www.SAMURAJ-cz.com 

13.11.2018 Tibor Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Problémy nové verze Windows a Windows Server

Úterý, 16.10.2018 19:18 | Samuraj - Petr Bouška |
I když Microsoft zachovává značnou kompatibilitu u nových verzí OS, tak některé věci mění a blokuje z důvodu bezpečnosti. Já myslím, že dokud se nezruší základní nebezpečné protokoly, jako je NTLMv2, tak se k bezpečnosti příliš nepřiblížíme. Proto v některých případech můžeme zvážit vypnutí nových bezpečnostních vlastností, když to potřebujeme třeba kvůli kompatibilitě se starším nástrojem.

Zatím tu mám dvě situace, na které může člověk dost často narazit. Časem možná doplním další.

RDP připojení ze staršího klienta na Windows 10 a Server 2016

Při vzdáleném připojení Remote Desktop Connection se dříve zobrazila přihlašovací obrazovka. To umožňovalo různé útoky. Tak Microsoft přišel s Network Level Authentication (NLA), kde dojde k autentizaci dříve, než se naváže session.

Na Windows Sever 2008 R2 a 2012 můžeme v nastavení povolit připojení pouze klientů, kteří NLA podporují.

Remote Desktop vypnutí NLA

Pokud jsme povolili připojení libovolné verze, tak jsme vyřešili připojení starých klientů nebo non-MS aplikací. Toto nastavení mění hodnotu UserAuthentication (1 pro zapnuté NLA) v registrech HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.

Pokud zrušíme zatržítko, omezující RDP na NLA, v případě Windows Sever 2016, tak se patrně stále ze staršího klienta nepřipojíme a dostaneme chybové hlášení:

The connection cannot proceed because authentication is not enabled and the remote computer requires than authentication
 be enabled to connect.
The connection cannot proceed because authentication is not enabled

Řešení je změnit v registrech hodnotu SecurityLayer v cestě HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Na internetu se většinou doporučuje zadat 0. Starší verze Windows mají nastavenu hodnotu 1 a ta mi funguje. Windows Server 2016 má zvednutou hodnotu na 2. Zajímavé je, že někdy se mi nastavení projevilo rovnou a někdy je třeba restart.

RDP a chyba CredSSP

NLA využívá Credential Security Support Provider protocol (CredSSP) jako Security Support Provider, který provádí autentizaci uživatele. V CredSSP byla nalezena zranitelnost, kterou Microsoft opravil. A nyní za určitých situací, a určité kombinaci opravených knihoven, můžeme při pokusu o připojení dostat chybu:

An authentication error has occurred.
The function requested is not supported.
Remote computer: <computer name or IP>.
This could be due to CredSSP encryption oracle remediation.
For more information, see https://go.microsoft.com/fwlink/?linkid=866660.
An authentication error has occurred. The function requested is not su

Podrobnější popis "CredSSP encryption oracle remediation" error when you try to RDP to a Windows VM in Azure.

Správné řešení je všude instalovat aktualizace. Další možnost je na serveru vypnout NLA. Nebo můžeme použít Group Policy (potřebujeme Administrative Templates pro Win10 1803).

V cestě Computer Configuration > Administrative Templates > System > Credentials Delegation nastavíme Encryption Oracle Remediation hodnotu Protection Level na Vulnerable.

Windows Server 2016 a přístup na složky vyžaduje oprávnění pro Domain Admins

Hodně zvláštní chování při přístupu do složek, kam máme nejvyšší oprávnění. Řeší se to v řadě diskusí na internetu. Nevím, zda to nastává pouze v situaci popsané níže, nebo i při jiných podmínkách. Souvisí to s User Account Control (UAC), ale i když v GUI nastavíme na minimum, tak to toto chování neovlivní.

Máme členský server domény, kde je skupina Domain Admins členem lokální skupiny Administrators (standardní chování). Přihlásíme se na server jako nějaký doménový admin. Server má mimo systémového disku (C:) ještě další disk. Na druhém disku D: je vytvořena složka, která má odebránu skupinu Users, ale stále má skupina Administrators plná práva. Když zkusíme tuto složku otevřít, tak dostaneme hlášení:

You don't currently have permission to access this folder.
You don't currently have permission to access this folder.

Pokud klikneme na Continue, tak se našemu účtu nastaví práva na složku (a standardně na podsložky). Pak se sice složka otevře, ale patrně nechceme modifikovat oprávnění na složce (a aby tam místo skupin byl určitý uživatel).

Jediné funkční řešení, které jsme nalezli, je úplné vypnutí UAC pomocí Group Policy. To není ideální, ale pro specifický server můžeme použít.

V cestě Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options nastavíme User Account Control: Run all administrators in Admin Approval Mode na Disabled. Následně je třeba restartovat server.

Služba Sync Host - OneSyncSvc na serveru

V GUI Services vidíme Sync Host_číslo. Na serveru je tato služba zbytečná a často padá. V GUI ji nelze nastavit na Disabled, ale můžeme to provést v příkazové řádce (ne v PowerShellu). Popis služby This service synchronizes mail, contacts, calendar and various other user data. Mail and other applications dependent on this functionality will not work properly when this service is not running.

sc config "OneSyncSvc" start=disabled
zobrazeno: 958krát | Komentáře [1]

Autor:

Související články:

Windows OS

Články, které se věnují operačním systémům firmy Microsoft, jak klientských, tak serverových.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

  1. [1] Vojtěch Novák

    Právě jsem řešil podobný problém. Ale jako RDP klient Terminál Serveru 2016 byl terminál s WinCE 5.0

    Našel jsem tento návod, sice je to pro 2012, ale funguje i na 2016 :

    http://www.hjgode.de/wp/2014/03/12/windows-server-2012-rds-and-windows-mobile-connection-error/

    Středa, 17.10.2018 16:06 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách