هل ترغب في رؤية الموقع بلغة مختلفة؟

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
تغيير اللغة
جدول المحتويات

مقدمة

مصادقة مستوى الشبكة (NLA) هي عنصر أمان أساسي لبروتوكول سطح المكتب البعيد، حيث تمنع المستخدمين غير المصرح لهم قبل إنشاء جلسة كاملة. عندما تفشل NLA، تواجه فرق تكنولوجيا المعلومات تسجيلات دخول محجوبة، ورسائل خطأ غامضة، ومستخدمين نهائيين محبطين لا يمكنهم الوصول إلى الخوادم الحيوية. يشرح هذا الدليل ما هي NLA، ولماذا تحدث هذه الأخطاء، وكيفية استكشاف مشاكل NLA وحلها بشكل منهجي دون إضعاف موقف أمان RDP الخاص بك.

ما هو NLA في RDP؟

مصادقة مستوى الشبكة هي تحسين أمان RDP تم تقديمه مع Windows Vista وWindows Server 2008. بدلاً من إنشاء جلسة سطح المكتب البعيد الكاملة ثم طلب بيانات الاعتماد، تتطلب NLA من المستخدمين المصادقة أولاً. فقط بعد المصادقة الناجحة يقوم مكدس RDP بإنشاء الجلسة الرسومية.

تعتمد NLA على CredSSP (موفر دعم أمان الاعتماد) لنقل بيانات اعتماد المستخدم بأمان إلى النظام المستهدف. في البيئات المرتبطة بالنطاق، يتواصل CredSSP مع Active Directory للتحقق من صحة الحساب قبل إنشاء الجلسة. على المضيفين المستقلين أو مجموعات العمل، يتحقق CredSSP من صحة الحسابات المحلية المكونة لتسجيل الدخول عن بُعد.

تشمل الفوائد الرئيسية لـ NLA:

  • تقليل النافذة لهجمات القوة الغاشمة ورفض الخدمة على نقاط نهاية RDP المكشوفة
  • تمكين تسجيل الدخول الموحد (SSO) لمستخدمي النطاق، تحسين تجربة المستخدم
  • تحسين الأداء من خلال إجراء المصادقة قبل إنشاء الجلسة

ومع ذلك، فإن NLA حساس لإصدارات نظام التشغيل، والتحديثات، TLS تكوين وصحة المجال. عندما تفشل أي من تلك المتطلبات الأساسية، يمكن أن تمنع NLA الاتصالات الصالحة تمامًا.

ما هي الأعراض الشائعة لأخطاء NLA في RDP؟

تظهر مشكلات متعلقة بـ NLA عادةً مع رسائل مشابهة، بغض النظر عن السبب الأساسي. من المحتمل أنك تواجه مشكلة NLA إذا واجهت:

  • يتطلب الكمبيوتر البعيد مصادقة مستوى الشبكة (NLA)، لكن جهاز الكمبيوتر الخاص بك لا يدعم ذلك.
  • حدث خطأ في المصادقة. الوظيفة المطلوبة غير مدعومة.
  • خطأ تصحيح أوراكل تشفير CredSSP.
  • لم تعمل بيانات اعتمادك.
  • أوقات الانتظار أو الانفصالات المفاجئة خلال مصافحة RDP الأولية أو مباشرة بعد إدخال بيانات الاعتماد

يمكن أن تؤثر هذه الأعراض على كل من المضيفين المنضمين إلى المجال والمضيفين المستقلين. في الممارسة العملية، غالبًا ما تعود إلى سياسات الأمان غير المتطابقة، أو الوصول المحظور إلى وحدة تحكم المجال، أو مكونات RDP القديمة على أي من الجانبين.

ما هي أسباب أخطاء NLA في RDP؟

فهم الأسباب الجذرية الشائعة يساعدك على استكشاف الأخطاء وإصلاحها بسرعة وتجنب الحلول البديلة الم risky مثل تعطيل NLA بشكل دائم.

