Мы сожалеем непредвиденная ошибка при проверке подлинности провайдером идентификации

Windows, Windows 10, Windows 7, Windows 8, Windows Server, Безопасность

• 10.05.2018
• 146 672
• 59
• 23.05.2022
• 34
• 31
• 3

• Содержание статьи
  • Общая информация
  • Способ 1: Установка обновления для исправления шифрования CreedSSP
  • Способ 2: Отключение уведомления об ошибке шифрования CreedSSP через групповые политики
  • Способ 3: Отключение уведомления об ошибке шифрования CreedSSP путем правки реестра
  • Комментарии к статье ( 59 шт )
  • Добавить комментарий

После 8 мая 2018 года, многие пользователи операционных систем Windows столкнулись с проблемой, в результате которой при попытке зайти через удаленный рабочий стол на другой компьютер под управлением ОС Windows (или же при использовании remoteapp), они получают следующую ошибку:

Произошла ошибка при проверке подлинности.
Указанная функция не поддерживается
Причиной ошибки может быть исправление шифрования CredSSP.

Общая информация

Скриншот с текстом ошибки

В данной статье мы рассмотрим 3 способа исправления этой ошибки. Первый способ — является наиболее правильным и именно его необходимо использовать, в случае, если вы столкнулись с данной проблемой. Второй и третий способ, хоть и позволяет убрать ошибку, но пользоваться им стоит только если нет возможности установить патч.

Способ 1: Установка обновления для исправления шифрования CreedSSP

Причиной данной ошибки является отсутствие обновления CVE-2018-0886 на стороне сервера или того компьютера, на который вы пытаетесь подключиться, используя удаленный рабочий стол (RDP). Для её устранения достаточно просто установить данное обновление на компьютере, который выступает в роли сервера, а так же на компьютере, который выступает в роли клиента.

Взять обновление для необходимой версии ОС можно по ссылкам ниже:

• Обновление CVE-2018-0886 для Windows Server 2016 1803
• Обновление CVE-2018-0886 для Windows Server 2016 1709
• Обновление CVE-2018-0886 для Windows Server 2016 1703
• Обновление CVE-2018-0886 для Windows Server 2016 1607
• Обновление CVE-2018-0886 для Windows Server 2016 1511
• Обновление CVE-2018-0886 для Windows Server 2016
• Обновление CVE-2018-0886 для Windows 10 1803 ARM64
• Обновление CVE-2018-0886 для Windows 10 1803 x86
• Обновление CVE-2018-0886 для Windows 10 1803 x64
• Обновление CVE-2018-0886 для Windows 10 1709 ARM
• Обновление CVE-2018-0886 для Windows 10 1709 x86
• Обновление CVE-2018-0886 для Windows 10 1709 x64
• Обновление CVE-2018-0886 для Windows 10 1703 ARM
• Обновление CVE-2018-0886 для Windows 10 1703 x86
• Обновление CVE-2018-0886 для Windows 10 1703 x64
• Обновление CVE-2018-0886 для Windows 10 1607 ARM
• Обновление CVE-2018-0886 для Windows 10 1607 x86
• Обновление CVE-2018-0886 для Windows 10 1607 x64
• Обновление CVE-2018-0886 для Windows 10 1511 ARM
• Обновление CVE-2018-0886 для Windows 10 1511 x86
• Обновление CVE-2018-0886 для Windows 10 1511 x64
• Обновление CVE-2018-0886 для Windows 10 x86
• Обновление CVE-2018-0886 для Windows 10 x64
• Обновление CVE-2018-0886 для Windows Server 2012 R2
• Обновление CVE-2018-0886 для Windows 8.1 x86
• Обновление CVE-2018-0886 для Windows 8.1 x64
• Обновление CVE-2018-0886 для Windows Server 2012
• Обновление CVE-2018-0886 для Windows Server 2008 R2
• Обновление CVE-2018-0886 для Windows 7 x86
• Обновление CVE-2018-0886 для Windows 7 x64

Способ 2: Отключение уведомления об ошибке шифрования CreedSSP через групповые политики

Если же установить обновления по какой-то причине невозможно, то можно отключить данное уведомление об ошибке. Для этого, на компьютере, который выступает в роли клиента, проводим следующие действия:

1. В окне «Выполнить«, «Командной строке» или PowerShell нужно выполнить команду gpedit.msc. После этого произойдет загрузка консоли управления групповыми политиками.
2. В ней нужно перейти по следующему пути: Конфигурация компьютера — Административные шаблоны — Система — Передача учетных данных. Для английской версии данный путь выглядит следующим образом: Computer Configuration — Administrative Templates — System — Credentials Delegation.
   
3. Открываем параметр «Исправление уязвимости шифрующего оракула» («Encryption Oracle Remediation» в англ. версии), и нажимаем «Включено» («Enabled»). Уровень защиты ставим как «Оставить уязвимость» («Vulnerable»).
   
4. Нажимаем «ОК», и выходим из управления групповыми политиками.

