например «Windows 7 резервная копия».
  12. Убедитесь, что в поле Диапазон экспорта выбрано значение Выбранная ветвь.
  13. Нажмите Сохранить.
  14. Файл будет сохранен с расширением .reg.
  15. Теперь у вас есть резервная копия записи реестра, связанной с Windows 7.

Следующие шаги при ручном редактировании реестра не будут описаны в данной статье, так как с большой вероятностью могут привести к повреждению вашей системы. Если вы хотите получить больше информации о редактировании реестра вручную, пожалуйста, ознакомьтесь со ссылками ниже.

Мы не несем никакой ответственности за результаты действий, совершенных по инструкции, приведенной ниже — вы выполняете эти задачи на свой ​​страх и риск.

Ошибка 1747 windows 7

  • Что такое DeviceLock и для чего он нужен?

Регистрация и Покупка

  • Какие ограничения в демонстрационной версии?
  • Как проще всего купить программу?
  • Могу ли я получить счет-фактуру и другие документы, необходимые для юр. лиц?
  • Я купил одну Single-лицензию, могу ли я использовать DeviceLock для защиты всех компьютеров?
  • Должен ли я покупать новую лицензию, когда выходит новая версия или обновление программы?
  • Могу ли я установить DeviceLock, если у меня нет привилегий администратора?
  • Могу ли я установить DeviceLock на компьютеры с Windows 9x/Me?
  • Могу ли я установить DeviceLock автоматически (без вмешательства пользователя)?
  • Могу ли я установить DeviceLock с помощью Microsoft Systems Management Server (SMS)?
  • Как я могу настроить DeviceLock для использования фиксированного TCP-порта?
  • Какие порты мне нужно открыть на файерволе для дистанционного администрирования DeviceLock?
  • Возникает ошибка 1722 («The RPC Server is unavailable») при попытке подключения к компьютеру.
  • Возникает ошибка 1747 («The authentication service is unknown») при попытке подключения к компьютеру.
  • Возникает ошибка 1748 («The authentication level is unknown») при попытке подключения к компьютеру.
  • Возникает ошибка 1825 («A security package specific error occurred») при попытке подключения к компьютеру.
  • Возможно ли управлять DeviceLock дистанционно?

В: Что такое DeviceLock и для чего он нужен?

О: DeviceLock — это средство защиты информации от утечек (DLP), осуществляющее контроль и протоколирование доступа пользователей к устройствам, портам ввода-вывода и сетевым протоколам. DeviceLock позволяет контролировать весь спектр потенциально опасных устройств и сетевых коммуникаций: USB-порты, дисководы, CD/DVD-приводы, FireWire, инфракрасные, параллельные и последовательные порты, WiFi и Bluetooth-адаптеры, ленточные накопители, КПК, внутренние и внешние сменные накопители и жесткие диски, буфер обмена Windows, простые и SSL-защищенные SMTP-сессии электронной почты, HTTP и HTTPS-сессии, веб-почту и социальные сети, службы мгновенных сообщений, файловый обмен по протоколам FTP и FTP-SSL, Telnet-сессии. DeviceLock осуществляет детальный аудит и теневое копирование действий пользователей с устройствами, протоколами и данными.

В: Какие ограничения в демонстрационной версии?

О: Демонстрационная версия работает только 30 дней с момента установки, а также периодически выводит напоминания о необходимости регистрации.

В: Как проще всего купить программу?

О: Проще всего купить программу обратившись к нам напрямую, позвонив по телефону +7 (495) 980-67-76 или по электронной почте .

В: Могу я получить счет-фактуру и другие документы, необходимые для юр. лиц?

О: Да, конечно. Мы предоставляем все необходимые документы для бухгалтерии.

В: Я купил одну Single-лицензию, могу я использовать DeviceLock для защиты всех компьютеров?

О: Одна Single-лицензия дает вам право использовать DeviceLock для защиты только одного компьютера. Если вы хотите использовать DeviceLock для защиты нескольких компьютеров, необходимо приобрести соответствующее кол-во Single-лицензий. Помните, что модули ContentLock и NetworkLock лицензируются отдельно и требуют наличия лицензии на основной DeviceLock. Кол-во лицензий ContentLock и/или NetworkLock должно быть таким же, как и основного DeviceLock.

В: Должен ли я покупать новую лицензию, когда выходит новая версия или обновление программы?

