Ошибка при подключении по RDP (CredSSP)

13 марта Microsoft опубликовал описание уязвимости CVE-2018-0886 в протоколе проверки подлинности CredSSP,
который в частности используется при подключении по RDP к терминальным серверам.
В связи с чем многие заказчики столкнулись с проблемами подключения по RDP.

В частности, в Windows 7 можно увидеть ошибку:
«Произошла ошибка проверки подлинности. Указанная функция не поддерживается»

В Windows 10 ошибка расписана более подробно, в частности сказано «Причиной ошибки может быть исправление шифрования CredSSP»:

Для обхода ошибки со стороны клиента , отключить групповую политику, путём установки значения Encryption Oracle Remediation в Vulnerable:
с помощью gpedit.msc в Конфигурация компьютера / Административные шаблоны / Система / Передача учётных данных, слева выбрать «Исправление уязвимости шифрующего оракула» (забавный конечно перевод), в настройках поставить «Включено» и выбрать «Оставить уязвимость».

или через реестр (т.к., например, в Windows Home нет команды gpedit.msc):

REG  ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2

НО! Таким образом вы оставляете уязвимость и риски перехвата вашего трафика и пр. конфиденциальные данные, включая пароли. Единственный случай, когда это может быть необходимо, это когда у вас вообще нет другой возможности подключиться к удалённому серверу, кроме как по RDP, чтобы установить обновления (хотя у любого облачного провайдера должна быть возможность подключения к консоли сервера). Сразу после установки обновлений, политики нужно вернуть в исходное состояние.

Если доступ к удалённому серверу есть, то ещё, как временная мера, можно отключить требование NLA (Network Level Authentication), и сервер перестанет использовать CredSSP. Для этого достаточно в Свойствах системы, на вкладке удалённые подключения снять соответствующую галку «Разрешить подключения только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети»:

Но, это тоже неправильный подход.

Правильный подход — это всего-лишь установить нужные обновления на операционную систему, закрывающие уязвимость CVE-2018-0886 в CredSSP, причём, как серверную, куда вы подключаетесь, так и клиентскую, с которой вы подключаетесь.

Список обновлений для всех операционных систем, начиная с Windows 7 и Windows Server 2008 доступен по ссылке: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Выбираете нужную версию операционной системы, скачиваете соответствующее обновление из каталога, устанавливаете и перезагружаетесь. После этого ошибка должна пропасть.
Например, на Windows Server 2016 ссылка на скачивание будет такой: https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103723

Масштабирование экрана при подключении по RDP

Если подключаясь к удаленному компьютеру по RDP вы хотите видеть весь удаленный рабочий стол целиком, то необходимо сделать так, чтобы разрешение экрана клиента совпадало с разрешением удаленного компьютера. Однако в некоторых случаях это может быть неудобно или невозможно. К примеру, физическое разрешение локального компьютера может быть меньше, чем удаленного, либо требуется открыть несколько удаленных сессий одновременно.

В этом случае в окне RDP-клиента поместится лишь часть удаленного экрана и для работы придется использовать прокрутку, что крайне неудобно.

Выходом из данной ситуации может быть режим динамического масштабирования. В этом режиме размер удаленного рабочего стола изменяется таким образом, чтобы целиком поместиться в окне RDP-клиента без использования полос прокрутки. При изменении размеров окна изображение также изменяется, автоматически подстраиваясь под нужный размер.

Динамическое масштабирование появилось еще в Windows XP, однако включить режим масштабирования можно было только отредактировав файл подключения. Для этого надо открыть файл с расширением .rdp в Блокноте (или другом текстовом редакторе)

и добавить в него такую строку:

smart sizing:i:1

После внесения изменений файл надо сохранить, и при следующем подключении RDP-клиент будет запущен в режиме масштабирования.

В восьмой версии RDP клиента в Windows Server 2012 и Windows 8 появилась возможность управлять масштабированием на лету, прямо из графического интерфейса. Для включения масштабирования достаточно кликнуть правой клавишей мыши в левом верхнем углу окна RDP и отметить в контекстном меню пункт Интеллектуальное изменение размера (Smart sizing).

Примечание.  Для Windows Server 2008 R2 и Windows 7 RDP 8.0 можно установить отдельно, в виде обновления.

В завершение напомню, что речь шла только о родном RDP-клиенте (mstsc.exe). В административных оснастках типа Remote Desktops или Remote Desktop Connection Manager динамическое масштабирование не работает, в них для изменения размеров окна надо отключаться от удаленной машины.

https://windowsnotes.ru/other/masshtabirovanie-ekrana-pri-podklyuchenii-po-rdp/

Как разрешить удаленный рабочий стол(RDP) с пустым паролем?