  • عدم التوافق بين نظام تشغيل العميل أو الخادم
  • وحدة تحكم المجال غير متاحة
  • تعارض تصحيح CredSSP
  • تكوين خاطئ لتشفير TLS أو RDP
  • تعارضات سياسة المجموعة أو السجل
  • ملفات تعريف المستخدمين أو بيانات الاعتماد التالفة
  • سيناريوهات مجموعة العمل وغير النطاق

عدم التوافق بين نظام تشغيل العميل أو الخادم

قد لا تدعم إصدارات ويندوز القديمة أو عملاء RDP من جهات خارجية NLA أو سلوك CredSSP الحديث بشكل كامل. على سبيل المثال، لا يمكن للإصدارات القديمة من ويندوز XP أو الإصدارات المبكرة من Vista الاتصال بالخوادم التي تفرض NLA دون تحديثات محددة. حتى على الأنظمة المدعومة، يمكن أن تتسبب ثنائيات عميل RDP القديمة في ظهور أخطاء "جهاز الكمبيوتر الخاص بك لا يدعم NLA" على الرغم من أن نظام التشغيل يدعمه اسميًا.

وحدة تحكم المجال غير متاحة

في بيئة مرتبطة بالنطاق، يعتمد NLA على الوصول إلى وحدة تحكم النطاق للتحقق من بيانات الاعتماد والحفاظ على قناة الأمان للجهاز. إذا كانت وحدة تحكم النطاق غير متصلة، محجوبة بواسطة a جدار الحماية أو قد تكون هناك مشكلة في الثقة، قد تفشل مصادقة NLA على الرغم من أن الخادم نفسه يعمل. ستلاحظ غالبًا أخطاء تشير إلى اتصال وحدة التحكم بالمجال أو رسائل عامة "حدث خطأ في المصادقة".

تعارض تصحيح CredSSP

بدءًا من تحديثات "تصحيح خوارزمية التشفير" لعام 2018، أصبح CredSSP أكثر صرامة بشأن كيفية حماية بيانات الاعتماد. إذا كان لدى العميل التحديث ولكن الخادم لا يمتلكه (أو العكس)، فقد لا تتفق النقطتان النهائيتان على تكوين آمن. يمكن أن يؤدي هذا التباين إلى توليد أخطاء "تصحيح خوارزمية تشفير CredSSP" ويمنع تسجيل الدخول باستخدام NLA حتى يتم تصحيح الجانبين أو تعديل سياسة المجموعة.

تكوين خاطئ لتشفير TLS أو RDP

تعتمد NLA على أمان طبقة النقل (TLS) لحماية تبادل بيانات الاعتماد. إذا تم تعطيل TLS 1.0/1.1 دون تمكين TLS 1.2 بشكل صحيح، أو إذا تم فرض مجموعات تشفير ضعيفة، فقد يفشل الاتصال بين العميل والخادم قبل أن تكتمل NLA. يمكن أن تؤدي تعزيزات الأمان المخصصة، أو وضع FIPS، أو الشهادات غير المكونة بشكل صحيح إلى كسر NLA على الرغم من أن RDP القياسي بدون NLA قد لا يزال يعمل في بعض الظروف.

تعارضات سياسة المجموعة أو السجل

تتحكم كائنات سياسة المجموعة (GPOs) وسياسات الأمان المحلية في كيفية تصرف RDP وCredSSP والتشفير. يمكن أن تفرض السياسات المتعارضة أو الصارمة بشكل مفرط NLA في السيناريوهات التي لا تدعم فيها العملاء ذلك أو تتطلب خوارزميات متوافقة مع FIPS لا يمكن لعملائك استخدامها. يمكن أن تؤدي تجاوزات السجل لـ SCHANNEL أو CredSSP إلى إدخال تناقضات مماثلة، مما يؤدي إلى "الوظيفة المطلوبة غير مدعومة" وأخطاء عامة أخرى.

ملفات تعريف المستخدمين أو بيانات الاعتماد التالفة

أحيانًا، تكون المشكلة محصورة في مستخدم أو جهاز واحد. بيانات الاعتماد المخزنة التالفة، محاذاة غير صحيحة معرف الأمان (SID) أو ملف Default.rdp تالف يمكن أن يتداخل مع مصادقة NLA. في هذه الحالات، قد تجد أن مستخدمًا آخر يمكنه تسجيل الدخول من نفس الجهاز، أو يمكن لنفس المستخدم تسجيل الدخول من عميل مختلف، ولكن ليس كلاهما معًا.

سيناريوهات مجموعة العمل وغير النطاق

تفترض NLA وجود بيئة يمكن فيها التحقق من هويات المستخدمين بشكل قوي، عادةً عبر Active Directory. في أنظمة العمل الجماعي، يجب تكوين الحسابات المحلية بعناية ويجب أن يكون لديها إذن لتسجيل الدخول عبر Remote Desktop. إذا تم تطبيق NLA ولكن لا يوجد وحدة تحكم مجال متاحة، أو كانت إعدادات الحساب المحلي غير صحيحة، فمن المحتمل أن ترى أخطاء تتعلق بـ NLA على الرغم من أن الخادم يبدو قابلاً للوصول.