О: Нет. Когда вы покупаете лицензию (любого типа), вы автоматически приобретаете право на все обновления программы, выпущенные в течение одного года с даты покупки.

В: Могу ли я установить DeviceLock, если у меня нет привилегий администратора?

О: Нет. Чтобы установить DeviceLock вы должны иметь привилегии администратора. Если вы собираетесь использовать DeviceLock в сети, вы также должны иметь привилегии администратора домена.

Читать еще:  Неразмеченная область диска как исправить?

В: Могу ли я установить DeviceLock автоматически (без вмешательства пользователя)?

О: Да. Запустите установку DeviceLock с параметром «/s» (например, «c:setup.exe /s»). Более подробно этот процесс описан в документации.

В: Могу ли я установить DeviceLock с помощью Microsoft Systems Management Server (SMS)?

О: Да. Вы можете использовать спец. файлы (DevLock.pdf для SMS версии 1.x и DevLock.sms для SMS версии 2.0 и выше), поставляемые вместе с DeviceLock в архиве sms.zip.

В: Как я могу настроить DeviceLock для использования фиксированного TCP-порта?

О: По умолчанию, Сервис DeviceLock использует динамические порты для соединения с консолями управления. При каждом запуске Сервиса используемые порты изменяются, что затрудняет конфигурирование файерволов. Для того, чтобы обойти это препятствие, вы можете настроить Сервис DeviceLock для использования фиксированного порта. Чтобы выполнить такую настройку, запустите Regedit и установите следующие параметры:

  • Ключ: HKEY_LOCAL_MACHINESOFTWARESmartLine VisionDeviceLock
  • Название: ncacn_ip_tcp[номер порта]
  • Тип: REG_SZ
  • Значение: не используется (может быть пустым)где номер порта — фиксированный номер TCP-порта, через который вы будете устанавливать связь между Сервисом и консолью управления.

Для того, чтобы измененные параметры вступили в силу, необходимо перезапустить Сервис DeviceLock.

После внесения изменений для подключения консолей управления к компьютеру, на котором Сервис DeviceLock использует постоянный номер TCP-порта, необходимо указать этот порт в квадратных скобках непосредственно после имени компьютера, например имя_компьютера[номер порта].

Помните, что когда вы подключаетесь к Сервису с использованием фиксированного порта, функция удаленной установки/обновления становится недоступной, т.е. вы не сможете установить или обновить Сервис DeviceLock на удаленном компьютере без использования динамических портов. Также, Audit Log Viewer не будет работать, если 139 TCP-порт будет закрыт файерволом.

В: Какие порты мне нужно открыть на файерволе для дистанционного администрирования DeviceLock?

О: Вы можете настроить DeviceLock на использование фиксированного порта , упрощая конфигурирование файервола. Если вы хотите использовать файервол для подключения через динамические порты, следуйте нижеприведенным инструкциям.

Вам нужно открыть порты с 135 по 139 и все порты выше 1024 для входящих и исходящих соединений:

  • Порт 135 (TCP) — для службы «Remote Procedure Call (RPC)»
  • Порт 137 (UDP) — для службы «NetBIOS Name Service»
  • Порт 138 (UDP) — для «NetBIOS Netlogon and Browsing»
  • Порт 139 (TCP) — для «NetBIOS session (NET USE)»
  • Порты выше 1024 (TCP) — для «RPC Communication»

DeviceLock работает как любое другое стандартное средство администрирования Windows NT/2000/XP/Vista (например: Event Viewer, Computer Management и т.д.), поэтому если эти программы работают — DeviceLock будет работать тоже.

Более подробная информация на сайте Майкрософт — База знаний Microsoft

В: Возникает ошибка 1722 («The RPC Server is unavailable») при попытке подключения к компьютеру.

О: Ошибка 1722 означает, что консоль управления DeviceLock не может подключиться к DeviceLock Service на сетевом компьютере. Есть несколько возможных причин:

  • сетевой компьютер не существует в сети (имя компьютера или его IP адрес введены неправильно, или этот компьютер был недавно выключен);
  • сетевой компьютер не работает под управлением Windows NT 4.0/2000/XP/Vista и DeviceLock Service не может быть установлен на этот компьютер;
  • сетевой компьютер находится за брандмауэром, который не был правильно настроен (см. этот ответ );

В:

Возникает ошибка 1747 («The authentication service is unknown») при попытке подключения к компьютеру.

