So beheben Sie das Problem, dass Windows XP keine RDP-Verbindung zu Windows 10 und Server 2016 RDS herstellen kann

Windows XP reibungslos mit neueren Remote-Desktop-Servern zu verbinden, kann sich als echte Herausforderung erweisen. Der ältere XP-RDP-Client ist schlichtweg nicht für die Sicherheitsfunktionen neuerer Windows-Betriebssysteme ausgelegt, insbesondere wenn diese die Netzwerkauthentifizierung (NLA) erfordern. Falls Sie schon einmal Fehlermeldungen wie „Aufgrund eines Sicherheitsfehlers konnte der Client keine Verbindung zum Remotecomputer herstellen“ oder „Der Remotecomputer erfordert Netzwerkauthentifizierung, die Ihr Computer nicht unterstützt“ erhalten haben, ist dieser Leitfaden genau das Richtige für Sie. In vielen Fällen besteht das Ziel darin, den alten XP-Rechner mit Windows Server 2016/2012R2 oder sogar Windows 10 zu verbinden, ohne dabei die Sicherheit zu stark zu beeinträchtigen. Wahrscheinlich werden Sie auf Fehler im Zusammenhang mit CredSSP oder Authentifizierungsfehler stoßen, was auf Sicherheitslücken oder Inkompatibilitäten des Protokolls zurückzuführen ist.

Grundsätzlich gibt es zwei Hauptlösungen: Entweder man deaktiviert NLA serverseitig, was aus Sicherheitsgründen nicht optimal, aber manchmal notwendig ist, oder man aktiviert die NLA-Unterstützung unter XP. Hier wird es etwas komplizierter, aber diese Schritte sollten Ihnen eine Chance auf Erfolg geben. Wichtig: Microsoft hat XP nicht für alle diese neuen Protokolle aktualisiert, daher erfordert ein Großteil der Vorgehensweise das Anpassen von Registry-Einstellungen oder das Deaktivieren wichtiger Funktionen. Das Hauptziel ist, dass XP-Client und -Server dieselbe Sicherheitssprache verwenden.

So beheben Sie RDP-Verbindungsprobleme von Windows XP zu neueren Windows-Betriebssystemen

Deaktivieren von NLA unter Windows Server 2016/2012 R2 oder Windows 10

Dies ist vermutlich der schnellste Weg, um einen Angriff durchzuführen, hat aber seinen Preis. Durch das Deaktivieren von NLA werden einige Sicherheitsvorkehrungen aufgehoben, doch manchmal ist es die einzige Möglichkeit, wenn der Client die Technologie nicht unterstützt. Wenn NLA deaktiviert ist, verlangt der Server keine Client-Authentifizierung mehr vor dem Verbindungsaufbau. Dies erleichtert zwar die Verbindung älterer Clients, schwächt aber die Sicherheitsvorkehrungen.

  • Öffnen Sie den Server-Manager. Navigieren Sie auf einem Server zu Remotedesktopdienste > Sammlungen.
  • Suchen Sie die Sammlung, mit der Sie arbeiten, und klicken Sie dann auf Aufgaben > Eigenschaften bearbeiten.
  • Suchen Sie auf der Registerkarte „Sicherheit “ nach „Verbindungen nur von Computern zulassen, auf denen Remote Desktop mit Netzwerkauthentifizierung ausgeführt wird“ und deaktivieren Sie diese Option.

Auf einer Windows 10-Workstation:

  • Gehen Sie zu System > Remote-Einstellungen.
  • Deaktivieren Sie die Option „Verbindungen nur von Computern zulassen, auf denen Remote Desktop mit Netzwerkauthentifizierung ausgeführt wird“.

Hinweis: Dadurch wird die Verbindung unsicherer – lassen Sie NLA daher nicht dauerhaft deaktiviert. Auf manchen Rechnern müssen Sie möglicherweise den Remotedesktopdienst neu starten oder den Rechner neu hochfahren, damit die Änderungen wirksam werden. Beachten Sie, dass diese Maßnahme potenzielle Sicherheitsrisiken erhöht.

NLA-Unterstützung unter Windows XP SP3 aktivieren (falls Sie NLA unbedingt behalten möchten)

Das ist etwas kniffliger. Für XP muss Service Pack 3 installiert sein, da die Unterstützung für NLA und CredSSP erst mit SP3 eingeführt wurde. Andernfalls erhalten Sie Fehlermeldungen wie „Es ist ein Authentifizierungsfehler aufgetreten, 0x80090327“.

Prüfen Sie zunächst, ob SP3 installiert ist:

  • Klicken Sie mit der rechten Maustaste auf „Arbeitsplatz“ > „Eigenschaften “.Suchen Sie im Infobereich nach „Service Pack 3“.Falls es nicht angezeigt wird, laden Sie es von der Microsoft-Website herunter und installieren Sie es.

