Аутентикация на ниво мрежа RDP: Настройка, Сигурност и Случаи на употреба

Въведение

С преминаването към хибридна работа и увеличената зависимост от достъп до отдалечен работен плот, осигуряването на сигурни отдалечени сесии е от първостепенно значение. Протоколът за отдалечен работен плот (RDP), макар и удобен, също е честа цел за кибератаки. Една от основните защити на вашия RDP е NLA. Научете за него, как да го активирате и най-важното как удостоверяването на мрежово ниво на RDP (NLA) подобрява. дистанционен достъп сигурност.

Какво е Аутентикация на ниво на мрежата?

Тази секция ще обхване основите:

• Определение на NLA
• Разлика между традиционен RDP и NLA

Определение на NLA

Аутентификация на ниво мрежа (NLA) е подобрение на сигурността за Услуги за отдалечен работен плот (RDS). Тя изисква потребителите да се удостоверят преди да бъде създадена сесия за отдалечен работен плот. Традиционният RDP позволяваше зареждането на екрана за вход преди проверката на удостоверенията, което излагаше сървъра на опити за брутфорс. NLA прехвърля тази валидация в самото начало на процеса на преговори за сесия.

Разлика между традиционен RDP и NLA

Функционалност	Безплатен RDP, без NLA	RDP с активирана NLA
Аутентификацията се извършва	След започване на сесията	Преди началото на сесията
Излагане на сървър	Висок (Общ)	Минимален
Защита срещу брутални атаки	Ограничен	Силен
SSO поддръжка	Не	Да

Как работи NLA

NLA използва сигурни протоколи и многослойна валидация, за да защити сървъра ви, като променя когато и как автентикацията се извършва. Ето раз breakdown на процеса на свързване:

1. Първоначално запитване: Потребителят инициира връзка чрез RDP клиента.
2. Валидиране на удостоверения: Преди да започне сесията, клиентът използва Credential Security Support Provider (CredSSP), за да предаде сигурно удостоверения.
3. Сигурно установяване на сесия: Ако удостоверенията са валидни, се създава сигурна сесия, използвайки TLS или SSL, криптирайки всички комуникации.
4. Старт на работна сесия: Само след като потребителят бъде удостоверен, започва пълната RDP сесия.

Каква разлика направи NLA тук?

Нека разгледаме какво променя активирането на NLA за заявките за RDP връзка.

Небезопасни връзки започват без NLA:

• Сървърът RDP зарежда екрана за вход преди проверка на удостоверенията.
• Това означава всеки може да отвори прозорец на сесията, дори и нападателите.
• Сървърът използва своите ресурси, за да покаже интерфейса за вход, дори за неупълномощени потребители.

Сигурните връзки започват с NLA:

С NLA стъпка 2 по-горе стана критична.

• Преди сесия, дори преди да се появи графичният екран за вход, RDP клиентът трябва да предостави валидни идентификационни данни чрез CredSSP (прочетете за подробности).
• Ако удостоверенията са невалидни, връзката се отказва незабавно, така че сървърът никога не зарежда интерфейса на сесията.

Следователно, NLA ефективно "премества" стъпката за удостоверяване към мрежов слой (следователно името) преди RDP инициализира средата за отдалечен работен плот. От своя страна, NLA използва Интерфейс за поддръжка на сигурността на Windows (SSPI) включително CredSSP, за безпроблемна интеграция с удостоверяване на домейна.

Защо е важно удостоверяването на ниво мрежа?

RDP е бил вектор в няколко високопрофилни атаки с ransomware. NLA е жизненоважен за защита на отдалечени работни среди от различни заплахи за сигурността. Той предотвратява неупълномощени потребители дори да инициират дистанционна сесия, като по този начин намалява рисковете, като атаки с груба сила, атаки за отказ на услуга и дистанционно изпълнение на код.

Ето бърз преглед на рисковете за сигурността на RDP без NLA:

• Атаки с груба сила върху открити екрани за вход
• Отказ на услуга (DoS) от наводнения на неавтентифицирани връзки
• Уязвимости за отдалечено изпълнение на код (RCE)
• Използване на изтекли потребителски имена/пароли за атака с креденциално натрупване

Активирането на NLA е прост, но ефективен начин за минимизиране на тези заплахи.

Какви са предимствата на активирането на NLA?

Аутентификация на ниво мрежа предлага както предимства в сигурността, така и в производителността. Ето какво печелите:

• По-силна автентикация
• Какво е CredSSP?
• Намалена повърхност на атака
• Защита от брутфорс
• Съвместимост с SSO
• По-добра производителност на сървъра
• Готов за съответствие

По-силна автентикация

Аутентификация на ниво мрежа изисква потребителите да потвърдят своята идентичност, преди да започне сесия за отдалечен работен плот. Тази фронтова валидация се извършва с помощта на сигурни протоколи като CredSSP и TLS, осигурявайки, че само упълномощени потребители достигат до екрана за вход. Чрез налагане на тази ранна стъпка, NLA драстично намалява риска от проникване чрез откраднати или познати идентификационни данни.