Способ 3: Отключение уведомления об ошибке шифрования CreedSSP путем правки реестра

В том случае, если в вашей редакции Windows отсутствует редактор групповых политик (например Windows 10 Домашняя), то тогда придется внести нужные правки в реестр вручную. Для этого, на компьютере, который выступает в роли клиента, проводим следующие действия:

1. Открываем редактор реестра, и переходим по следующему пути (в случае его отсутствия, его необходимо создать):

   HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters

2. Ищем параметр DWORD под названием AllowEncryptionOracle, и ставим значение 2. Если такого параметра нет, то создаем его.
3. Перезагружаем компьютер

Для тех, кто не хочет возиться с реестром, достаточно просто выполнить команду приведенную ниже, в командной строке с правами администратора:

REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Обновлено: 12.06.2023

При этом я не меняла ни паспорт, ни паспортных данных. Просто система перестала его признавать.

Я обратилась на горячую линию Госуслуг — целый день со мной разговаривал робот, конкретно по сути не отвечая.

Так как я была настойчива, на связь вышла девушка-консультант, познания которой не сильно отличались от робота. Она мне писала тоже самое — проверьте паспорт, заполните данные паспорта внимательно (зачем мне что то заполнять, если моей учётке много лет?).

При этом ответы приходили спустя час — полтора (девушка ссылалась на занятость и извинялась за ожидание).

Параллельно я звонила на горячую линию Госуслуг — там кроме робота живых людей нет, на горячую линию Минкомсвязи (министерство отвечает за работу госуслуг) — и даже там мне не смогли сказать в чем причина, парень — консультант сказал «первый раз такое слышу», попробуйте обратиться в паспортный стол, где получали паспорт.

То есть у Госуслуг что-то сломалось, но именно я должна, по мнению Минкомсвязи, смотаться в другой регион в «паспортный стол» и попробовать решить вопрос.

Также я обращалась в МФЦ (бесполезно, ничего не знают) и банки, которые проводят авторизацию личности для Госуслуг (бесполезно, причину поломки не знают).

Так как я не отставала от Госуслуг спустя еще сутки на связь вышел специалист тех поддержки и он мне подсказал, наконец, что нужно сделать.

Я, <Фамилия Имя Отчество, дата рождения, не могу зарегистрироваться на Портале госуслуг по причине того, что данные моего паспорта не проходят проверку федеральным сервисом ГУВМ МВД в СМЭВ SID0003418.

Данные документа: <серия, номер, дата выдачи, регион (город) выдачи документа>. Согласно информации от технической поддержки Портала госуслуг, корректировка данных на стороне ГУВМ МВД была проведена успешно. Ошибка при проверке паспортных данных после корректировки сохраняется.

Прошу рассмотреть мое обращение и уточнить корректность паспортных данных на стороне ведомственной ИС “Сервисный концентратор ФМС России” (SID0003418 в Системе межведомственного электронного взаимодействия) ГУВМ МВД.

Я все это отправила в МВД. И через сутки мне позвонил сотрудник МВД региона выдачи паспорта и вопрос решился, наконец таки.

В итоге я потратила 5 дней, Если бы сразу в МВД написала — заняло бы гораздо меньше времени.

Если Госуслуги не признает СНИЛС — пишите по образцу запрос в ПФР, так быстрее, чем проходить через техподдержку портала.

Подробную информацию по решению ошибок на портале Госуслуг можно найти в разделах «Работа с электронной подписью» и «Проблемные ситуации», а также обратившись в поддержку портала Госуслуг.

При входе возникает ошибка «У вас нет действующих сертификатов» или не отображается сертификат, выданный на ГОСТ Р 34.10-2012

Установите актуальную версию плагина Госуслуг, предварительно удалив с компьютера предыдущую версию. Подробное описание действий находится на странице «Работа с электронной подписью».

При регистрации Юридического лица возникает ошибка «Данные представителя юридического лица, указанного в заявлении, не совпадают с данными ЕГРЮЛ»

Проверьте, что сертификат выдан на руководителя, указанного в актуальной выписке из ЕГРЮЛ (раздел «Сведения о лице, имеющем право без доверенности действовать от имени юридического лица»).

1. Если КЭП выдан не на руководителя, а на сотрудника.
   Изначально на Портале Госуслуг регистрируется головная организация с сертификатом руководителя, указанного в ЕГРЮЛ. Затем, если нужно, чтобы работал другой сотрудник, он регистрируется со своим КЭП как физ. лицо, а руководитель в личном кабинете организации добавляет его как сотрудника этой организации.
2. Если КЭП выдан на действующего руководителя и сведения в выписке из ЕГРЮЛ устарели или неверны.
   Обратитесь в ИФНС для актуализации сведений в ЕГРЮЛ.
3. Ошибка может возникать и в случае совпадения данных с ЕГРЮЛ, если в ФИО руководителя фигурирует буква «Ё»: в ЕГРЮЛ она может указываться как «Е». При выпуске сертификата согласно 63-ФЗ мы руководствуемся данными из паспорта. В данном случае обратитесь в территориальный орган ФНС по месту государственной регистрации, чтобы данные в ЕГРЮЛ привели в соответствие с паспортными.
4. Проверьте, что ИНН руководителя в форме регистрации и в актуальной выписке ЕГРЮЛ совпадают. Если в ЕГРЮЛ не заполнено поле ИНН руководителя, обратитесь в ИФНС, чтобы они добавили эти сведения в ЕГРЮЛ.
5. Если это организация, в которой функции единоличного исполнительного органа осуществляются Управляющей компанией, то в выписке из ЕГРЮЛ указывается представитель Управляющей компании, которое обладает полномочиями по управлению юридическим лицом, и сведения об этом лице не совпадают со сведениями, имеющимися у Портала Госуслуг.
   Появление данной ошибки не связано с работой Удостоверяющего центра СКБ Контур или электронной подписью и сертификатом, для решения обратитесь в поддержку портала Госуслуг.