Пуск — Выполнить — gpedit.msc — Конфигурация компьютера — Конфигурация Windows — Локальные политики — Параметры безопасности — Учетные записи: ограничить использование пустых паролей только для консольного входа поставить «Отключить».

Вход по RDP без пароля на Windows 10

1. ПКМ пуск, выполнить, secpol.msc
2. В открывшейся консоли идем: Локальные политики – Параметры безопасности. Ищем там: “Учетные записи: разрешить использование пустых паролей только при консольном входе”. Открываем и меняем на “Отключен”.
3. Закрываем консоль и наслаждаемся как круто мы снизили уровень безопасности на работающей машинке ))

https://grib69.ru/2017/11/23/vkhod-po-rdp-bez-parolya-na-windows-10/

Установка Windows 7 на Ryzen

Если вы попытаетесь установить Windows 7 на AMD Ryzen, то столкнетесь с несколькими проблемами. Во-первых, мышка и клавиатура, подключенные к портам USB 3.0 работать не будут, поскольку в той версии операционной системы ещё не было таких технологий. Следующая проблема — SSD M.2, их система тоже видеть не будет. В остальном же процессу установки ничего мешать не будет. После установки вас ждет ещё несколько проблем — это отсутствие драйверов для Ryzen, а также заблокированные обновления.

К счастью, все эти проблемы решаемы. Проблему с клавиатурой и мышкой можно решить подключив её к порту PS/2, если у вас есть такая мышка и клавиатура, а проблема с драйверами решается путем установки драйверов, выпущенных компанией AMD.

За основу я возьму оригинальный образ Microsoft Windows 7 Professional с установленным пакетом обновлений Service Pack 1. Первым делом нам необходимо подготовить наш образ к установке. В него нужно включить недостающие драйвера.

Производители материнских плат выпустили утилиты, которые позволяют должным образом подготовить установщик. Мы будем использовать утилиту от MSI.

Нерешенной остается только одна проблема, это установка Win 7 на Ryzen с интегрированной графикой, например, на Ryzen 3 2200G. Драйверов для интегрированной графики нет и не предвидеться в ближайшее время. Единственный способ установить эту систему на такой процессор — отключить интегрированную графику и использовать дискретную видеокарту.

Скачать программу можно по прямой ссылке. Такие утилиты были выпущены и другими производителями. Но не обязательно использовать утилиту от производителя вашей материнской платы. Тем более, что программы от Asus и Gigabyte не хотят работать с ISO образами и требуют чтобы им установили диск в DVD-ROM.

После завершения загрузки программы распакуйте архив с ней и запустите исполняемый файл. Это не портативная версия и её придется установить. В мастере установки нет ничего сложного, просто нажимайте кнопку Далее.

После завершения установки запустите программу. В первом окне нажмите на единственную кнопку Smart Tool.

Напротив пункта Source Folder найдите кнопку Select ISO File и выберите ваш ISO файл с установщиком Windows 7. Также можно выбрать директорию или диск с файлами установщика.

Затем, в разделе Choose Storage Device установите переключатель в положение USB Drive и выберите нужный USB накопитель. Также не забудьте отметить галочкой пункт Add NVMe Driver чтобы установщик Windows 7 видел подключенные к системе M.2 диски. После этого нажмите кнопку Start и дождитесь завершения работы программы.

Если вы запустите утилиту Windows Update, то больше никогда не сможете скачивать обновления в вашей системе.

Чтобы это обойти нужно сразу же, как только вы установите Windows и попадете на рабочий стол, установить обновление KB3102810, которое вы можете скачать по ссылке.Только после его установки перезагрузите компьютер, и переходите к установке драйверов.

Драйвера на чипсет ставить не обязательно, многие компьютеры прекрасно работают без них. Но AMD выпустила соответствующие драйвера для Ryzen несмотря на то, что официально от Microsoft эти процессоры не поддерживаются. Скачать эти драйвера можно на этой странице.

После установки нескольких наборов обновлений система сообщит, что вы используете не поддерживаемое оборудование и дальнейшие обновления устанавливаться не будут. Чтобы это обойти установите вот это обновление.

После этого вы сможете получать обновления в нормальном режиме, пока Microsoft будет их выпускать или пока эта компания опять что-то не поломает.

Но следите, чтобы на вашем накопителе использовалась таблица разделов MBR, при использовании GPT загрузчик Windows не установится. А в целом все работает и совместимость есть, хотя и без официальной поддержки от Microsoft.

Source : https://te4h.ru/ustanovka-windows-7-na-ryzen