Autentisering på nätverksnivå

Network Level Authentication ( NLA ) är en funktion i Remote Desktop Services (RDP-server) eller Remote Desktop Connection (RDP-klient) som kräver att den anslutande användaren autentiserar sig innan en session upprättas med servern.

Ursprungligen, om en användare öppnade en RDP (remote desktop)-session till en server, skulle den ladda inloggningsskärmen från servern för användaren. Detta skulle förbruka resurser på servern, och var ett potentiellt område för överbelastningsattacker samt attacker med fjärrkodexekvering ( se BlueKeep ) . Nätverksnivåautentisering delegerar användarens autentiseringsuppgifter från klienten genom en säkerhetssupportleverantör på klientsidan och uppmanar användaren att autentisera innan en session etableras på servern.

Nätverksnivåautentisering introducerades i RDP 6.0 och stöddes initialt i Windows Vista . Den använder den nya säkerhetssupportleverantören, CredSSP, som är tillgänglig via SSPI i Windows Vista. Med Windows XP Service Pack 3 introducerades CredSSP på den plattformen och den medföljande RDP 6.1-klienten stöder NLA; CredSSP måste dock aktiveras i registret först.

Fördelar

Fördelarna med nätverksnivåautentisering är:

• Det kräver färre fjärrdatorresurser initialt, genom att förhindra initieringen av en fullständig fjärrskrivbordsanslutning tills användaren har autentiserats, vilket minskar risken för överbelastningsattacker.
• Det tillåter NT Single sign-on (SSO) att utökas till Remote Desktop Services .
• Det kan hjälpa till att minska sårbarheter i fjärrskrivbord som bara kan utnyttjas före autentisering.

Nackdelar

• Inget stöd för andra behörighetsleverantörer
• För att använda nätverksnivåautentisering i fjärrskrivbordstjänster måste klienten köra Windows XP SP3 eller senare och värden måste köra Windows Vista eller senare eller Windows Server 2008 eller senare.
• Stöd för RDP-servrar som kräver nätverksnivåautentisering måste konfigureras via registernycklar för användning på Windows XP SP3.
• Det går inte att byta lösenord via CredSSP. Detta är ett problem när "Användaren måste ändra lösenord vid nästa inloggning" är aktiverat eller om ett kontos lösenord går ut.
• Kräver behörigheten "Åtkomst till den här datorn från nätverket", som kan vara begränsad av andra skäl.
• IP-adresserna för de klienter som försöker logga in kommer inte att lagras i säkerhetsgranskningsloggarna, vilket gör det svårare att blockera brute force eller ordboksattacker med hjälp av en brandvägg.
• Smartkortautentisering från en domän till en annan med en fjärrskrivbordsgateway stöds inte med NLA aktiverat på slutklienten.

externa länkar

• Är virtuellt skrivbord värt det?
• "Konfigurera nätverksnivåautentisering för anslutningar till fjärrskrivbordstjänster" . Microsoft TechNet .

• "Vilka typer av fjärrskrivbordsanslutningar ska jag tillåta?" . Microsoft Corporation . Arkiverad från originalet 2016-06-08.