Ошибка при проверке данных из ЕГРЮЛ. Федеральная налоговая службы Российской Федерации не подтвердила существование записи в ЕГРЮЛ с указанными данными.

Проверьте, что все данные об организации и её руководителе (введённые вручную на этапе регистрации и данные из сертификата) совпадают с выпиской из ЕГРЮЛ.

• Если данные в выписке из ЕГРЮЛ неверны или устарели, обратитесь в ИФНС для актуализации сведений в ЕГРЮЛ.
• Если всё заполнено верно, ошибка может возникать из-за нагрузки на серверы. В этом случае техподдержка Госуслуг советует очистить кэш/cookie, перезайти в Личный кабинет и попробовать зарегистрировать организацию ещё раз. В случае повторения ошибки свяжитесь с техподдержкой Портала Госуслуг за уточнением причин ошибки и временем исправления.

«Вы используете недопустимое средство электронной подписи» или «Сертификат вашей электронной подписи не прошел проверку действительности»

Убедитесь, что используется действующий Квалифицированный сертификат ЭП. Проверить сертификат можно на странице проверки подлинности ЭП, загрузив открытый ключ.

Откройте окно «Свойства браузера» через обозреватель Internet Explorer (действия 1 и 2).

В открывшемся окне «Свойства браузера» откройте вкладку «Содержание», нажмите кнопку «Сертификаты», откройте вкладку «Личные» (действия 3 и 4).

В новом окне «Сертификаты» выделите требуемый для проверки подлинности сертификат на вкладке «Личные» и нажмите кнопку «Экспорт» (действия 5 — 7).

В Мастере экспорта сертификатов нажмите «Далее» (действие 8).

ВАЖНО: в целях безопасности никогда не экспортируйте закрытый ключ сертификата, если доступ к такому сертификату будет предоставлен другим лицам.

Выбирайте «Нет, не экспортировать…» и формат файла в кодировке DER (действия 9 — 12).

Теперь необходимо выбрать место, куда будет сохранен сертификат, и имя файла.

Нажимайте «Обзор», выбирайте например «Рабочий стол», задайте имя файлу и жмите «Сохранить» (действия 13 — 16).

Теперь все готово для экспорта сертификата, сохраните его (действия 17 и 18)

В результате проделанных действий Ваш сертификат сохранен для дальнейшей проверки на квалифицированность и подлинность – файл «Мой сертификат» на Рабочем столе. Сохраненный файл можно переслать по электронной почте как обычное вложение.

Проверка сертификата на Портале государственных услуг Российской Федерации

Результаты проверки показаны на примере сертификатов нашей компании ООО «Эффективные технологии».

Проверка сертификата при помощи программы «TestQualifiedCertificate2»

Второй способ, как узнать, является ли Ваш сертификат квалифицированным, выполняется с локального компьютера, на котором установлена электронная подпись.

Для этого скачайте отсюда программу, распакуйте архив и запустите приложение «TestQualifiedCertificate2» (действие 1)

В окне программы нажмите «Проверить сертификат», выберите сохраненный ранее сертификат, проверку которого Вы хотите произвести, нажмите «Открыть».

Возможны следующие результаты проверки:

1. Положительный – когда сертификат прошел проверку, он является КЭП (ситуация 5).
2. Отрицательный – сертификат проверку не прошел, в этом случае указаны ошибки (ситуация 6).

Если вы совсем недавно приобрели электронную подпись для участия в госзакупках, и приобретать новый универсальный сертификат в данный момент не целесообразно, то можно приобрести КЭП отдельно. Его цена примерно в 1,5 — 2 раза ниже, чем сертификата для участия в торгах по 44-ФЗ. Заказать КЭП можно в удостоверяющем центре СКБ Контур, оставив заявку по этой ссылке. Для изготовления сертификата также нужно предоставить все необходимые документы, в том числе СНИЛС.

Просмотр свойств сертификата

Это самостоятельная проверка свойств сертификата. Рекомендуется только для опытных пользователей. Фактически, в ручном режиме в свойствах сертификата необходимо найти специальные значения (так называемые OIDы), которые придают сертификату статус КЭП.

Самое простое, когда в свойствах сразу видно «Квалифицированный сертификат» или «Qualified»:

Также КЭП обязательно содержит СНИЛС физического лица, на которое выдан сертификат, и отдельное поле с ОГРН юридического лица или индивидуального предпринимателя. Также должен присутствовать OID 1.2.643.3.7.8.1.

— Что делать если забыли пароль к личному кабинету на портале госуслуг?

Если вы регистрировались на портале госуслуг и забыли пароль — не переживайте! Его легко восстановить.

