Введение
Одним из основных неудобств для пользователя при запуске удаленного рабочего стола или опубликованного на терминальном сервере приложения является необходимость ввода своих учетных данных. Ранее для решения этой проблемы использовался механизм сохранения учетных данных в настройках клиента удаленного рабочего стола.
Windows ssp
Следующие поставщики общих служб устанавливаются вместе с Windows:
Варианты исправления ошибки credssp
На самом деле вариантов много, есть правильные, есть и временные и обходные, которые нужно сделать быстро, чтобы хоть как-то работало, так как бизнес может в этот момент простаивать и терять деньги.
- Вы можете удалить новое обновление безопасности, самый плохой вариант, но в ответственные моменты, иногда используется, чтобы перенести работы на вечер или ночь
- Если нужно быстро получить доступ к серверу и избежать проверку подлинности credssp, то я вам советую отключить на принимающем подключении сервере галку NLA (Network Level Authentication) в русском варианте “Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети”
- То же быстрый метод и на массовое применение, это использование групповой политики, которая изменит шифрование Oracle Remediation
- Ну и самый правильный метод, это установка обновлений на все ваши системы
Дополнительные ресурсы
· Single Sign-On for Terminal Services
· How to enable Single Sign-On for my Terminal Server connections
· Introducing Web Single Sign-On for RemoteApp and Desktop Connections
· Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3
Назначение credssp
Что такое CredSSP – это Win32 API, используемый системами Microsoft Windows для выполнения различных операций, связанных с безопасностью, таких как аутентификация. SSPI функционирует, как общий интерфейс для нескольких поставщиков поддержки безопасности (SSP).
CredSSP позволяет приложению делегировать учетные данные пользователя от клиента целевому серверу для удаленной аутентификации. CredSSP предоставляет зашифрованный канал протокола безопасности транспортного уровня . Клиент проходит проверку подлинности по зашифрованному каналу с использованием протокола SPNEGO (Simple and Protected Negotiate) с Microsoft Kerberos или Microsoft NTLM.
После проверки подлинности клиента и сервера клиент передает учетные данные пользователя на сервер. Учетные данные дважды шифруются с использованием ключей сеанса SPNEGO и TLS. CredSSP поддерживает вход в систему на основе пароля, а также вход в систему с использованием смарт-карт на основе X.509 и PKINIT.
Отключаем шифрование credssp через gpo
Если у вас большая инфраструктура, в которой сотни компьютеров и сотни серверов, то вы можете до установки нужных обновлений в вечернее время, временно отключить новый уровень шифрования CredSSP и убрать ошибку “Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP”.
Для этого мы можем воспользоваться всеми плюсами доменной инфраструктуры Active Directory. Тут два варианта, вы можете создать массовую политику для распространения ее на нужные OU или если у вас требование для одного или двух локальных компьютеров, то на них можно запустить локальный редактор групповых политик, тем самым внеся изменения только на них.
Напоминаю, что оснастку управление групповой политикой вы можете найти на контроллере домена или компьютере с установленным пакетом RSAT, открыть ее можно через команду в окне “Выполнить” gpmc.msc. Если нужно открыть локальный редактор групповых политик, то в окне “Выполнить” введите gpedit.msc.
Вам необходимо перейти в ветку:
Практическая информация
В этом разделе рассмотрим ограничения на использование технологии прозрачной авторизации и проблемы, которые могут возникнуть при её применении.
1. Технология Single Sign-On работает только при соединении с компьютеров под управлением операционной системы не Windows XP SP3 и более старших версий. В качестве терминального сервера могут быть использованы компьютеры с операционной системой Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.
2. Если терминальный сервер, к которому устанавливается соединение, не может быть аутентифицирован через Kerberos или SSL-сертификат, SSO работать не будет. Это ограничение можно обойти с помощью политики:
Разрешить делегирование учетных данных, установленных по умолчанию с проверкой подлинности сервера «только NTLM».
3. Алгоритм включения и настройки данной групповой политики аналогичен представленному выше. Файл реестра, соответствующей данной настройке имеет следующий вид.