Какво е CredSSP?

Като доставчик на поддръжка за сигурност, протоколът за поддръжка на удостоверения за сигурност (CredSSP) позволява на приложението да делегира удостоверенията на потребителя от клиента към целевия сървър за дистанционна автентикация.

Този тип ранна проверка е в съответствие с най-добрите практики за киберсигурност, препоръчани от организации като Microsoft и NIST, особено в среди, където са замесени чувствителни данни или инфраструктура.

Намалена повърхност на атака

Без NLA интерфейсът за вход в RDP е публично достъпен, което го прави лесна цел за автоматизирани сканирания и инструменти за експлоатация. Когато NLA е активиран, този интерфейс е скрит зад слоя за удостоверяване, което значително намалява видимостта на вашия RDP сървър в мрежата или интернет.

Това "невидимо по подразбиране" поведение съответства на принципа на минимално излагане, който е от съществено значение за защитата срещу уязвимости с нулев ден или атаки с натрупване на удостоверения.

Защита от брутфорс

Атаките с груба сила работят, като многократно се опитват да познаят комбинации от потребителско име и парола. Ако RDP е изложен без NLA, нападателите могат да продължат да опитват безкрайно, използвайки инструменти за автоматизиране на хиляди опити за вход. NLA блокира това, като изисква валидни удостоверения предварително, така че неавтентифицираните сесии никога не могат да напредват.

Това не само неутрализира общ метод на атака, но също така помага за предотвратяване на заключвания на акаунти или прекомерно натоварване на системите за удостоверяване.

Съвместимост с SSO

NLA поддържа NT Single Sign-On (SSO) в среди на Active Directory. SSO оптимизира работните процеси и намалява триенето за крайни потребители, като позволявайки им да влизат в множество приложения и уебсайтове с еднократна автентикация.

За ИТ администратори, интеграцията на SSO опростява управлението на идентичността и намалява билетите за помощ, свързани с забравени пароли или повторни входове, особено в корпоративни среди с строги политики за достъп.

По-добра производителност на сървъра

Без NLA всеки опит за свързване (дори от неавтентифициран потребител) може да зареди графичния интерфейс за вход, консумирайки системна памет, CPU и честотна лента. NLA елиминира това натоварване, изисквайки валидни удостоверения преди иницииране на сесията.

В резултат на това сървърите работят по-ефективно, сесиите се зареждат по-бързо, а легитимните потребители изпитват по-добра реакция, особено в среди с много едновременни RDP връзки.

Готов за съответствие

Съвременните рамки за съответствие (като GDPR, HIPAA, ISO 27001 и др.) изискват сигурна автентикация на потребителите и контролен достъп до чувствителни системи. NLA помага за изпълнението на тези изисквания, като налага валидиране на удостоверенията в ранния етап и минимизира излагането на заплахи.

Чрез внедряване на NLA, организациите демонстрират проактивен подход към контрола на достъпа, защитата на данните и готовността за одит, което може да бъде от решаващо значение по време на регулаторни проверки или одити за сигурност.

Как да активирате удостоверяване на ниво мрежа?

Активирането на NLA е прост процес, който може да бъде постигнат чрез различни методи. Тук описваме стъпките за активиране на NLA чрез настройките на отдалечения работен плот и настройките на системата и сигурността.

• Настройки на Windows
• Панел за управление
• Редактор на групови политики

Метод 1: Активиране на NLA чрез настройки на Windows

1.        Натиснете Win + I, за да отворите Настройки

2.        Отидете на Система > Отдалечен работен плот

3.        Превключете активирането на отдалечен работен плот

4.        Кликнете върху Разширени настройки

5.        Проверете "Изисквайте компютрите да използват Ниво на удостоверяване на мрежата"

Метод 2: Активиране на NLA чрез Контролен панел

1. Отворете Контролен панел > Система и сигурност > Система

2.        Кликнете върху Разрешаване на отдалечен достъп

3. Под раздела Remote, проверете:
Позволете дистанционни връзки само от компютри, работещи с NLA (препоръчително)

Метод 3: Редактор на групови политики

1. Натиснете Win + R, напишете gpedit.msc

2.        Навигирайте до:
Конфигурация на компютър > Административни шаблони > Компоненти на Windows > Услуги за отдалечен работен плот > RDSH > Сигурност

3.        Задайте "Изискване за удостоверяване на потребителя за дистанционни връзки с помощта на NLA" на Включено

Как да деактивирате удостоверяването на ниво мрежа?