О: Ошибка 1747 происходит, когда не установлена опция «Client for Microsoft Networks». Установите опцию «Client for Microsoft Networks», чтобы решить данную проблему. Более подробная информация о настройке клиента для сетей Microsoft на сайте Майкрософт — Библиотека TechNet .

Также на компьютерах с Windows NT 4.0 может быть неправильно сконфигурирована служба «RPC Security Service Provider». Откройте «Network» в панели управления, выберите закладку «Services», выделите запись «RPC Configuration» из списка «Network Services» и нажмите кнопку «Properties…». Затем в диалоге «RPC Configuration» установите «Security Service Provider» в положение «Windows NT Security Service».

В:

Возникает ошибка 1748 («The authentication level is unknown») при попытке подключения к компьютеру.

О: По умолчанию DeviceLock использует наивысший уровень аутентификации (передаваемые данные шифруются, проверяется подлинность источников данных, а также проверяется целостность данных, передаваемых между консолями управления и DeviceLock Service). Тем не менее, компьютер, на котором вы запускаете консоли управления, может не поддерживать этот уровень аутентификации и вам придется его понизить. Запустите редактор реестра (regedit.exe) и создайте параметр «SecurityLevel» (типа DWORD) в ключе «HKEY_CURRENT_USERSoftwareSmartLine VisionDLManagerManager», измените значение этого параметра на 5 (1 — означает низший уровень, 6 — означает наивысший уровень), затем перезапустите консоль управления DeviceLock.

В:

Возникает ошибка 1825 («A security package specific error occurred») при попытке подключения к компьютеру.

О: Ошибка 1825 похожа на ошибку 1747, поэтому смотрите этот ответ .

В: Возможно ли управлять DeviceLock дистанционно?

О: Да. Используйте консоли управления DeviceLock.

Теги: Audit Log Viewer , bluetooth , CD-ROM , ContentLock , Data Leak Prevention , Data Loss Prevention , device lock , DeviceLock , devicelock лицензия , devicelock скачать , DLP , DVD-ROM , FAQ , firewall , firewire , group policy , HTTP , network management , NetworkLock , security , Security Service Provider , SMTP , TCP , Telnet , UDP , USB , usb device , usb lock , wi-fi , wifi , Windows 2000 , Windows 2003 , Windows NT , Windows NT Security Service , Windows Vista , Windows XP , безопасность , защита информации , защита информации от утечки , защита конфиденциальной информации , защита от инсайдеров , информационная безопасность , каналы утечки информации , контроль usb-устройств , контроль доступа , КПК , купить DeviceLock , программы , сертификат devicelock , софт , утечка информации , ЧаВо

Произошла ошибка проверки подлинности. Указанная функция не поддерживается

После установки обновления KB4103718 на моем компьютере с Windows 7 я не могу удаленно подключится к серверу через удаленный рабочий стол RDP. После того, как я указываю адрес RDP сервера в окне клиента mstsc.exe и нажимаю «Подключить», появляется ошибка:

Подключение к удаленному рабочему столу

Произошла ошибка проверки подлинности.

Указанная функция не поддерживается.

После того, как я удалил обновление KB4103718 и перезагрузил компьютер, RDP подключение стало работать нормально. Но, как я понимаю, это только временное обходное решение, в следующем месяце приедет новый патч и ошибка вернется. Можете что-нибудь посоветовать?

Вы абсолютно правы в том, что бессмысленно решать проблему удалением обновлениq Windows, ведь вы тем самым подвергаете свой компьютер риску эксплуатации различных уязвимостей, которые закрывает данное обновление.

В своей проблеме вы не одиноки. У пользователей английской версии Windows при попытке подключится к RDP/RDS серверу появляется ошибка:

An authentication error has occurred.

The function requested is not supported.

Почему это происходит? В первую очередь рекомендую познакомится со статьей Ошибка RDP подключения: CredSSP encryption oracle remediation . В ней я подробно описывал, почему после установки последних (май 2018 года) обновлений безопасности на Windows клиентах, у пользователей могут появится проблемы с подключением к удаленным компьютерам / серверам по RDP. Дело в том, что в майских обновлениях безопасности Microsoft исправила серьезную уязвимость в протоколе CredSSP, использующегося для аутентификации на RDP серверах(CVE-2018-0886). В том случае, если на RDP сервере не установлены последние обновления и на нем используется устаревшая версия протокола CredSSP, такое подключение блокируется клиентом.