كيفية إصلاح أخطاء NLA في RDP؟

استخدم الخطوات التالية بالترتيب، من الأقل تدخلاً إلى الأكثر تدخلاً. تساعد هذه الطريقة في استعادة الوصول مع الحفاظ على الأمان كلما كان ذلك ممكنًا.

  • تأكيد دعم NLA على العميل والخادم
  • تحقق من الاتصال بوحدة التحكم في المجال (إذا كان ذلك مناسبًا)
  • مواءمة مستويات وتصميمات تصحيح CredSSP
  • تمكين والتحقق من بروتوكولات TLS المطلوبة
  • مراجعة وتعديل سياسة المجموعة
  • تعطيل NLA مؤقتًا لاستعادة الوصول
  • إعادة تعيين عميل RDP وتكوين الشبكة

تأكيد دعم NLA على العميل والخادم

أولاً، تأكد من أن كلا الطرفين قادرين على NLA.

  • تشغيل وينفر على كل من العميل والخادم للتأكد من أنهما Windows Vista / Windows Server 2008 أو أحدث.
  • تأكد من تثبيت آخر تحديثات عميل سطح المكتب البعيد (عبر تحديثات ويندوز أو تطبيق Microsoft Remote Desktop على المنصات غير التابعة لويندوز).
  • إذا كنت تستخدم عملاء RDP من طرف ثالث، تحقق من أن دعم NLA موثق بشكل صريح ومفعل في إعدادات العميل.

إذا لم يدعم أي من الجانبين NLA، خطط لترقية أو استبدال هذا المكون بدلاً من إضعاف الأمان على مستوى العالم.

تحقق من الاتصال بوحدة التحكم في المجال (إذا كان ذلك مناسبًا)

على الأجهزة المنضمة إلى المجال، تحقق من اتصال المجال قبل تغيير إعدادات RDP.

  • اختبار الوصول الأساسي للشبكة إلى وحدات تحكم المجال (على سبيل المثال، بينغ dc01.yourdomain.com ).
  • استخدم nltest /dsgetdc:yourdomain.com لتأكيد أن العميل يمكنه تحديد موقع وحدة تحكم المجال.
  • في PowerShell، قم بتشغيل اختبار-قناةأمانالكمبيوتر للتحقق من قناة الأمان الخاصة بالجهاز إلى النطاق.

إذا تم كسر القناة الآمنة، قم بإصلاحها باستخدام: 

اختبار-قناة الكمبيوتر الآمنة -إصلاح -اعتماد (الحصول على اعتماد)

بعد الإصلاح، أعد تشغيل الجهاز إذا طُلب منك ذلك، ثم اختبر NLA مرة أخرى. عالج مشكلات تكوين DNS، وقواعد جدار الحماية، أو مشكلات VPN التي قد تمنع الوصول إلى النطاق بشكل متقطع.

مواءمة مستويات وتصميمات تصحيح CredSSP

بعد ذلك، تأكد من أن كل من العميل والخادم لديهما تحديثات أمان حالية، وخاصة تلك المتعلقة بـ CredSSP.

  • قم بتثبيت جميع التحديثات الهامة والأمنية على كلا نقطتي النهاية.
  • تحقق مما إذا كانت سياسة المجموعة قد تم استخدامها لتكوين "إصلاح تشفير Oracle" تحت:
    تكوين الكمبيوتر → القوالب الإدارية → النظام → تفويض بيانات الاعتماد .

على أساس مؤقت في بيئة اختبار، يمكنك ضبط السياسة على قيمة أكثر تساهلاً لتأكيد أن الإعداد الصارم هو سبب الفشل. في الإنتاج، يجب أن يكون الحل طويل الأمد هو جلب جميع الأنظمة إلى مستوى تصحيح متسق بدلاً من تخفيف السياسة بشكل دائم.

تمكين والتحقق من بروتوكولات TLS المطلوبة

تأكد من دعم وتفعيل TLS 1.2، حيث إن العديد من البيئات الآن تعطل إصدارات TLS الأقدم.