Докато деактивирането на NLA обикновено не се препоръчва поради рисковете за сигурността, може да има специфични сценарии, в които това е необходимо: наследствени системи без поддръжка на CredSSP, отстраняване на проблеми с RDP неуспехи и несъвместимости с клиенти на трети страни. Ето методи за деактивиране на NLA:

• Свойства на системата
• Редактор на регистъра
• Редактор на групови политики

Метод 1: Използване на системни свойства

Деактивирането на NLA чрез Системни свойства е директен метод, който може да бъде извършен чрез интерфейса на Windows.

Ръководство стъпка по стъпка в Syst Prop

1. Отворете диалоговия прозорец за изпълнение: Натиснете Win + R Remote Access allows users to connect to their work computer from home or while traveling. Enjoy the convenience of accessing your files and applications remotely. [Remote Access] sysdm.cpl Welcome to our website where you can find a wide range of software products for your business needs.
2. Достъп до отдалечени настройки: В прозореца "Свойства на системата" отидете на раздела "Отдалечено".
3. Деактивиране на NLA: Премахнете отметката на опцията "Позволете връзки само от компютри, работещи с Remote Desktop с мрежова ниво аутентикация (препоръчително)".

Рискове и съображения

Увеличена уязвимост:

Деактивирането на NLA премахва предварителната автентикация на сесията, излагайки мрежата на потенциален неразрешен достъп и различни кибер заплахи .

Препоръка:

Препоръчва се да се деактивира NLA само когато е абсолютно необходимо и да се приложат допълнителни мерки за сигурност, за да се компенсира намалената защита.

Метод 2: Използване на Редактор на регистъра

Деактивирайте NLA чрез Редактора на регистъра, за да предоставите по-напреднал и ръчен подход.

Ръководство стъпка по стъпка в RegEdit

1. Отворете Редактора на регистъра: Натиснете Win + R Remote Access allows users to connect to their work computer from home or while traveling. Enjoy the convenience of accessing your files and applications remotely. [Remote Access] regedit Welcome to our website where you can find a wide range of software products for your business needs.
2. Навигирайте до ключ: Отидете на HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
3. Промяна на стойностите на "Слой за сигурност" и "Потребителска удостоверяване" до 0 за деактивиране на NLA.
4. Рестартирайте системата: Рестартирайте системата си, за да влязат в сила промените.

Рискове и съображения

Ръчна конфигурация:

Редактирането на регистъра изисква внимателно внимание, тъй като неправилните промени могат да доведат до нестабилност на системата или уязвимости в сигурността.

Резервно копие:

Винаги архивирайте регистъра преди да направите промени, за да се уверите, че можете да възстановите системата в предишното й състояние, ако е необходимо.

Метод 3: Използване на редактора на групова политика

За среди, управлявани чрез Group Policy, деактивирането на NLA може да се контролира централно чрез Group Policy Editor.

Ръководство стъпка по стъпка в GPEdit

1. Отворете редактора на групови политики: Натиснете Win + R Remote Access allows users to connect to their work computer from home or while traveling. Enjoy the convenience of accessing your files and applications remotely. [Remote Access] gpedit.msc Welcome to our website where you can find a wide range of software products for your business needs.

2. Навигирайте до Настройки за сигурност: Отидете на Конфигурация на компютъра -> Административни шаблони -> Компоненти на Windows -> Услуги за отдалечен работен плот -> Хост на сесии за отдалечен работен плот -> Сигурност.

3.        Деактивирайте NLA: Намерете политиката с име "Изискване на удостоверяване на потребителя за дистанционни връзки чрез удостоверяване на ниво мрежа" и я задайте на "Деактивирано."

Рискове и съображения

Централизирано управление: Деактивирането на NLA чрез политика на групата засяга всички управлявани системи, което потенциално увеличава риска за сигурност по цялата мрежа.

Политически последици: Уверете се, че деактивирането на NLA съответства на политиките за сигурност на организацията и че са в сила алтернативни мерки за сигурност.

Как да подобрите сигурността си с TSplus

TSplus напълно поддържа NLA (Аутентификация на ниво мрежа) за осигуряване на достъп до отдалечен работен плот от самото начало на всяка сесия. Тя подобрява родната RDP сигурност с разширени функции като двуфакторна аутентификация (2FA), филтриране на IP адреси, защита от брутфорс атаки и контрол на достъпа до приложения, създавайки надеждна, многостепенна защитна система.

Със TSplus администраторите получават централизирано управление чрез прост уеб конзол, осигурявайки сигурен, ефективен и мащабируем достъп от разстояние. Това е идеално решение за организации, които искат да надхвърлят стандартната RDP сигурност без допълнителна сложност или разходи за лицензиране.

Заключение

Аутентификация на ниво мрежа е доказан начин за осигуряване на RDP връзки за дистанционен достъп чрез налагане на предварителна проверка на потребителя. В днешната среда с акцент върху дистанционната работа, активирането на NLA трябва да бъде стандартна стъпка за всички организации, които използват RDP. Когато се комбинира с разширените функции, предлагани от инструменти като TSplus, той предоставя надеждна основа за сигурно и ефективно публикуване на приложения.