Что можно сделать для исправления данной проблемы

  • Самый правильный способ решения проблемы – установка актуальных кумулятивных обновлений безопасности на компьютере / сервере, к которому вы подключаетесь по RDP.
  • Временный способ 1 . Можно отключить NLA (Network Level Authentication / Проверку подлинности на уровне сети) на стороне RDP сервера (описано ниже).
  • Временный способ 2 . Вы можете разрешить на стороне клиентов подключаться к RDP с небезопасной версией CredSSP, как описано в статье по ссылке выше (ключ реестра AllowEncryptionOracle или локальная политика Encryption Oracle Remediation / Исправление уязвимости шифрующего оракула) = Vulnerable / Оставить уязвимость).

Отключение NLA для протокола RDP в Windows

В том случае, если на стороне RDP сервера включен NLA, то это означает что для преаутентификации используется CredSPP. Отключить Network Level Authentication можно в свойствах системы на вкладке Удаленный доступ , сняв галку « Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети / Allow connection only from computers running Remote Desktop with Network Level Authentication (recommended)» (Windows 10 / Windows 8).

Читать еще:  Опен ал что за программа?

В Windows 7 эта опция называется по-другому. На вкладке Удаленный доступ нужно выбрать опцию « Разрешить подключения от компьютеров с любой версий удаленного рабочего стола (опасный) / Allow connections from computers running any version of Remote Desktop (less secure)»

Либо можно отключить проверку подлинности на уровне сети (NLA) с помощью редактора локальной групповой политики (gpedit.msc). Для этого перейдите в разделе Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Безопасность (Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services – Remote Desktop Session Host –> Security) нужно отключить политику Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети (Require user authentication for remote connections by using Network Level Authentication).

Также нужно в политике « Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP » (Require use of specific security layer for remote (RDP) connections) выбрать уровень безопасности (Security Layer) — RDP .

Для применения настроек RDP нужно обновить политики (gpupdate /force) или перезагрузить компьютер. После этого вы должны успешно подключиться к удаленному рабочему столу.

Ошибка CredSSP, исправляем за минуту

Ошибка CredSSP, исправляем за минуту

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз мы с вами чинили HDD с поврежденной файловой системой и состоянием RAW уверен, что вам удалось это сделать. Сегодня я в очередной раз переведу наш вектор траблшутера в сторону терминальных столов, а именно мы рассмотрим ситуацию, что когда вы пытаетесь подключиться к удаленному серверу по RDP протоколу, а у вас после ввода логина и пароля, выскакивает ошибка, что вы не прошли проверку подлинности и причиной ошибки может быть исправление шифрования CredSSP. Давайте разбираться, что за зверь, этот CredSSP и как вам получить доступ к вашему серверу.

Как выглядит ошибка credssp

Перед тем, как я покажу вам известные мне методы ее устранения, я бы как обычно хотел подробно описать ситуацию. Вчера при попытке подключиться к своему рабочему компьютеру, работающему на Windows 10 1709, с терминального стола, входящего в RDS ферму на Windows Server 2012 R2, я получил ошибку после ввода логина и пароля:

Ну и конечно в русском исполнении:

Получается двоякая ситуация, что RDP как бы работает, но вот по какой-то причине ваши учетные данные на принимающей стороне не соответствуют, каким-то критериям, давайте разбираться, что это за зверь CredSSP.

Назначение CredSSP

Что такое CredSSP — это Win32 API, используемый системами Microsoft Windows для выполнения различных операций, связанных с безопасностью, таких как аутентификация. SSPI функционирует, как общий интерфейс для нескольких поставщиков поддержки безопасности (SSP). Поставщик поддержки безопасности — это библиотека динамической компоновки (DLL), которая делает один или несколько пакетов безопасности доступными для приложений.

C redSSP позволяет приложению делегировать учетные данные пользователя от клиента целевому серверу для удаленной аутентификации. CredSSP предоставляет зашифрованный канал протокола безопасности транспортного уровня . Клиент проходит проверку подлинности по зашифрованному каналу с использованием протокола SPNEGO (Simple and Protected Negotiate) с Microsoft Kerberos или Microsoft NTLM.

После проверки подлинности клиента и сервера клиент передает учетные данные пользователя на сервер. Учетные данные дважды шифруются с использованием ключей сеанса SPNEGO и TLS. CredSSP поддерживает вход в систему на основе пароля, а также вход в систему с использованием смарт-карт на основе X.509 и PKINIT.