Вам понадобятся: СНИЛС*, мобильный телефон и доступ к электронной почте, которую вы указали при регистрации.

На портале нажмите «Восстановить пароль».

Если до этого в личном кабинете вы заполняли секретный вопрос, придётся также писать ответ на него, иначе система не разрешит доступ.

Введите новый пароль и пользуйтесь госуслугами. Это проще, чем кажется.

Если у вас по каким-либо причинам отсутствует доступ к указанным в учетной записи номеру мобильного телефона и адресу электронной почты (в связи с утерей, заменой и т.д.).

*СНИЛС (Страховой номер индивидуального лицевого счёта) — лицевой счёт, содержащийся в страховом свидетельстве обязательного пенсионного страхования — документе, выдаваемом застрахованному лицу, подтверждающем его регистрацию в системе государственного пенсионного страхования Российской Федерации. В системе государственного пенсионного страхования Российской Федерации содержится номер лицевого счёта, закреплённый за будущим пенсионером в Пенсионном фонде Российской Федерации.

— Что делать если при регистрации СНИЛС не проходит проверку?

Если у вас при прохождении процедуры регистрации на этапе проверки личных данных, введенный вами номер СНИЛС не проходит проверку по базе данных Пенсионного фонда Российской Федерации (ПФР), то в этом случае, вам сначала необходимо проверить правильность внесения номера СНИЛС, ФИО и даты рождения (!), так как СНИЛС никогда не пройдет проверку в базе ПФР, даже если он введен правильно, а ФИО или дата рождения введены с ошибкой. Проверяйте правильность ввода ФИО и даты рождения! Учитывайте также, что причиной неудачных проверок СНИЛС в ПФР может быть временная недоступность сервисов ПФР, в этом случае операцию необходимо повторить немного позднее.

Если Вы убедились, что не допущено ни одной ошибки при вводе СНИЛС, ФИО и даты рождения, но проверка в ПФР снова выдает ошибку, то в этом случае вам необходимо обратиться в отделение ПФР по месту жительства для уточнения соответствия выданного Вам номера СНИЛС с зафиксированным за вами номером СНИЛС в ведомственной базе.

— Что делать если при регистрации паспорт не проходит проверку?

Если у вас при прохождении процедуры регистрации на этапе проверки личных данных, введенные вами серия и номер паспорта не проходят проверку по базе данных Федеральной миграционной службы Российской Федерации (ФМС), то в этом случае, вам сначала необходимо проверить правильность внесения серии и номера паспорта, ФИО и даты рождения и поля «Кем выдан». Учитывайте также, что причиной неудачных проверок паспорта в базе ФМС может быть временная недоступность сервисов ФМС, в этом случае операцию необходимо повторить немного позднее.

Также вы можете обратиться в отделение ФМС по месту жительства для уточнения соответствия выданного Вам паспорта с данными о вашем паспорте в ведомственной базе ФМС.

После 8 мая 2018 года, многие пользователи операционных систем Windows столкнулись с проблемой, в результате которой при попытке зайти через удаленный рабочий стол на другой компьютер под управлением ОС Windows (или же при использовании remoteapp), они получают следующую ошибку:

Произошла ошибка при проверке подлинности.
Указанная функция не поддерживается
Причиной ошибки может быть исправление шифрования CredSSP.

Общая информация

Скриншот с текстом ошибки

В данной статье мы рассмотрим 3 способа исправления этой ошибки. Первый способ — является наиболее правильным и именно его необходимо использовать, в случае, если вы столкнулись с данной проблемой. Второй и третий способ, хоть и позволяет убрать ошибку, но пользоваться им стоит только если нет возможности установить патч.

Способ 1: Установка обновления для исправления шифрования CreedSSP

Способ 2: Отключение уведомления об ошибке шифрования CreedSSP через групповые политики

Если же установить обновления по какой-то причине невозможно, то можно отключить данное уведомление об ошибке. Для этого, на компьютере, который выступает в роли клиента, проводим следующие действия:

1. В окне «Выполнить«, «Командной строке» или PowerShell нужно выполнить команду gpedit.msc . После этого произойдет загрузка консоли управления групповыми политиками.
2. В ней нужно перейти по следующему пути: Конфигурация компьютера — Административные шаблоны — Система — Передача учетных данных. Для английской версии данный путь выглядит следующим образом: Computer Configuration — Administrative Templates — System — Credentials Delegation.
3. Открываем параметр «Исправление уязвимости шифрующего оракула» («Encryption Oracle Remediation» в англ. версии), и нажимаем «Включено» («Enabled»). Уровень защиты ставим как «Оставить уязвимость» («Vulnerable»).
4. Нажимаем «ОК», и выходим из управления групповыми политиками.