Nach der Installation von SP3 muss die CredSSP-Unterstützung manuell über Registry-Änderungen aktiviert werden; etwas ungewöhnlich, aber so funktioniert es:

  • Öffnen Sie den Registry Editor (regedit).
  • Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.
  • Suchen Sie den Wert SecurityProviders. Doppelklicken Sie darauf und fügen Sie ihn , credssp.dll, durch ein Komma getrennt, am Ende des vorhandenen Textes ein.
  • Gehe zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  • Suche die gewünschte Datei Security Packagesund füge sie tspkgder Liste hinzu.

Starten Sie den PC nach diesen Änderungen neu. XP sollte nun NLA und CredSSP unterstützen, wodurch die Verbindungen etwas kompatibler werden. Beachten Sie jedoch, dass Sie Ihre Passwörter weiterhin jedes Mal neu eingeben müssen, da gespeicherte Anmeldeinformationen selten funktionieren. Das ist zwar ärgerlich, aber der Preis für mehr Kompatibilität.

Behebung des CredSSP-Verschlüsselungs-Oracle-Remediation-Fehlers

Dieser Fehler tritt auf, wenn auf Ihrem Server oder Client die neuesten Sicherheitspatches für CVE-2018-0886 installiert sind. Microsoft hat einen Patch hinzugefügt, der ältere, nicht aktualisierte Clients, darunter Windows XP (das ja nicht mehr aktualisiert wird), unbrauchbar macht. Wenn Sie nach Updates Fehlermeldungen wie „Die angeforderte Funktion wird nicht unterstützt“ oder ähnliches erhalten, liegt das wahrscheinlich daran.

In den neuesten Updates hat Microsoft eine Richtlinieneinstellung eingeführt, um diese Erzwingung vorübergehend zu deaktivieren. Um das Problem zu beheben, müssen Sie die Registrierung auf Serverseite anpassen:

  • Öffnen Sie den Gruppenrichtlinien-Editor oder den Registrierungs-Editor.
  • Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > System > Anmeldeinformationsdelegierung.
  • Suchen Sie die Richtlinie „Encryption Oracle Remediation“ und stellen Sie sie auf „Abgeschwächt“ ein.

Dies verringert zwar die Sicherheit, ermöglicht aber älteren Clients die Verbindung. Sie können dies durch direktes Bearbeiten der Registrierung erreichen:

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "AllowEncryptionOracle" /t REG_DWORD /d 2 /f

Ersetzen Sie den Wert durch einen 2reduzierten Wert für eingeschränkte Unterstützung. Beachten Sie, dass dies Ihr System etwas anfälliger macht – tun Sie dies nur, wenn es unbedingt notwendig ist und machen Sie sich mit den Risiken vertraut.

Wenn Sie Windows XP (die Embedded-Version Windows Embedded POSReady 2009) verwenden, können Sie ein spezielles Update zur Behebung der CredSSP-Sicherheitslücke auf [Microsoft-Supportseite](https://support.microsoft.com/en-us/help/4056564/security-update-for-vulnerabilities-in-windows-server-2008) ausprobieren. Es kommt selten vor, dass XP für diese spezifischen Sicherheitslücken gepatcht werden kann, aber rechnen Sie nicht mit einer vollständigen Behebung.

Zusammenfassend lässt sich sagen, dass die Verbindung von XP mit neueren Windows-Servern per RDP zwar möglich ist, aber etwas Aufwand erfordert und nicht risikofrei ist. Ich hoffe, das hilft weiter, und drücke die Daumen, dass dadurch zumindest einige alte Rechner mit der neuen Welt kommunizieren können.

Zusammenfassung

  • Das Deaktivieren von NLA auf dem Server kann die Verbindung älterer Clients erleichtern, verringert aber die Sicherheit.
  • Die Aktivierung der NLA-Unterstützung unter XP erfordert Änderungen in der Registrierung und SP3.
  • Achten Sie auf die Sicherheitslücken von CredSSP und passen Sie die Richtlinien gegebenenfalls an; Sicherheit ist ein Kompromiss.
  • Dinge wie das Bearbeiten von Registrierungspfaden, das Aktivieren/Deaktivieren von NLA und das Verständnis der damit verbundenen Sicherheitsauswirkungen sind von entscheidender Bedeutung.

Zusammenfassung

Der Umgang mit solchen Dingen ist ziemlich frustrierend – Microsoft scheint es gerade dann zu lieben, alte Protokolle zu brechen, wenn man sie am dringendsten braucht. Mit einigen Registry-Anpassungen, dem Deaktivieren von NLA oder dem Aktivieren der Unterstützung unter XP lassen sich die Verbindungen jedoch umgehen. Bedenken Sie aber, dass eine Verringerung der Sicherheit nicht optimal ist, und wägen Sie Ihre Optionen sorgfältig ab.

Hoffentlich spart das jemandem ein paar Stunden. Viel Glück, und nicht vergessen: Das alte XP-Boot sinkt, aber es gibt Möglichkeiten, es vorerst über Wasser zu halten.