Windows SSP

Следующие поставщики общих служб устанавливаются вместе с Windows:

  • NTLM (Представлено в Windows NT 3.51 ) (msv1_0.dll) — обеспечивает проверку подлинности NTLM с запросом/ответом для клиент-серверных доменов до Windows 2000 и для не доменной аутентификации (SMB /CIFS).
  • Kerberos (Представлен в Windows 2000 и обновлен в Windows Vista для поддержки AES ) (kerberos.dll). Предпочтителен для взаимной аутентификации клиент-серверного домена в Windows 2000 и более поздних версиях.
  • Согласование (введено в Windows 2000) (secur32.dll) — выбирает Kerberos и, если не доступно, протокол NTLM. SSP обеспечивает возможность единого входа , иногда называемую встроенной аутентификацией Windows (особенно в контексте IIS). В Windows 7 и более поздних версиях представлен NEGOExts, в котором согласовывается использование установленных пользовательских SSP, которые поддерживаются на клиенте и сервере для аутентификации.
  • Безопасный канал (он же SChannel) — Представлен в Windows 2000 и обновлен в Windows Vista и выше для поддержки более надежного шифрования AES и ECC. Этот поставщик использует записи SSL/TLS для шифрования полезных данных. (Schannel.dll)
  • PCT (устарел) реализация Microsoft TLS/SSL — криптография SSP с открытым ключом, которая обеспечивает шифрование и безопасную связь для аутентификации клиентов и серверов через Интернет. Обновлено в Windows 7 для поддержки TLS 1.2.
  • Digest SSP (Представлено в Windows XP ) (wdigest.dll) — Обеспечивает проверку подлинности HTTP и SASL на основе запросов/ответов между системами Windows и не-Windows, где Kerberos недоступен.
  • Учетные данные (CredSSP) (Представлено в Windows Vista и доступно в Windows XP с пакетом обновления 3 (SP3)) (credssp.dll) — обеспечивает SSO и проверку подлинности на уровне сети для служб удаленных рабочих столов.
  • Аутентификация с распределенным паролем (DPA) — (Представлено в Windows 2000) (msapsspc.dll) — Обеспечивает аутентификацию через Интернет с использованием цифровых сертификатов.
  • Криптография с открытым ключом «пользователь-пользователь» (PKU2U) (представлена ​​в Windows 7 ) (pku2u.dll) — обеспечивает одноранговую аутентификацию с использованием цифровых сертификатов между системами, которые не являются частью домена.

Причины ошибки шифрования CredSSP

В марте 2018 года, компания Microsoft выпустила обновление безопасности для устранения уязвимостей для протокола поставщика поддержки безопасности учетных данных (CredSSP) под именем CVE-2018–0886 (https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018), используемого подключениями по протоколу удаленного рабочего стола (RDP) для клиентов Windows и Windows Server. Как только пользователи и системные администраторы произвели установку апдейтов, то по всему миру начались массовые жалобы, что люди не могут подключаться по протоколу RDP к серверам, компьютерам, получая ошибку, что причиной ошибки может быть шифрование CredSSP.

К сожалению 99% людей и администраторов совершают одну и туже ошибку, они сразу ставят обновления, не дождавшись пары дней после их выхода. Обычно этого времени хватает, чтобы вендор определил проблемы и отозвал глючное обновление.

Под раздачу попали буквально все, клиентские ОС Windows 7, Windows 8.1, Windows 10 с которых были попытки подключиться к RDS ферме или RemoteApp приложениям работающим на Windows Server 2008 R2 и выше. Если бы вы читали ветки обсуждений в эти дни, то вы бы поняли все негодование людей, особенно с запада.

Варианты исправления ошибки CredSSP

На самом деле вариантов много, есть правильные, есть и временные и обходные, которые нужно сделать быстро, чтобы хоть как-то работало, так как бизнес может в этот момент простаивать и терять деньги.