على خادم Windows، تحقق من إعدادات SCHANNEL في السجل تحت: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

للحصول على دعم عميل TLS 1.2، تأكد من أن: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

"Enabled"=dword:00000001

قد تحتاج إلى ضبط مفاتيح TLS 1.2 على جانب الخادم أيضًا، ثم إعادة تشغيل الخادم أو على الأقل خدمات سطح المكتب البعيد. تأكد أيضًا من أن شهادة RDP صالحة وموثوقة، ولا تستخدم توقيعات قديمة.

مراجعة وتعديل سياسة المجموعة

غالبًا ما تكون سياسة المجموعة هي المكان الذي يتم فيه تحديد تنفيذ NLA وتكوين أمان RDP.

فتح gpedit.msc (أو كائن GPMC المعادل) وانتقل إلى:

تكوين الكمبيوتر → إعدادات ويندوز → إعدادات الأمان → السياسات المحلية → خيارات الأمان

تحقق بشكل خاص:

  • "يتطلب مصادقة المستخدم للاتصالات عن بُعد باستخدام مصادقة مستوى الشبكة"
  • أي سياسات تفرض خوارزميات متوافقة مع FIPS أو تقيد أنواع التشفير

تأكد من أن تنفيذ NLA يتناسب مع ما يمكن لعملائك تحمله. إذا قمت بتخفيف سياسة لاستعادة الوصول، وثق التغيير وحدد وقتًا لتصحيح المشكلات الأساسية لدى العملاء بدلاً من ترك الإعدادات الأضعف سارية إلى أجل غير مسمى.

تعطيل NLA مؤقتًا لاستعادة الوصول

إذا فقدت الوصول عن بُعد إلى خادم حرج بالكامل، فإن إيقاف NLA مؤقتًا يمكن أن يكون ملاذًا أخيرًا ضروريًا.

يمكنك:

  • قم بالتمهيد إلى الوضع الآمن مع الشبكات وضبط إعدادات سطح المكتب البعيد، أو
  • قم بالتمهيد باستخدام وسائط الاسترداد، وتحميل خلية النظام، وتحرير مفتاح RDP-Tcp في السجل.

إعداد: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

"UserAuthentication"=dword:00000000

هذا يعطل NLA لملقم RDP. بمجرد استعادة الوصول، قم بإصلاح السبب الجذري (اتصال المجال، التحديثات، TLS، أو السياسات)، ثم قم بإعادة تمكين NLA عن طريق استعادة القيمة إلى 1. إن إبقاء NLA معطلاً على المدى الطويل يزيد بشكل كبير من التعرض لمحاولات القوة الغاشمة والاستغلال.

إعادة تعيين عميل RDP وتكوين الشبكة

إذا كانت مشكلات NLA تبدو معزولة على جهاز عميل معين، قم بإجراء إعادة تعيين محلية قبل تغيير سياسة الخادم.

  • احذف الـ Default.rdp ملف في %userprofile%\Documents لإزالة إعدادات التخزين المؤقت.
  • قم بإزالة وإعادة إضافة أي بيانات اعتماد محفوظة في مدير بيانات اعتماد ويندوز.
  • أكد أن TCP 3389 (أو منفذ RDP المخصص لديك) مسموح به من خلال جدران الحماية المحلية وأجهزة الشبكة الوسيطة.
  • اختبار من عميل آخر على نفس الشبكة لتحديد ما إذا كانت المشكلة خاصة بالعميل أو أكثر شمولاً.

تساعد هذه الخطوة البسيطة في الحفاظ على النظافة غالبًا في حل المشكلات المتعلقة بالاعتمادات المخزنة التالفة أو خيارات العرض والأمان المطبقة بشكل خاطئ في عميل RDP.

ما هي أفضل الممارسات لتجنب أخطاء NLA في المستقبل؟

بمجرد إصلاح المشكلة الفورية، قم بتقوية بيئتك بحيث تظل NLA آمنة وموثوقة.

  • ابقِ أنظمة التشغيل وعميل RDP محدثة
  • مراقبة صحة المجال والهوية
  • توحيد سياسات RDP و NLA عبر GPO
  • تمكين سجل الأحداث ومراقبة الأمان
  • عزل RDP خلف نقاط دخول آمنة

ابقِ أنظمة التشغيل وعميل RDP محدثة

حافظ على وتيرة تصحيح قياسية لكل من الخوادم ونقاط النهاية. اتفق على إصدارات Windows المدعومة وتجنب ترك عملاء قدامى غير مصححين في الإنتاج. تقلل خطوط الأساس التحديثية المتسقة من عدم تطابق CredSSP وTLS التي تكسر عادةً NLA.