Способ 3: Отключение уведомления об ошибке шифрования CreedSSP путем правки реестра

В том случае, если в вашей редакции Windows отсутствует редактор групповых политик (например Windows 10 Домашняя), то тогда придется внести нужные правки в реестр вручную. Для этого, на компьютере, который выступает в роли клиента, проводим следующие действия:

1. Открываем редактор реестра, и переходим по следующему пути (в случае его отсутствия, его необходимо создать):
2. Ищем параметр DWORD под названием AllowEncryptionOracle, и ставим значение 2. Если такого параметра нет, то создаем его.
3. Перезагружаем компьютер

Для тех, кто не хочет возиться с реестром, достаточно просто выполнить команду приведенную ниже, в командной строке с правами администратора:

Читайте также:

  

• Pioneer deh 80prs переполнена память

  

• Raid shadow legends как использовать глифы

  

• Как ввести имя файла с консоли в java

  

• Как найти промокоды в файлах игры standoff

  

• Internet explorer не сохраняет пароли

Обновлено 25.11.2019

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз мы с вами чинили HDD с поврежденной файловой системой и состоянием RAW уверен, что вам удалось это сделать. Сегодня я в очередной раз переведу наш вектор траблшутера в сторону терминальных столов, а именно мы рассмотрим ситуацию, что когда вы пытаетесь  подключиться к удаленному серверу по RDP протоколу, а у вас после ввода логина и пароля, выскакивает ошибка, что вы не прошли проверку подлинности и причиной ошибки может быть исправление шифрования CredSSP. Давайте разбираться, что за зверь, этот CredSSP и как вам получить доступ к вашему серверу.

Как выглядит ошибка credssp

Перед тем, как я покажу вам известные мне методы ее устранения, я бы как обычно хотел подробно описать ситуацию. Вчера при попытке подключиться к своему рабочему компьютеру, работающему на Windows 10 1709, с терминального стола, входящего в RDS ферму на Windows Server 2012 R2, я получил ошибку после ввода логина и пароля:

Ну и конечно в русском исполнении:

Получается двоякая ситуация, что RDP как бы работает, но вот по какой-то причине ваши учетные данные на принимающей стороне не соответствуют, каким-то критериям, давайте разбираться, что это за зверь CredSSP.

Назначение CredSSP

Что такое CredSSP — это Win32 API, используемый системами Microsoft Windows для выполнения различных операций, связанных с безопасностью, таких как аутентификация. SSPI функционирует, как общий интерфейс для нескольких поставщиков поддержки безопасности (SSP). Поставщик поддержки безопасности — это библиотека динамической компоновки (DLL), которая делает один или несколько пакетов безопасности доступными для приложений.

CredSSP позволяет приложению делегировать учетные данные пользователя от клиента целевому серверу для удаленной аутентификации. CredSSP предоставляет зашифрованный канал протокола безопасности транспортного уровня . Клиент проходит проверку подлинности по зашифрованному каналу с использованием протокола SPNEGO (Simple and Protected Negotiate) с Microsoft Kerberos или Microsoft NTLM.

После проверки подлинности клиента и сервера клиент передает учетные данные пользователя на сервер. Учетные данные дважды шифруются с использованием ключей сеанса SPNEGO и TLS. CredSSP поддерживает вход в систему на основе пароля, а также вход в систему с использованием смарт-карт на основе X.509 и PKINIT.

Windows SSP

Следующие поставщики общих служб устанавливаются вместе с Windows:

• NTLM (Представлено в Windows NT 3.51 ) (msv1_0.dll) — обеспечивает проверку подлинности NTLM с запросом/ответом для клиент-серверных доменов до Windows 2000 и для не доменной аутентификации (SMB /CIFS).
• Kerberos (Представлен в Windows 2000 и обновлен в Windows Vista для поддержки AES ) (kerberos.dll). Предпочтителен для взаимной аутентификации клиент-серверного домена в Windows 2000 и более поздних версиях. 
• Согласование (введено в Windows 2000) (secur32.dll) — выбирает Kerberos и, если не доступно, протокол NTLM. SSP обеспечивает возможность единого входа , иногда называемую встроенной аутентификацией Windows (особенно в контексте IIS). В Windows 7 и более поздних версиях представлен NEGOExts, в котором согласовывается использование установленных пользовательских SSP, которые поддерживаются на клиенте и сервере для аутентификации.
• Безопасный канал (он же SChannel) — Представлен в Windows 2000 и обновлен в Windows Vista и выше для поддержки более надежного шифрования AES и ECC. Этот поставщик использует записи SSL/TLS для шифрования полезных данных. (Schannel.dll)
• PCT (устарел) реализация Microsoft TLS/SSL — криптография SSP с открытым ключом, которая обеспечивает шифрование и безопасную связь для аутентификации клиентов и серверов через Интернет. Обновлено в Windows 7 для поддержки TLS 1.2.
• Digest SSP (Представлено в Windows XP ) (wdigest.dll) — Обеспечивает проверку подлинности HTTP и SASL на основе запросов/ответов между системами Windows и не-Windows, где Kerberos недоступен.
• Учетные данные (CredSSP) (Представлено в Windows Vista и доступно в Windows XP с пакетом обновления 3 (SP3)) (credssp.dll) — обеспечивает SSO и проверку подлинности на уровне сети для служб удаленных рабочих столов.
• Аутентификация с распределенным паролем (DPA) — (Представлено в Windows 2000) (msapsspc.dll) — Обеспечивает аутентификацию через Интернет с использованием цифровых сертификатов.
• Криптография с открытым ключом «пользователь-пользователь» (PKU2U) (представлена ​​в Windows 7 ) (pku2u.dll) — обеспечивает одноранговую аутентификацию с использованием цифровых сертификатов между системами, которые не являются частью домена.