  • Вы можете удалить новое обновление безопасности, самый плохой вариант, но в ответственные моменты, иногда используется, чтобы перенести работы на вечер или ночь
  • Если нужно быстро получить доступ к серверу и избежать проверку подлинности credssp, то я вам советую отключить на принимающем подключении сервере галку NLA (Network Level Authentication) в русском варианте «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети»
  • То же быстрый метод и на массовое применение, это использование групповой политики, которая изменит шифрование Oracle Remediation
  • Ну и самый правильный метод , это установка обновлений на все ваши системы

Отключаем credssp в Windows через NLA

Данный метод выхода из ситуации я бы рассматривал, как быстрое, временное решение, до того, как вы установите обновления безопасности. Чтобы разрешить удаленное подключение к серверу и избегать ситуации, что произошла ошибка при проверке подлинности credssp, сделайте вот что. Откройте свойства моего компьютера, попав в систему, так же можно нажать одновременно WIN+Pause Breake или как вариант в командной строке ввести control /name Microsoft.System. В окне «Система» находим пункт меню «Настройка удаленного доступа»

Читать еще:  Служба индексации Windows 7

Снимите галку «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети»

После этого вы легко сможете подключиться к данному компьютеру или серверу, но как быть что вы не можете туда попасть и снять эту галку, тут нам на помощь придет реестр Windows. Вы можете удаленно создать нужные ключи реестра, которые отключат галку NLA или политику CredSSP. Для этого вы можете пойти двумя путями:

  1. Использовать сетевой реестр Windows
  2. Использовать удаленное управление компьютером, например PsExec.exe, я вам с помощью него уже показывал, как открывать порты в брандмауэре, удаленно.

Давайте попробуем через удаленный реестр, для этого открываем Regedit, через окно «Выполнить».

Из меню «Файл» выберите пункт «Подключить сетевой реестр», далее найдите нужный вам сервер.

У вас подключится дополнительный реестр с двумя кустами. Переходите по пути (Если у вас не будет CredSSPParameters, то нужно будет их создать):

Тут вам необходимо создать REG_DWORD ключ с именем AllowEncryptionOracle и значением 2. В данном варианте политика CredSSP выставит Уязвимый уровень — это самый низкий уровень защиты. Это позволит вам подключаться к серверам удаленно, используя RDP. Однако это подвергнет серверы атакам.

Или можно так же отключить NLA, для этого найдите ветку реестра:

Найдите там ключ SecurityLayer и выставите ему значение , чтобы деактивировать Network Level Authentication.

Теперь то же самое вы можете выполнить и через PsExec.exe, выставив для CredSSP минимальный уровень защиты или же отключить NLA, для этого находясь в cmd в режиме администратора введите команду:

w10-cl01 — это имя компьютера.

Далее имея запущенный сеанс cmd для удаленного компьютера, выполните команду:

Аналогично можно сделать и для отключения Network Level Authentication, команда будет такой:

Еще раз обращаю ваше внимание, что данный метод временный и самый не безопасный, применяемый в случаях, когда уже ничего сделать нельзя или дольше, а нужно уже вчера, обязательно установите все нужные обновления.

Отключаем шифрование credssp через GPO

Если у вас большая инфраструктура, в которой сотни компьютеров и сотни серверов, то вы можете до установки нужных обновлений в вечернее время, временно отключить новый уровень шифрования CredSSP и убрать ошибку «Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP». Для этого мы можем воспользоваться всеми плюсами доменной инфраструктуры Active Directory. Тут два варианта, вы можете создать массовую политику для распространения ее на нужные OU или если у вас требование для одного или двух локальных компьютеров, то на них можно запустить локальный редактор групповых политик, тем самым внеся изменения только на них.

Напоминаю, что оснастку управление групповой политикой вы можете найти на контроллере домена или компьютере с установленным пакетом RSAT, открыть ее можно через команду в окне «Выполнить» gpmc.msc. Если нужно открыть локальный редактор групповых политик, то в окне «Выполнить» введите gpedit.msc.

Вам необходимо перейти в ветку:

Открываем настройку «Исправление уязвимости шифрующего оракула (Encryption Oracle Remediation)». Включаем политику, у вас активируется опция «Уровень защиты», на выбор будет три варианта:

  • Принудительно применять обновленные клиенты (Force Updated Clients) — она будет стоять по умолчанию из-за максимального уровня защиты, вам данную опцию нужно сменить. Это так сказать максимально безопасный уровень взаимодействия клиент, он должен быть в идеале, после установки обновлений на все сервера и компьютеры.
  • Оставить уязвимость (Vulnerable) – клиенты могут подключаться на уязвимые машины.
  • Уменьшить риск (Mitigated) – клиенты не могут подключаться к уязвимым серверам, но серверы могут принимать уязвимые клиенты.

Выбираем на время пункт «Оставить уязвимость (Vulnerable)». Сохраняем настройки.