مراقبة صحة المجال والهوية

لأنظمة مرتبطة بالنطاق، اعتبر صحة وحدة تحكم النطاق كجزء من مجموعة RDP الخاصة بك. استخدم أدوات مثل دياغ , ريبادمن وسجلات أحداث وحدة التحكم في المجال لالتقاط مشاكل التكرار أو DNS مبكرًا. يمكن أن تظهر فشل المجال المتقطع كمشاكل RDP وNLA قبل أن يلاحظ المستخدمون أعراضًا أخرى.

توحيد سياسات RDP و NLA عبر GPO

حدد الخاص بك RDP تشفير، تطبيق سياسات تنفيذ NLA وCredSSP مركزيًا. قم بتطبيقها حسب وحدة التنظيم أو مجموعة الأمان بناءً على أدوار الأجهزة، مثل خوادم الإنتاج مقابل مختبرات الاختبار. يقلل التوحيد القياسي من انحراف التكوين ويجعل استكشاف الأخطاء وإصلاحها أسرع بكثير عند ظهور المشكلات.

تمكين سجل الأحداث ومراقبة الأمان

راقب عارض الأحداث على مضيفي RDP، خاصةً:

  • سجلات ويندوز → الأمان
  • سجلات ويندوز → النظام
  • سجلات التطبيقات والخدمات → مايكروسوفت → ويندوز → خدمات المحطة

قم بربط محاولات تسجيل الدخول الفاشلة المتكررة، وفشل مصافحة TLS، أو أخطاء CredSSP مع نظام SIEM الخاص بك حيثما كان ذلك ممكنًا. تساعد هذه المراقبة في التمييز بين مشكلات التكوين والهجمات النشطة.

عزل RDP خلف نقاط دخول آمنة

حتى مع NLA، فإن تعريض RDP مباشرةً للإنترنت يمثل خطرًا كبيرًا. ضع RDP خلف بوابة آمنة، أو VPN، أو وكيل على طراز ZTNA. أضف MFA حيثما كان ذلك ممكنًا. يمكن لأدوات مثل TSplus Advanced Security أن تقيد أكثر من حيث، ومتى، وكيف يتصل المستخدمون، مما يقلل من احتمال حدوث حوادث تتعلق بـ NLA تصل إلى الخادم على الإطلاق.

تعزيز أمان RDP مع TSplus Advanced Security

NLA تحل جزءًا فقط من معادلة مخاطر RDP. TSplus الأمان المتقدم يضيف طبقات إضافية من الدفاع حول خوادم Windows وسطح المكتب البعيد دون تعقيد حزم VDI الكاملة. تساعد ميزات مثل الحماية الديناميكية من هجمات القوة الغاشمة، والقيود المعتمدة على IP والدولة، وسياسات ساعات العمل، وقواعد الوصول على مستوى التطبيق في إبقاء المهاجمين خارجًا بينما يبقى المستخدمون الشرعيون منتجين.

للمؤسسات التي تعتمد على RDP ولكنها ترغب في الحصول على ضوابط أمان أقوى وأبسط، فإن الجمع بين NLA و TSplus الأمان المتقدم يقدم طريقة عملية لتعزيز الوصول عن بُعد وتقليل عبء العمل في الاستجابة للحوادث.

الختام

أخطاء NLA في RDP محبطة، خاصة عندما تظهر دون تغييرات واضحة في البيئة. في الواقع، تشير دائمًا تقريبًا إلى مشكلات محددة في إصدارات نظام التشغيل، اتصال المجال، تصحيح CredSSP، تكوين TLS، أو سياسات الأمان. من خلال العمل من خلال قائمة مراجعة منظمة، يمكنك استعادة الوصول الآمن دون اللجوء إلى حلول دائمة محفوفة بالمخاطر.

عامل NLA كتحكم أمني أساسي بدلاً من كونه ميزة اختيارية. احتفظ به مفعلًا، ومُحققًا، ومراقبًا كجزء من وضع الوصول عن بُعد العام لديك. عندما تحتاج إلى تعطيله، قم بتقليل نطاق الانفجار، وحل المشكلة الأساسية، وأعد تشغيل NLA في أقرب وقت ممكن.

مشاركة:

فيسبوك تويتر لينكدإن

فريق TSplus الخاص بك

المزيد من القراءة

back to top of the page icon