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCredentialsDelegation]
“AllowDefCredentialsWhenNTLMOnly”=dword:00000001
“ConcatenateDefaults_AllowDefNTLMOnly”=dword:00000001
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCredentialsDelegationAllowDefCredentialsWhenNTLMOnly]
Прозрачная авторизация на терминальных серверах с windows xp sp3 — реальные заметки ubuntu & mikrotik
В предыдущей заметке я показал, как настроить прозрачную авторизацию и как произвести подключение с рабочей станции под управлением Windows 7 x64, но всё это, в конечном счёте хорошо, но как быть с рабочими станциями под управлением Windows XP. Этому и посвящена данная заметка.
В роли тестовой, будет выступать рабочая станция под управлением Windows XP SP3 Rus.
На OS Windows XP SP2 и более ранних данная технология поддерживающая прозрачное аутентификацию не работает. Поэтому, если вы собираетесь внедрять SSO, вам следует обновить ваши клиентские операционные системы хотя бы до SP3.
Попытка подключения рабочей станции под управлением Windows XP SP3 RUS через mstsc к терминальному серверу fileserv.polygon.local завершилась неудачей.
Т.к. в системеWindows XP SP3возможностьCredSSPпо умолчаниюВЫКЛЮЧЕНА, включим, для этого откроем уже существующую групповую политику GPO_CredSSP_Terminal и перейдем в следующие пункты:
«Computer Configuration» – «Preferences» – «Windows Settings» – «Registry»
Следует создать ключи реестра с действием – обновить (Update)
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
В значении “Security Packages” типа REG_MULTI_SZ дописать “tspkg” к уже существующим данным, см. скриншот для наглядного понимания.
Следует создать ключи реестра с действием – обновить (Update)
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders]
В значении “Security Packages” типа REG_MULTI_SZ credssp.dll дописать к уже существующим данным, указанным для SSP, см. скриншот для наглядного понимания.
У Вас должно получиться вот так:
Открываем свойства на каждом ключе реестра, щёлкнув правой кнопкой мыши.
См. скриншот для наглядного понимания.
Далее Common – ставим галочку напротив пункта Item-level targeting, щёлкаем на Targeding… — New Item (Operating System) и приводим к виду, как у меня на скриншоте:
Также нужно будет по аналогии выше сделать для ключей, но сперва выполнить их на машине на которой настраиваем групповую политику, в данном случаем это dc1.polygon.local
Запускаем командную строку с правами Администратора и выполняем следующие строчки.
reg add HKLMSOFTWAREPoliciesMicrosoftWindowsCredentialsDelegation /v AllowDefaultCredentials /t REG_DWORD /d 00000001 /f
reg add HKLMSOFTWAREPoliciesMicrosoftWindowsCredentialsDelegation /v ConcatenateDefaults_AllowDefault /t REG_DWORD /d 00000001 /f
reg add HKLMSOFTWAREPoliciesMicrosoftWindowsCredentialsDelegationAllowDefaultCredentials /v 1 /t REG_SZ /d TERMSRV/* /f
, после их можно будет удалить, т.к. здесь они уже больше не понадобятся.
Отлично, с этим справились. Теперь, чтобы Windows XP SP3 смогла работать с этой групповой политикой нужно на рабочие станции распространить следующий KB943729 файл. В прошлой статье я рассказал, для чего он нужен. После этого произвести подключение к терминальному серверу mstsc /v:fileserv.polygon.local и произойдёт прозрачная аутентификация. На этом всё, удачи!!!
Самый правильный метод, это установка обновлений
Когда вам удалось везде подключиться и подошло время обслуживания ваших серверов, быстренько производим установку обновлений закрывающих брешь (CVE-2022-0886 | CredSSP Remote Code Execution Vulnerability).
Заключение
В статье рассмотрена технология прозрачной авторизации на терминальных серверах Single Sign-On. Её использование позволяет сократить время, затрачиваемое пользователем для входа на терминальный сервер и запуск удаленных приложений. Кроме того, с её помощью достаточно единожды вводить учетные данные при входе на локальный компьютер и затем использовать их при соединении с терминальными серверами домена. Механизм передачи учетных данных достаточно безопасен, а настройка серверной и клиентской части предельно проста.