Setelah menginstal pembaruan KB4103718 di komputer Windows 7 saya, saya tidak bisa terhubung ke server yang menjalankan Windows Server 2012 R2 dari jarak jauh melalui desktop jarak jauh RDP. Setelah saya menentukan alamat server RDP di jendela klien mstsc.exe dan klik "Connect", sebuah kesalahan muncul:
Koneksi Desktop Jarak JauhOtentikasi Gagal.
Fungsi yang ditentukan tidak didukung..
Komputer jarak jauh: nama pengguna
Setelah saya menghapus pembaruan KB4103718 dan mem-boot ulang komputer, koneksi RDP mulai berfungsi dengan baik. Jika saya mengerti benar, ini hanya solusi sementara, bulan depan paket pembaruan kumulatif baru akan tiba dan kesalahan akan kembali? Bisakah Anda menyarankan sesuatu?
Jawabannya
Anda sepenuhnya benar bahwa tidak masuk akal untuk menyelesaikan masalah dengan menghapus pembaruan Windows, karena dengan demikian Anda membuat komputer Anda berisiko mengeksploitasi berbagai kerentanan yang menutup tambalan dalam pembaruan ini..
Anda tidak sendirian dalam masalah Anda. Kesalahan ini dapat muncul pada sistem operasi Windows atau Windows Server apa saja (bukan hanya Windows 7). Untuk pengguna versi bahasa Inggris Windows 10, ketika mereka mencoba untuk terhubung ke server RDP / RDS, kesalahan yang sama terlihat seperti ini:
Kesalahan otentikasi telah terjadi.Fungsi yang diminta tidak didukung.
Komputer jarak jauh: nama pengguna
Kesalahan RDP "Telah terjadi kesalahan otentikasi" mungkin muncul ketika mencoba meluncurkan aplikasi RemoteApp.
Mengapa ini terjadi? Faktanya adalah bahwa komputer Anda memiliki pembaruan keamanan terbaru (dirilis setelah Mei 2018) yang memperbaiki kerentanan serius dalam protokol CredSSP (Penyedia Dukungan Keamanan Credential) yang digunakan untuk otentikasi pada server RDP (CVE-2018-0886) (saya sarankan lihat artikel RDP Connection Error: CredSSP enkripsi oracle remediation). Pada saat yang sama, pembaruan ini tidak diinstal pada sisi server RDP / RDS yang Anda sambungkan dari komputer Anda, dan NLA (Otentikasi Level Jaringan / Otentikasi Level Jaringan) diaktifkan untuk akses RDP. Protokol NLA menggunakan mekanisme CredSSP untuk melakukan pra-otentikasi pengguna melalui TLS / SSL atau Kerberos. Komputer Anda, karena pengaturan keamanan baru yang pembaruan Anda instal, hanya memblokir koneksi ke komputer jarak jauh yang menggunakan versi CredSSP yang rentan.
Apa yang dapat dilakukan untuk memperbaiki kesalahan ini dan terhubung ke server RDP Anda?
- Yang paling yang benar cara untuk menyelesaikan masalah adalah dengan menginstal pembaruan keamanan Windows kumulatif terbaru di komputer / server yang Anda hubungkan melalui RDP;
- Metode Sementara 1. Anda dapat menonaktifkan otentikasi tingkat jaringan (NLA) di sisi server RDP (dijelaskan di bawah);
- Metode Sementara 2. Anda dapat mengizinkan koneksi sisi klien ke server RDP dengan versi CredSSP yang tidak aman, seperti yang dijelaskan dalam artikel di tautan di atas. Untuk melakukan ini, ubah kunci registri AllowEncryptionOracle (tim
REG ADD) atau mengubah pengaturan kebijakan lokal Enkripsi Remediasi Oracle / Perbaiki kerentanan oracle yang mengenkripsi) dengan mengatur nilainya = Rentan / Biarkan kerentanan). Ini adalah satu-satunya cara untuk mengakses server jarak jauh melalui RDP, jika Anda memiliki kesempatan untuk masuk secara lokal ke server (melalui konsol ILO, mesin virtual, antarmuka cloud, dll.). Dalam mode ini, Anda dapat terhubung ke server jarak jauh dan menginstal pembaruan keamanan, jadi pergilah ke metode 1 yang disarankan. Setelah memperbarui server, jangan lupa untuk menonaktifkan kebijakan atau mengembalikan nilai kunci AllowEncryptionOracle = 0:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameter / v AllowEncryptionOracle / t REG_DWORD / d 2REG TAMBAHKAN HKLM \ PERANGKAT LUNAK \ Microsoft \ Windows \ CurrentVersion \ Kebijakan \ Sistem \ CredSSP \ Parameter / v AllowEncryptionOracle / t REG_DWORD / d 0
Menonaktifkan NLA untuk RDP di Windows
Jika pada sisi RDP server yang Anda hubungkan, NLA diaktifkan, ini berarti bahwa CredSPP digunakan untuk melakukan pra-otentikasi RDP pengguna. Nonaktifkan Otentikasi Tingkat Jaringan di properti sistem pada tab Akses jarak jauh (Jauh), hapus centang "Izinkan koneksi hanya dari komputer yang menjalankan Remote Desktop dengan otentikasi tingkat jaringan / Izinkan koneksi hanya dari komputer yang menjalankan Remote Desktop dengan Otentikasi Level Jaringan (disarankan) "(Windows 10 / Windows 8).
Di Windows 7, opsi ini disebut berbeda. Tab Akses jarak jauh perlu memilih opsi "Izinkan koneksi dari komputer dengan versi Remote Desktop apa pun (berbahaya) / Izinkan koneksi dari komputer yang menjalankan versi Remote Desktop apa pun (kurang aman) ".
Anda juga dapat menonaktifkan otentikasi tingkat jaringan (NLA) menggunakan editor kebijakan grup lokal - gpedit.msc (di Windows 10 Home, editor kebijakan gpedit.msc dapat dimulai seperti ini) atau menggunakan konsol manajemen kebijakan domain, GPMC.msc. Untuk melakukan ini, buka Konfigurasi Komputer -> Template Administratif -> Komponen Windows -> Layanan Desktop Jarak Jauh - Host Sesi Desktop Jarak Jauh -> Keamanan (Konfigurasi Komputer -> Template Administratif -> Komponen Windows -> Layanan Desktop Jarak Jauh - Host Sesi Desktop Jarak Jauh -> Keamanan), putuskan sambungan politik Membutuhkan otentikasi pengguna untuk koneksi jarak jauh dengan otentikasi tingkat jaringan (Memerlukan otentikasi pengguna untuk koneksi jarak jauh dengan menggunakan Otentikasi Level Jaringan).
Juga dibutuhkan dalam politik "Memerlukan penggunaan tingkat keamanan khusus untuk koneksi RDP jarak jauh"(Memerlukan penggunaan lapisan keamanan khusus untuk koneksi jarak jauh (RDP)) pilih tingkat keamanan (Lapisan Keamanan) - Rdp.
Untuk menerapkan pengaturan RDP baru, Anda perlu memperbarui kebijakan (gpupdate / force) atau restart komputer. Setelah itu, Anda harus berhasil terhubung ke desktop remote server.
