Co je VDI? Pochopení virtuální desktopové infrastruktury pro moderní IT
Co je VDI? Zjistěte, jak funguje virtuální desktopová infrastruktura, její výhody, výzvy a budoucí trendy v podnikové IT.
Chtěli byste vidět stránku v jiném jazyce?
TSPLUS BLOG
Autentizace na úrovni sítě (NLA) je klíčová bezpečnostní funkce RDP, která vyžaduje, aby se uživatelé autentizovali před zahájením vzdálené relace. Chrání před neoprávněným přístupem, útoky hrubou silou a zneužitím tím, že ověřuje přihlašovací údaje již na začátku procesu připojení. Tento článek se zabývá tím, jak NLA funguje, jeho výhodami, kdy jej povolit nebo zakázat a jak TSplus posiluje RDP prostředí integrací NLA s dalšími ochrannými vrstvami, jako je 2FA, filtrování IP a centralizovaná kontrola přístupu.
S přechodem na hybridní práci a rostoucí závislostí na vzdáleném přístupu k desktopu je zajištění bezpečných vzdálených relací zásadní. Protokol vzdálené plochy (RDP), i když je pohodlný, je také častým cílem kybernetických útoků. Jednou z základních ochran vašeho RDP je NLA. Zjistěte více o tom, jak jej povolit a co je nejdůležitější, jak ověřování na úrovni sítě RDP (NLA) zvyšuje. vzdálený přístup bezpečnost.
Tato sekce pokryje základy:
Autentizace na úrovni sítě (NLA) je bezpečnostní vylepšení pro služby vzdálené plochy (RDS). Vyžaduje, aby se uživatelé autentizovali před vytvořením relace vzdálené plochy. Tradiční RDP umožnilo načíst přihlašovací obrazovku před ověřením přihlašovacích údajů, čímž server vystavilo pokusům o hrubou sílu. NLA přesouvá tuto validaci na samý začátek procesu vyjednávání relace.
Funkce | Bare RDP, without NLA | RDP s povoleným NLA |
---|---|---|
Autentizace probíhá | Po zahájení relace | Před začátkem relace |
Expozice serveru | Vysoký (Celkem) | Minimální |
Ochrana proti hrubé síle | Omezený | Silný |
SSO podpora | Ne | Ano |
NLA využívá bezpečné protokoly a vícestupňovou validaci k ochraně vašeho serveru změnou kdy a jak autentizace probíhá. Zde je rozpis procesu připojení:
Pojďme si rozebrat, co aktivace NLA mění na požadavcích na připojení RDP.
S NLA se krok 2 výše stal kritickým.
Důsledkem toho NLA efektivně "přesouvá" krok ověřování na. síťová vrstva (takže název) před RDP inicializuje prostředí vzdálené plochy. Na oplátku NLA používá Podpora rozhraní poskytovatele zabezpečení Windows (SSPI) včetně CredSSP, aby se bezproblémově integroval s ověřováním domény.
RDP byl vektorem v několika vysoce profilovaných útocích ransomwaru. NLA je zásadní pro ochrana vzdálených desktopových prostředí před různými bezpečnostními hrozbami. Zabraňuje neoprávněným uživatelům dokonce i zahájit vzdálenou relaci, čímž zmírňuje rizika, jako jsou útoky hrubou silou, útoky typu denial-of-service a vzdálené provádění kódu.
Zde je rychlý přehled bezpečnostních rizik RDP bez NLA:
Povolení NLA je jednoduchý, ale účinný způsob, jak minimalizovat tato nebezpečí.
Síťová úroveň autentizace nabízí výhody jak v oblasti bezpečnosti, tak výkonu. Zde je to, co získáte:
Autentizace na úrovni sítě vyžaduje, aby uživatelé ověřili svou identitu před zahájením jakékoli relace vzdálené plochy. Tato přední validace se provádí pomocí bezpečných protokolů, jako jsou CredSSP a TLS, což zajišťuje, že se k výzvě k přihlášení dostanou pouze autorizovaní uživatelé. Prosazováním tohoto raného kroku NLA drasticky snižuje riziko vniknutí prostřednictvím ukradených nebo uhádnutých přihlašovacích údajů.