После чего вам нужно обновить политику, для этого откройте командную строку и введите gpupdate /force. Если у вас не доменный компьютер, да и еще Windows 10 Home, которая не имеет встроенного локального редактора политик, то вам как я описывал выше, нужно производить правку реестра

На просторах интернета ходит скрипт PowerShell, который поможет включить данную политику на всех компьютерах в Active Directory

Import-Module ActiveDirectory
$PSs = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $PCs) <
Invoke-Command -ComputerName $computer -ScriptBlock <
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
>
>

Самый правильный метод, это установка обновлений

Когда вам удалось везде подключиться и подошло время обслуживания ваших серверов, быстренько производим установку обновлений закрывающих брешь (CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability).

Раньше были вот такие KB, но они со временем могут меняться свой номер, поэтому пройдите по ссылке выше, так будет надежнее.

  • Windows Server 2012 R2 / Windows 8: KB4103715
  • Windows Server 2008 R2 / Windows 7: KB4103712
  • Windows Server 2016 / Windows 10 1607 — KB4103723
  • Windows Server 2016 / Windows 10 1703 — KB4103731
  • Windows Server 2016 / Windows 10 1709 — KB4103727
  • Windows Server 2016 / Windows 10 1803 — KB4103721

Произошла ошибка проверки подлинности RDP

Некоторые пользователи, которые подключаются через удаленный доступ RDP в Windows 10/7, получают ошибку «Произошла ошибка проверки подлинности. Указанная функция не поддерживается» может быть комментарий, что «Причиной ошибки может быть исправление шифрования CredSPP«. Большинство пользователей столкнулись с этой ошибкой после обновления системы Windows 10/7. Дело в том, что Microsoft выпустила микро-патч для удаления уязвимости в RDP. По этому CredSPP должен быть обновлен на обоих ПК и всех устройствах, к которым вы пытаетесь подключиться удаленно. Другие сообщили, что в групповых политик сбросились значения. И лично я столкнулся с этой проблемой, и решил её редактированием реестра. Разберем основные решения, чтобы исправить ошибку проверки подлинности при подключении удаленного доступа RDP.

1. Снять ограничения

В большинстве случаев нужно всего-лишь снять галочку на проверку подлинности. Нажмите сочетание кнопок на клавиатуре Win+R и введите sysdm.cpl, чтобы открыть свойства системы. Перейдите во вкладку «Удаленный доступ«, ниже установите «Разрешить удаленные подключения к этому компьютеру» и снимите галочку «Разрешить подключения только с компьютеров, на которых работает проверка подлинности«.

2. Обновление Windows 10/7 и обновление CredSPP

Во первых, обновите все свои устройства в «Центре обновления Windows«, которые подключаются через удаленный доступ. Во вторых, проверьте специальные патчи обновления, которые устраняли уязвимость в RDP, их можно посмотреть на официальном сайте Microsoft CVE-2018-0886, и обновите свои Windows 10/7, Server, RT, LTSB для всех ПК. Тем самым вы обновите CredSPP.

3. Групповые политики

Нажмите Win + R и введите gpedit.msc, чтобы открыть редактор групповых политик. В политиках перейдите «Конфигурация компьютера» > «Административные шаблоны» > «Система» > «Передача учетных данных» > справа найдите «Защита от атак с использованием криптографического оракула» (Oracle Remediation) и нажмите по этой политике два раза мышкой, чтобы открыть свойства.

  • В свойствах выберите «Включено» и ниже в графе «уровень защиты» поставьте «Оставить уязвимость«. Нажмите применить и следуйте сразу ниже пункту.

  • Запустите теперь командную строку от имени администратора и введите gpupdate /force , чтобы обновить политики и применения вступили в силу. Проверьте устранена ли ошибка проверки подлинности RDP, если нет, то перезагрузите ПК.

4. Редактор реестра

Нажмите Win + R и введите regedit, чтобы открыть редактор реестра. В реестре перейдите по пути:

  • HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters
  • Справа дважды щелкните по AllowEncryptionOracle и поставьте значение 2.
  • Перезагрузите ПК и надеюсь, что проблема с проверки подлинности RDP при подключении удаленного доступа решена.

Если вы не делали способ 2, то у вас не будет папки CredSSPParameters . Проделайте способ 2 или создайте вручную папку CredSSP с подпапкой Parameters и ключом AllowEncryptionOracle со значением 2.

Ссылка на основную публикацию
Adblock
detector