Причины ошибки шифрования CredSSP

В марте 2018 года, компания Microsoft выпустила обновление безопасности для устранения уязвимостей для протокола поставщика поддержки безопасности учетных данных (CredSSP) под именем CVE-2018–0886 (https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018), используемого подключениями по протоколу удаленного рабочего стола (RDP) для клиентов Windows и Windows Server. Как только пользователи и системные администраторы произвели установку апдейтов, то по всему миру начались массовые жалобы, что люди не могут подключаться по протоколу RDP к серверам, компьютерам, получая ошибку, что причиной ошибки может быть шифрование CredSSP.

К сожалению 99% людей и администраторов совершают одну и туже ошибку, они сразу ставят обновления, не дождавшись пары дней после их выхода. Обычно этого времени хватает, чтобы вендор определил проблемы и отозвал глючное обновление.

Уязвимость в протоколе Credential Security Support Provider (CredSSP — провайдер поддержки безопасности учетных данных) допускала удаленный запуск произвольного кода на уязвимой системе и 8 мая 2018 г. Microsoft изменила уровень безопасности подключения с Vulnerable на Mitigated и начались проблемы подключения к удаленному рабочему столу по RDP. Ранее вы могли удаленно подключаться с обновленной машины к машинам без обновления безопасности, так сказать в мягком режиме. Однако с последним обновлением, Microsoft усилила безопасность, и вы больше не можете подключаться к компьютерам без обновления закрывающего брешь CVE-2018–0886.

Под раздачу попали буквально все, клиентские ОС Windows 7, Windows 8.1, Windows 10 с которых были попытки подключиться к RDS ферме или RemoteApp приложениям работающим на Windows Server 2008 R2 и выше. Если бы вы читали ветки обсуждений в эти дни, то вы бы поняли все негодование людей, особенно с запада.

Варианты исправления ошибки CredSSP

На самом деле вариантов много, есть правильные, есть и временные и обходные, которые нужно сделать быстро, чтобы хоть как-то работало, так как бизнес может в этот момент простаивать и терять деньги.

• Вы можете удалить новое обновление безопасности, самый плохой вариант, но в ответственные моменты, иногда используется, чтобы перенести работы на вечер или ночь
• Если нужно быстро получить доступ к серверу и избежать проверку подлинности credssp, то я вам советую отключить на принимающем подключении сервере галку NLA (Network Level Authentication) в русском варианте «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол  с проверкой подлинности на уровне сети»
• То же быстрый метод и на массовое применение, это использование групповой политики, которая изменит шифрование Oracle Remediation
• Ну и самый правильный метод, это установка обновлений на все ваши системы

Отключаем credssp в Windows через NLA

Данный метод выхода из ситуации я бы рассматривал, как быстрое, временное решение, до того, как вы установите обновления безопасности. Чтобы разрешить удаленное подключение к серверу и избегать ситуации, что произошла ошибка при проверке подлинности credssp, сделайте вот что. Откройте свойства моего компьютера, попав в систему, так же можно нажать одновременно WIN+Pause Breake или как вариант в командной строке ввести control /name Microsoft.System. В окне «Система» находим пункт меню «Настройка удаленного доступа»

Снимите галку «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол  с проверкой подлинности на уровне сети»

После этого вы легко сможете подключиться к данному компьютеру или серверу, но как быть что вы не можете туда попасть и снять эту галку, тут нам на помощь придет реестр Windows. Вы можете удаленно создать нужные ключи реестра, которые отключат галку NLA или политику CredSSP. Для этого вы можете пойти двумя путями:

1. Использовать сетевой реестр Windows
2. Использовать удаленное управление компьютером, например PsExec.exe, я вам с помощью него уже показывал, как открывать порты в брандмауэре, удаленно.

Давайте попробуем через удаленный реестр, для этого открываем Regedit, через окно «Выполнить».

Из меню «Файл» выберите пункт «Подключить сетевой реестр», далее найдите нужный вам сервер.

У вас подключится дополнительный реестр с двумя кустами. Переходите по пути (Если у вас не будет CredSSPParameters, то нужно будет их создать):

Тут вам необходимо создать REG_DWORD ключ с именем AllowEncryptionOracle и значением 2. В данном варианте политика CredSSP выставит Уязвимый уровень — это самый низкий уровень защиты. Это позволит вам подключаться к серверам удаленно, используя RDP. Однако это подвергнет серверы атакам.

Или можно так же отключить NLA, для этого найдите ветку реестра:

Найдите там ключ SecurityLayer и выставите ему значение 0, чтобы деактивировать Network Level Authentication.

Теперь то же самое вы можете выполнить и через PsExec.exe, выставив для CredSSP минимальный уровень защиты или же отключить NLA, для этого находясь в cmd в режиме администратора введите команду:

w10-cl01 — это имя компьютера.