Jako poskytovatel bezpečnostní podpory protokol Credential Security Support Provider (CredSSP) umožňuje aplikaci delegovat uživatelské přihlašovací údaje z klienta na cílový server pro vzdálenou autentizaci.
Tento typ rané verifikace je v souladu s nejlepšími praktikami kybernetické bezpečnosti doporučovanými organizacemi jako Microsoft a NIST, zejména v prostředích, kde jsou zapojena citlivá data nebo infrastruktura.
Bez NLA je rozhraní pro přihlášení RDP veřejně přístupné, což z něj činí snadný cíl pro automatizované skeny a exploitační nástroje. Když je NLA povoleno, toto rozhraní je skryto za autentizační vrstvou, což výrazně snižuje viditelnost vašeho RDP serveru v síti nebo na internetu.
Toto chování „neviditelné ve výchozím nastavení“ odpovídá principu minimální expozice, což je zásadní pro obranu proti zranitelnostem typu zero-day nebo útokům na kradené přihlašovací údaje.
Útoky hrubou silou fungují tak, že opakovaně hádají kombinace uživatelského jména a hesla. Pokud je RDP vystaveno bez NLA, útočníci mohou neustále zkoušet, pomocí nástrojů k automatizaci tisíců pokusů o přihlášení. NLA tomu brání tím, že vyžaduje platné přihlašovací údaje předem, takže neautentizované relace nikdy nemohou pokračovat.
Toto nejen neutralizuje běžnou metodu útoku, ale také pomáhá předcházet zablokování účtů nebo nadměrnému zatížení autentizačních systémů.
NLA podporuje NT Single Sign-On (SSO) v prostředích Active Directory. SSO zjednodušuje pracovní postupy a snižuje tření pro koncové uživatele tím, že umožňuje jim přihlásit se k více aplikacím a webovým stránkám s jednorázovou autentizací.
Pro IT administrátory integrace SSO zjednodušuje správu identity a snižuje počet tiketů na helpdesku souvisejících se zapomenutými hesly nebo opakovanými přihlášeními, zejména v podnikových prostředích se striktními přístupovými politikami.
Bez NLA může každý pokus o připojení (i od neautentizovaného uživatele) načíst grafické přihlašovací rozhraní, což spotřebovává systémovou paměť, CPU a šířku pásma. NLA tento dodatečný náklad eliminuje tím, že vyžaduje platné přihlašovací údaje před inicializací relace.
V důsledku toho servery fungují efektivněji, relace se načítají rychleji a oprávnění uživatelé zažívají lepší odezvu, zejména v prostředích s mnoha současnými RDP připojeními.
Moderní rámce shody (jako GDPR, HIPAA, ISO 27001, …) vyžadují bezpečnou autentizaci uživatelů a kontrolovaný přístup k citlivým systémům. NLA pomáhá splnit tyto požadavky prosazováním validace přihlašovacích údajů v rané fázi a minimalizací vystavení hrozbám.
Zavedením NLA organizace prokazují proaktivní přístup k řízení přístupu, ochraně dat a připravenosti na audity, což může být klíčové během regulačních kontrol nebo bezpečnostních auditů.
Povolení NLA je jednoduchý proces, který lze provést různými způsoby. Zde popisujeme kroky k povolení NLA prostřednictvím nastavení vzdálené plochy a nastavení systému a zabezpečení.
1. Stiskněte Win + I pro otevření Nastavení
2. Přejděte na Systém > Remote Desktop
3. Přepnout povolit vzdálenou plochu
4. Klikněte na Pokročilé nastavení
5. Zkontrolujte "Požadovat, aby počítače používaly ověřování na úrovni sítě"
1. Otevřete Ovládací panely > Systém a zabezpečení > Systém
2. Klikněte na Povolit vzdálený přístup
3. Pod záložkou Remote zkontrolujte:
Povolit vzdálené připojení pouze z počítačů s NLA (doporučeno)
1. Stiskněte Win + R, zadejte gpedit.msc
2. Přejděte na:
Konfigurace počítače > Šablony pro správu > Složky Windows > Služby vzdálené plochy > RDSH > Zabezpečení
3. Nastavte "Požadovat ověření uživatele pro vzdálené připojení pomocí NLA" na Povolené
I když se obecně nedoporučuje deaktivovat NLA kvůli bezpečnostním rizikům, mohou existovat konkrétní scénáře, kdy je to nezbytné: starší systémy bez podpory CredSSP, odstraňování problémů s RDP a nekompatibility s klienty třetích stran. Zde jsou metody, jak deaktivovat NLA:
Zakázání NLA prostřednictvím vlastností systému je přímá metoda, která lze provést prostřednictvím uživatelského rozhraní systému Windows.
