Windows 10 데스크톱에 최신 보안 업데이트를 설치한 후 원격 데스크톱을 사용하여 새 VDS 서버(Windows Server 2012 R2 실행)에 원격으로 연결할 수 없습니다. mstsc.exe 클라이언트 창에서 RDP 서버 이름을 지정하고 "연결"을 클릭하면 오류가 나타납니다.
원격 데스크톱 연결인증 오류가 발생했습니다.
요청한 기능은 지원되지 않습니다.
원격 컴퓨터:computer_name
최신 업데이트를 제거하고 컴퓨터를 재부팅한 후 RDP를 통해 원격 서버에 연결할 수 있었습니다. 제가 알기로는 이것은 일시적인 해결 방법입니다. 새로운 누적 Windows 업데이트 패키지가 도착하여 다음 달에 설치되며 RDP 인증 오류가 반환됩니다. 조언해주실 수 있나요?
답변
너가 확실히 맞아. 이 업데이트로 수정되는 다양한 취약점을 악용할 위험에 컴퓨터를 노출시키므로 설치된 Windows 업데이트를 제거하여 이 문제를 해결하는 것은 무의미합니다. RemoteApp 응용 프로그램을 실행하려고 할 때 RDP 오류 "인증 오류가 발생했습니다."가 나타날 수도 있습니다.
왜 이런 일이 발생합니까? 사실 최신 보안 업데이트(2018년 5월 이후 출시)가 Windows 10 바탕 화면에 설치되어 있습니다. 이 업데이트는 CredSSP의 심각한 취약점을 수정합니다. RDP 서버에서 인증에 사용되는 프로토콜(Credential Security Support Provider)(CVE-2018-0886 – 기사 RDP 인증 오류:CredSSP Encryption Oracle Remediation을 주의 깊게 읽으십시오. 이러한 업데이트는 RDP/RDS 서버 측에 설치되지 않으며 NLA (네트워크 수준 인증)은 원격 데스크톱 액세스에 대해 활성화됩니다. NLA는 CredSSP 메커니즘을 사용하여 TLS/SSL 또는 Kerberos를 통해 RDP 사용자를 사전 인증합니다. 컴퓨터는 취약한 버전의 CredSSP를 사용하는 서버에 대한 원격 데스크톱 연결을 단순히 차단합니다.
이 문제를 해결하고 RDP 서버에 연결하려면 어떻게 해야 합니까?
- 가장 올바른 방법 문제를 해결하려면 원격 컴퓨터 또는 RDS 서버(RDP를 통해 연결하려는 서버)에 최신 누적 Windows 보안 업데이트를 설치해야 합니다.
- 해결 방법 1. RDP 서버 측에서 NLA(네트워크 수준 인증)를 비활성화할 수 있습니다(아래 설명 참조).
- 해결 방법 2. 안전하지 않은 버전의 CredSSP를 사용하여 원격 데스크톱에 연결할 수 있도록 허용하여 데스크톱을 재구성할 수 있습니다(위 링크의 문서 참조). 이렇게 하려면 레지스트리 매개변수 AllowEncryptionOracle을 변경하십시오. (명령 사용:
REG ADD) 또는 로컬 정책 변경 암호화 Oracle Remediation 값을 취약함으로 설정하여 . 이것은 서버에 로컬로 로그인할 수 없는 경우(ILO, 가상 머신 콘솔 또는 클라우드 공급자 웹 인터페이스를 통해) RDP를 통해 원격 서버에 액세스하는 유일한 방법입니다. 이 모드에서 원격 서버에 연결하여 최신 보안 업데이트를 설치할 수 있습니다. 서버를 업데이트한 후 정책을 비활성화하거나 레지스트리 매개변수 AllowEncryptionOracle의 값을 0으로 반환하는 것을 잊지 마십시오(
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0).
Windows에서 원격 데스크톱용 NLA 비활성화
RDP 서버에서 NLA가 활성화되어 있으면 CredSSP가 RDP 사용자의 사전 인증에 사용됨을 의미합니다. 시스템 속성에서 네트워크 수준 인증을 비활성화할 수 있습니다. 원격 "네트워크 수준 인증으로 원격 데스크톱을 실행하는 컴퓨터에서만 연결 허용(권장) 옵션을 선택 취소하여 탭 "(Windows 10 /8.1 또는 Windows Server 2012R2/2016).
Windows 7(Windows Server 2008 R2)에서는 이 옵션이 다르게 호출됩니다. 원격 탭에서 '모든 버전의 원격 데스크톱을 실행하는 컴퓨터의 연결 허용(보안 수준이 낮음) 옵션을 선택합니다. ".
로컬 그룹 정책 편집기(gpedit.msc)를 사용하여 NLA(네트워크 수준 인증)를 비활성화할 수도 있습니다. (이와 같이 Windows 10 Home 에디션에서 gpedit.msc를 실행할 수 있음) 또는 도메인 그룹 정책 관리 콘솔 사용 – GPMC.msc . 정책 편집기에서 컴퓨터 구성 –> 관리 템플릿 –> Windows 구성 요소 –> 원격 데스크톱 서비스 –> 원격 데스크톱 세션 호스트 –> 보안 섹션으로 이동합니다. , "네트워크 수준 인증을 사용하여 원격 연결에 사용자 인증 필요 정책을 찾아 비활성화합니다. ".
RDP도 선택해야 합니다. "원격(RDP) 연결에 특정 보안 계층 사용 요구의 보안 계층 " 정책 설정.
새 RDP 설정을 적용하려면 로컬 컴퓨터에서 그룹 정책을 업데이트해야 합니다(gpupdate / force ) 또는 데스크탑을 재부팅하십시오. 그런 다음 원격 데스크톱에 성공적으로 연결해야 합니다.