Аутентификация на уровне сети ( NLA ) - это функция служб удаленных рабочих столов (сервер RDP) или подключения к удаленному рабочему столу (клиент RDP), которая требует, чтобы подключающийся пользователь аутентифицировал себя перед установлением сеанса с сервером.
Первоначально, если пользователь открывал сеанс RDP (удаленный рабочий стол) на сервере, он загружал для пользователя экран входа с сервера. Это использовало бы ресурсы на сервере и было потенциальной областью для атак типа «отказ в обслуживании», а также для атак с удаленным выполнением кода (см. BlueKeep ). Аутентификация на уровне сети делегирует учетные данные пользователя от клиента через поставщика поддержки безопасности на стороне клиента и предлагает пользователю пройти аутентификацию перед установкой сеанса на сервере.
Аутентификация на уровне сети была представлена в RDP 6.0 и изначально поддерживалась в Windows Vista . Он использует нового поставщика поддержки безопасности, CredSSP, который доступен через SSPI в Windows Vista. В Windows XP Service Pack 3 на этой платформе был представлен CredSSP, а включенный клиент RDP 6.1 поддерживает NLA; однако сначала необходимо включить CredSSP в реестре. [1] [2]
Преимущества
Преимущества аутентификации на сетевом уровне:
- Первоначально для этого требуется меньше ресурсов удаленного компьютера, поскольку он предотвращает инициирование полного подключения к удаленному рабочему столу до тех пор, пока пользователь не будет аутентифицирован, что снижает риск атак типа «отказ в обслуживании».
- Он позволяет распространить единый вход NT (SSO) на службы удаленных рабочих столов .
- Это может помочь уменьшить уязвимости удаленного рабочего стола, которыми можно воспользоваться только до аутентификации. [3]
Недостатки
- Нет поддержки для других поставщиков учетных данных
- Чтобы использовать аутентификацию на уровне сети в службах удаленных рабочих столов, клиент должен работать под управлением Windows XP SP3 или новее, а хост должен работать под управлением Windows Vista или новее [4] или Windows Server 2008 или новее.
- Для использования в Windows XP с пакетом обновления 3 (SP3) поддержку серверов RDP, требующих проверки подлинности на сетевом уровне, необходимо настроить с помощью ключей реестра.
- Невозможно изменить пароль через CredSSP. Это проблема, когда включен параметр «Пользователь должен сменить пароль при следующем входе в систему» или если срок действия пароля учетной записи истек.
- Требуется привилегия «Доступ к этому компьютеру из сети», которая может быть ограничена по другим причинам.
- IP-адреса клиентов, пытающихся войти в систему, не будут сохраняться в журналах аудита безопасности, что затрудняет блокировку грубой силы или словарных атак с помощью брандмауэра.
- Аутентификация смарт-карты из одного домена в другой с использованием шлюза удаленного рабочего стола не поддерживается, если на конечном клиенте включен NLA.
Рекомендации
- ^ «Описание поставщика поддержки безопасности учетных данных (CredSSP) в Windows XP с пакетом обновления 3» . Архивировано из оригинала на 2017-09-18.
- ^ «Описание обновления клиента подключения к удаленному рабочему столу 6.1 для служб терминалов» . Microsoft . 2011-09-23 . Проверено 7 мая 2020 .
- ^ Саймон Поуп (14.05.2019). «Предотвратить червя, обновив службы удаленных рабочих столов (CVE-2019-0708)» . Центр поддержки безопасности Майкрософт . Проверено 7 мая 2020 .
- ^ «Настройка проверки подлинности на сетевом уровне для подключений к службам удаленных рабочих столов» . Microsoft TechNet . 2009-11-17 . Проверено 7 мая 2020 .
Внешние ссылки
- «Настройка проверки подлинности на сетевом уровне для подключений к службам удаленных рабочих столов» . Microsoft TechNet .
- «Какие типы подключений к удаленному рабочему столу я должен разрешить?» . Корпорация Microsoft . Архивировано из оригинала на 2016-06-08.