Далее имея запущенный сеанс cmd для удаленного компьютера, выполните команду:

Аналогично можно сделать и для отключения Network Level Authentication, команда будет такой:

Еще раз обращаю ваше внимание, что данный метод временный и самый не безопасный, применяемый в случаях, когда уже ничего сделать нельзя или дольше, а нужно уже вчера, обязательно установите все нужные обновления.

Отключаем шифрование credssp через GPO

Если у вас большая инфраструктура, в которой сотни компьютеров и сотни серверов, то вы можете до установки нужных обновлений в вечернее время, временно отключить новый уровень шифрования CredSSP и убрать ошибку «Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP». Для этого мы можем воспользоваться всеми плюсами доменной инфраструктуры Active Directory. Тут два варианта, вы можете создать массовую политику для распространения ее на нужные OU или если у вас требование для одного или двух локальных компьютеров, то на них можно запустить локальный редактор групповых политик, тем самым внеся изменения только на них.

Напоминаю, что оснастку управление групповой политикой вы можете найти на контроллере домена или компьютере с установленным пакетом RSAT, открыть ее можно через команду в окне «Выполнить» gpmc.msc. Если нужно открыть локальный редактор групповых политик, то в окне «Выполнить» введите gpedit.msc.

Вам необходимо перейти в ветку:

Открываем настройку «Исправление уязвимости шифрующего оракула (Encryption Oracle Remediation)». Включаем политику, у вас активируется опция «Уровень защиты», на выбор будет три варианта:

• Принудительно применять обновленные клиенты (Force Updated Clients) — она будет стоять по умолчанию из-за максимального уровня защиты, вам данную опцию нужно сменить. Это так сказать максимально безопасный уровень взаимодействия клиент, он должен быть в идеале, после установки обновлений на все сервера и компьютеры.
• Оставить уязвимость (Vulnerable) – клиенты могут подключаться на уязвимые машины.
• Уменьшить риск (Mitigated) – клиенты не могут подключаться к уязвимым серверам, но серверы могут принимать уязвимые клиенты.

Выбираем на время пункт «Оставить уязвимость (Vulnerable)». Сохраняем настройки.

После чего вам нужно обновить политику, для этого откройте командную строку и введите gpupdate /force. Если у вас не доменный компьютер, да и еще Windows 10 Home, которая не имеет встроенного локального редактора политик, то вам как я описывал выше, нужно производить правку реестра

На просторах интернета ходит скрипт PowerShell, который поможет включить данную политику на всех компьютерах в Active Directory

Import-Module ActiveDirectory
$PSs = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $PCs) {
Invoke-Command -ComputerName $computer -ScriptBlock {
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
}
}

Самый правильный метод, это установка обновлений

Когда вам удалось везде подключиться и подошло время обслуживания ваших серверов, быстренько производим установку обновлений закрывающих брешь (CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability).

Раньше были вот такие KB, но они со временем могут меняться свой номер, поэтому пройдите по ссылке выше, так будет надежнее.

• Windows Server 2012 R2 / Windows 8: KB4103715
• Windows Server 2008 R2 / Windows 7: KB4103712
• Windows Server 2016 / Windows 10 1607 — KB4103723
• Windows Server 2016 / Windows 10 1703 — KB4103731
• Windows Server 2016 / Windows 10 1709 — KB4103727
• Windows Server 2016 / Windows 10 1803 — KB4103721

На этом у меня все, надеюсь, что вы разобрались в работе CredSSP и научились ей управлять. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Всем привет!

Практически все вы уже знакомы с советниками на форекс и многие из вас их применяют на своих демо или реальных счетах. Чаще всего для удобства многие используют VPS сервисы, как платные, так и бесплатные, слабенькие сервисы, которые оптимизируют определенным способом под работу терминалов.

Если вы регулярно обновляете свою операционную систему, то вы, скорее всего, установили и обновление от 8 мая 2018 года, после чего, возможно, не смогли подключаться к вашим терминалам на ВПС, как раньше из-за сообщения:
«Произошла ошибка при проверке подлинности….»
Как справиться с этой проблемой — в нашем сегодняшнем материале.

Также большинство из вас используют на своих компьютерах операционную систему Windows и подключаются к своему серверу при помощи утилиты «Подключение к удаленному рабочему столу».

Но дело в том, что если вы регулярно обновляете свою систему, то вы, скорее всего, уже столкнулись вот с такой проблемой:

«Произошла ошибка при проверке подлинности.
Указанная функция не поддерживается

Удаленный компьютер:
Причиной ошибки может быть исправление шифрования CredSSP.»

При попытках подключения к VPS, скорее всего, вы видите такую ошибку.

Нужно ли вообще обновлять Windows?

Кто-то после покупки нового компьютера или переустановки операционной системы сразу же выключает автоматические обновления, считая их ненужными. Кто-то постоянно устанавливает последние системные обновления, думая, что они обязательны для безопасности и стабильной работы Windows. Кто же прав?

Действительно, обновления системы позволяют быть более защищенным от различных программ-шпионов. С новыми обновлениями Microsoft выпускают улучшенную защиту, закрывая различные «дыры» в операционной системе, через которые могут проникнуть вредоносные программы. И если у вас недостаточно мощный антивирус, либо его нет вообще и вы не обновляете систему, то риск, что на ПК проникнет вирус, очень высок.