Win + R
type
sysdm.cpl
Welcome to our software products page. Explore our wide range of solutions for your business needs.
Zvýšená zranitelnost:
Deaktivace NLA odstraní předběžnou autentizaci relace, čímž vystaví síť potenciálnímu neoprávněnému přístupu a různým kybernetické hrozby .
Doporučení:
Doporučuje se deaktivovat NLA pouze v případě, že je to naprosto nezbytné, a zavést další bezpečnostní opatření, aby se kompenzovala snížená ochrana.
Deaktivujte NLA prostřednictvím Editoru registru, abyste poskytli pokročilejší a manuální přístup.
Win + R
type
regedit
Welcome to our software products page. Explore our wide range of solutions for your business needs.
0
deaktivovat NLA.
Manuální konfigurace:
Úprava registru vyžaduje pečlivou pozornost, protože nesprávné změny mohou vést k nestabilitě systému nebo bezpečnostním zranitelnostem.
Záloha:
Vždy zálohujte registr před provedením změn, abyste zajistili, že můžete systém obnovit do předchozího stavu, pokud to bude potřeba.
Pro prostředí spravované skrze skupinovou politiku lze vypnutí NLA ovládat centrálně prostřednictvím editoru skupinové politiky.
1. Otevřete Editor zásad skupiny: Stiskněte
Win + R
type
gpedit.msc
Welcome to our software products page. Explore our wide range of solutions for your business needs.
2. Přejděte na Nastavení zabezpečení: Přejděte na Konfiguraci počítače -> Správní šablony -> Složky Windows -> Služby vzdálené plochy -> Hostitel relací vzdálené plochy -> Zabezpečení.
3. Zakázat NLA: Najděte politiku s názvem "Požadovat ověření uživatele pro vzdálené připojení pomocí ověřování na úrovni sítě" a nastavte ji na "Zakázáno."
Centralizovaný management: Vypnutí NLA prostřednictvím skupinové politiky ovlivňuje všechny spravované systémy, potenciálně zvyšuje bezpečnostní riziko v síti.
Dopady politiky: Ujistěte se, že zakázání NLA souhlasí s bezpečnostními politikami organizace a že jsou v místě alternativní bezpečnostní opatření.
TSplus plně podporuje NLA Síťová úroveň autentizace pro zabezpečení vzdáleného přístupu k desktopu od začátku každé relace. Zvyšuje nativní zabezpečení RDP pokročilými funkcemi, jako je dvoufaktorová autentizace (2FA), filtrování IP, ochrana proti hrubé síle a řízení přístupu k aplikacím, čímž vytváří robustní, vícestupňový obranný systém.
S s. TSplus administrátoři získávají centralizovanou kontrolu prostřednictvím jednoduché webové konzole, což zajišťuje bezpečný, efektivní a škálovatelný vzdálený přístup. Je to ideální řešení pro organizace, které chtějí překročit standardní zabezpečení RDP bez dodatečné složitosti nebo licenčních nákladů.
Autentizace na úrovni sítě je osvědčený způsob, jak zabezpečit RDP připojení pro vzdálený přístup vynucením ověření uživatele před relací. V dnešním prostředí zaměřeném na vzdálenou práci by měla být aktivace NLA standardním krokem pro všechny organizace používající RDP. V kombinaci s rozšířenými funkcemi nabízenými nástroji jako TSplus poskytuje spolehlivý základ pro bezpečné a efektivní publikování aplikací.
TSplus Bezplatná zkušební verze vzdáleného přístupu
Ultimativní alternativa Citrix/RDS pro přístup k desktopu/aplikacím. Bezpečné, nákladově efektivní, on-premise/cloud
Jednoduchý přístup na dálku
Ideální alternativa k Citrixu a Microsoft RDS pro vzdálený přístup k pracovní ploše a dodávku aplikací pro Windows.
Vyzkoušejte to zdarmaDŮVĚŘUJÍ 500 000+ SPOLEČNOSTÍ