Dit probleem kwam ik vaak tegen bij het proberen verbinding te maken met externe machines via de ingebouwde RDP-client ( mstsc.exe).De foutmelding die verschijnt, zegt dan zoiets als:
Remote Desktop Connection An authentication error has occurred. The function requested is not supported. Remote computer: computer_name
Het probleem is voornamelijk dat Windows RDP-verbindingen blokkeert met computers die een kwetsbare versie van CredSSP (CVE-2018-0886) gebruiken. Microsoft heeft deze kwetsbaarheid in 2018 weliswaar verholpen, maar als de externe pc de updates niet heeft geïnstalleerd – of als Windows Update problemen vertoont – wordt de verbinding geweigerd. Het CredSSP-protocol authenticeert gebruikers vooraf tijdens de RDP-handshake, dus als het protocol verouderd of kwetsbaar is, geeft Windows deze foutmelding om de verbinding te beschermen.
In sommige configuraties voelt het vreemd aan — ik heb bijvoorbeeld gezien dat het op de ene machine na een update wel werkte, maar op een andere machine, zelfs op hetzelfde netwerk, weer niet. Want Windows moet het natuurlijk net iets ingewikkelder maken dan nodig.
Zo los je het op. Het doel is om zowel de client- als de servercomputer op een compatibele, veilige CredSSP-versie te krijgen, of in ieder geval Windows de verbinding tijdelijk te laten accepteren terwijl je de updateproblemen oplost.
Hoe los ik RDP-authenticatieproblemen op in Windows?
Methode 1: De externe computer bijwerken (sterk aanbevolen)
- Waarom dit helpt: Omdat de hoofdoorzaak is dat de externe pc de nieuwste beveiligingsupdates die de CredSSP-kwetsbaarheid verhelpen, niet heeft geïnstalleerd. Op deze manier dicht je effectief het beveiligingslek en voorkom je dat de fout optreedt.
- Wanneer dit van toepassing is: Wanneer u toegang hebt tot de externe machine of iemand kunt vragen deze bij te werken. Meestal is het, als het een server of een bedrijfscomputer betreft, de moeite waard om dit eerst te doen.
- Wat u kunt verwachten: Zodra de externe host is bijgewerkt met een recente cumulatieve Windows-update, werkt uw RDP-verbinding zonder fouten. Mogelijk moet u Windows Update opnieuw opstarten of controleren om te verifiëren of de nieuwste updates zijn geïnstalleerd. U kunt de volgende opdracht
gwmi win32_quickfixengineering | sort installedon -descin PowerShell uitvoeren om de updatedatums te bekijken: - Tip: Je kunt Windows Update handmatig gebruiken of de PowerShell-module PSWindowsUpdate proberen om ontbrekende updates te scannen en te installeren. Houd er wel rekening mee dat op oudere Windows-versies of beveiligde systemen updates mogelijk ontbreken of zijn uitgeschakeld, dus je hebt beheerdersrechten nodig.
Methode 2: Gebruik een tijdelijke oplossing om verbinding te maken (niet aanbevolen voor de lange termijn)
- Waarom het handig is: Het versoepelt de CredSSP-beperkingen, waardoor je verbinding kunt maken, zelfs als de externe server zichzelf nog niet heeft gepatcht. Een beetje vreemd, maar handig als je dringend toegang nodig hebt.
- Wanneer is dit van toepassing? Meestal wanneer u probeert verbinding te maken met een machine die niet direct kan worden bijgewerkt, zoals een externe server die niet onder uw controle staat.
- Wat u kunt verwachten: U kunt een registersleutel instellen om Windows te laten accepteren dat er onveilige CredSSP-versies worden gebruikt. Voer de volgende opdracht uit in PowerShell of de opdrachtprompt als beheerder:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /fDeze opdracht geeft Windows in feite de opdracht om verbindingen met kwetsbare CredSSP-versies toe te staan. Nadat u verbinding hebt gemaakt met de externe computer en updates hebt geïnstalleerd, moet u de instelling terugzetten naar de standaardbeveiligingsinstellingen.REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0 /f
Als alternatief kunt u netwerkauthenticatie (NLA) op de RDP-server uitschakelen. Dit is niet veilig in een productieomgeving, maar kan wel handig zijn bij het testen. U kunt hiervoor dezelfde instellingen wijzigen via de Groepsbeleid-editor ( gpedit.msc) of de systeemeigenschappen.
NLA uitschakelen in Systeemeigenschappen (snelle en simpele oplossing)
- Ga naar Configuratiescherm > Systeem > Instellingen voor afstandsbediening.
- Schakel onder Extern bureaublad het selectievakje uit met de tekst ‘ Alleen verbindingen toestaan vanaf computers waarop Extern bureaublad met netwerkauthenticatie is uitgevoerd (aanbevolen) ‘.
- In Windows 7 of Server 2008 R2 heet dit ‘Verbindingen toestaan vanaf computers waarop elke versie van Extern bureaublad (minder beveiligd) wordt uitgevoerd’.
U kunt dit beleid ook uitschakelen via gpedit.msc :
- Ga naar Computerconfiguratie > Administratieve sjablonen > Windows-onderdelen > Extern bureaubladservices > Extern bureaubladsessiehost > Beveiliging.
- Zoek het beleid ” Gebruikersverificatie vereisen voor externe verbindingen met behulp van netwerkverificatie ” en stel dit in op Uitgeschakeld.
- Vergeet niet om het programma
gpupdate /forcedaarna uit te voeren of de computer opnieuw op te starten om de wijzigingen toe te passen.
Houd er echter rekening mee dat dit de beveiliging vermindert, dus doe dit alleen tijdelijk als u het risico kunt accepteren. Zodra de patch op afstand is toegepast, kunt u de instelling terugzetten of de tijdelijke oplossing uitschakelen.
De beste oplossing is natuurlijk altijd om het systeem op afstand bij te werken, maar soms moet je gewoon snel toegang krijgen. Vergeet niet om daarna je beveiligingsinstellingen te herstellen om alles veilig te houden.
Samenvatting
- Update de externe pc’s met de nieuwste CredSSP-patches.
- Versoepel tijdelijk de beveiligingsinstellingen van CredSSP als een update niet mogelijk is.
- Schakel NLA uit in de systeeminstellingen als al het andere niet werkt (niet aanbevolen voor de lange termijn).
Samenvatting
Deze foutmelding kan erg vervelend zijn, vooral als je snel een oplossing zoekt. In de meeste gevallen is het bijwerken van het externe Windows-systeem met een recente beveiligingspatch de echte oplossing. De alternatieve oplossingen zijn echter niet erg betrouwbaar – laat ze niet permanent ingeschakeld. Beveiliging zou immers geen optie moeten zijn. Ik hoop dat dit iemand helpt om zonder al te veel gedoe weer toegang te krijgen tot zijn of haar externe computer – het werkte voor mij, hopelijk werkt het ook voor jou.