С новыми обновлениями выпускаются и различные исправления багов в системе. Если не обновлять систему, то через какое-то время можно заметить ухудшение производительности компьютера: различные лаги и торможения в системе, замедленная работа «тяжелых» программах (типа Photoshop, 3DMax и так далее), а еще глюки в терминалах и различных играх. С помощью обновлений многие такие проблемы, которые появляются по вине неисправности системы — исчезают.

В центре обновлений системы можно включить автоматическую установку новых компонентов Windows. Плюс здесь в том, что они вас не будут тревожить и устанавливаются автоматически.

Теперь, для объективности, несколько слов о минусах. И самых главный минус обновлений – это огромное разнообразие компьютерного оборудования. Разработчики системы не могут, даже при всем желании, выпускать обновления, которые бы работали одинаково хорошо у всех пользователей. На одной аппаратной конфигурации обновления будут отлично устанавливаться и работать, а на другой – приведут к полному отказу системы и критической ошибке BSOD (т.н. синий экран) при включении компьютера. Отсюда следует вывод: любые обновления для системы несут потенциальную угрозу для её работы. Из-за «кривых» обнов компьютер может потерять в производительности, а в некоторых случаях и вовсе перестанет загружаться.

Мой совет тут очень прост — устанавливайте обновления только в том случае, если они вам реально необходимы. Если для запуска какой-то программы требуется определенное обновление, то эти приложения обычно сами сообщат, что конкретно требуется. Вы же сможете выборочно поставить только то, что нужно. Во всех остальных случаях работает главное правило админа: «работает – не лезь». Если ваш компьютер стабильно работает без глюков и зависаний, а все установленные программы шустро выполняют свои задачи – обновляться не обязательно.

Я уже обновил ОС и получил ошибку при подключении. Что теперь?

Сегодня мы рассмотрим целых три способа исправления этой ошибки. Первый способ — является наиболее правильным и именно его необходимо использовать, в случае, если вы столкнулись с данной проблемой. Второй и третий способ, хоть и позволяют убрать ошибку, но пользоваться ими стоит, только если нет возможности установить патч.

Способ 1: Установка обновления для исправления шифрования CreedSSP

Причиной данной ошибки является отсутствие обновления CVE-2018-0886 на стороне сервера или того компьютера, к которому вы пытаетесь подключиться, используя удаленный рабочий стол (RDP). Для её устранения достаточно просто установить данное обновление на том компьютере, который выступает в роли сервера. Это обновление можно легко найти, просто забив в поисковик его название – «CVE-2018-0886» и выбрав подходящий для вашей операционной системы вариант.

Если этот вариант вам не подойдет и не решит проблему, попробуйте второй способ.

Способ 2: Отключение уведомления об ошибке шифрования CreedSSP через групповые политики

Если же установить обновления по какой-то причине невозможно, то можно отключить данное уведомление об ошибке. Для этого на компьютере, который выступает в роли клиента, проводим следующие действия:

В окне «Выполнить», в «Командной строке» или PowerShell нужно выполнить команду gpedit.msc.

После этого произойдет загрузка консоли управления групповыми политиками:

В ней нужно перейти по следующему пути: Конфигурация компьютера — Административные шаблоны — Система — Передача учетных данных. Для английской версии данный путь выглядит следующим образом: Computer Configuration — Administrative Templates — System — Credentials Delegation:

Открываем параметр «Исправление уязвимости шифрующего оракула» («Encryption Oracle Remediation» в английской версии), и нажимаем «Включено» («Enabled»). Уровень защиты ставим как «Оставить уязвимость» («Vulnerable»).

Нажимаем «ОК», и выходим из управления групповыми политиками.

Если не поможет и это, тогда придется немного поковыряться в реестре.

Способ 3: Отключение уведомления об ошибке шифрования CreedSSP путем правки реестра

В том случае, если в вашей редакции Windows отсутствует редактор групповых политик (например, Windows 10 Домашняя), или же предыдущий способ не решил проблему, то тогда придется внести нужные правки в реестр самостоятельно. Для этого на компьютере, который выступает в роли клиента, проводим следующие действия:

Находим редактор реестра:

Открываем его:

Переходим по следующему пути:

HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters

Ищем параметр DWORD под названием AllowEncryptionOracle, и ставим значение 2. Если такого параметра нет, то создаем его.

Перезагружаем компьютер.

Для тех, кто не хочет возиться с реестром, достаточно просто выполнить команду, приведенную ниже, в командной строке с правами администратора. Делается это еще проще.

Находим cmd:

Включаем:

Копируем эту команду (Ctrl+c):

REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Кликаем правой кнопкой мыши по окну консоли и жмем «Вставить»:

Нажимаем Enter.

Заключение

Как видите — ничего сложного. Один из этих трех способов обязательно должен был подействовать. Ну а решать, обновлять ли операционную систему, или нет — конечно же, только вам. Тем не менее, если вы плохо разбираетесь в компьютерах, я порекомендовал бы вам все же включить автоматическое обновление и заодно поставить хороший антивирус – сейчас довольно большой выбор достойных вариантов даже в бесплатном сегменте.

С уважением, Дмитрий аkа Silentspec
TradeLikeaPro.ru