We've detected you might be speaking a different language. Do you want to change to:

Obsah

Co je síťová úroveň ověřování (NLA)?

Síťová úrovně ověřování (NLA) je bezpečnostní funkce integrovaná do služeb vzdáleného plochy (RDS) a protokolu vzdálené plochy (RDP). Vyžaduje, aby se uživatelé ověřili předtím, než bude zahájena relace vzdálené plochy, poskytující tak další vrstvu zabezpečení. Na rozdíl od tradičních spojení RDP, kde je načteno přihlašovací okno před ověřením, NLA zajistí, že jsou přihlašovací údaje ověřeny před zahájením spojení. Tento "přední ověřovací" způsob pomáhá chránit proti neoprávněnému přístupu a potenciálním kybernetickým útokům.

Jak funguje NLA

NLA zvyšuje bezpečnost tím, že vyžaduje ověření přihlašovacích údajů uživatelů před vytvořením vzdálené relace. Zde je podrobnější technický rozbor:

  • Počáteční žádost o připojení: Když uživatel zkusí připojit se k vzdálené ploše, klient RDP odešle žádost o připojení na server.
  • Ověření přihlašovacích údajů: Před tím, než je spojení plně navázáno, server požaduje přihlašovací údaje uživatele. Klient RDP používá poskytovatele podpory zabezpečení přihlašovacích údajů (CredSSP) k bezpečnému přenosu těchto údajů.
  • Zajištění bezpečného kanálu: Pokud jsou přihlašovací údaje platné, je vytvořen bezpečný kanál pomocí protokolů jako TLS nebo SSL, což zajišťuje, že data přenášená během relace jsou šifrována a chráněna před odposlechem.

Historický kontext a vývoj

NLA bylo poprvé představeno s RDP 6.0, původně podporováno ve Windows Vista a pozdějších verzích. Využívá protokol CredSSP, který byl dostupný prostřednictvím rozhraní poskytovatele podpory zabezpečení (SSPI) ve Windows Vista. Tento protokol zajišťuje bezpečný přenos přihlašovacích údajů od klienta k serveru, zvyšuje celkovou bezpečnost.

Význam NLA

NLA je klíčová pro ochranu vzdálených pracovních prostředí před různými bezpečnostními hrozbami. Brání neoprávněným uživatelům dokonce v zahájení vzdálené relace, čímž snižuje rizika jako jsou útoky hrubou silou, útoky typu odmítnutí služby a vzdálené provedení kódu.

Výhody povolení NLA

Implementace ověřování na síťové úrovni nabízí několik výhod, které mohou významně zlepšit bezpečnost a efektivitu vzdálených plochých spojení.

Zlepšená bezpečnost

NLA zajistí, že pouze ověření uživatelé mohou vytvářet vzdálené relace, snižuje tak riziko neoprávněného přístupu. Tento mechanismus před relací minimalizuje potenciál pro kybernetické útoky, jako jsou útoky hrubou silou, kde útočníci opakovaně zkouší různé kombinace přihlašovacích údajů k získání přístupu.

  • Zabraňuje neoprávněnému přístupu: Vyžadováním ověření před zahájením relace NLA zajistí, že se mohou připojit pouze oprávnění uživatelé, čímž chrání citlivá data a systémy.
  • Snížení vystavení hrozbám: Protože server ověřuje přihlašovací údaje před zahájením relace, snižuje riziko vystavení různým hrozbám, které využívají počáteční fázi spojení.

Ochrana proti kybernetickým útokům

Vyžadováním ověření před zahájením relace NLA snižuje riziko běžných zranitelností RDP, včetně útoků typu odmítnutí služby (DoS) a vzdáleného provedení kódu. Útoky typu DoS mohou přetížit síť nadměrnými požadavky, zatímco vzdálené provedení kódu může umožnit útočníkům spustit škodlivý kód na cílovém stroji.

  • Zmírňuje útoky typu DoS: Validací uživatelů před vytvořením relace NLA zabrání neautentizovaným požadavkům využívat serverové zdroje, čímž zmírňuje útoky typu DoS.
  • Zabraňuje vzdálenému spuštění kódu: Protože je vyžadováno přihlášení předem, pravděpodobnost zneužití vzdáleného spuštění kódu během fáze zahájení relace je významně snížena.

Efektivní využití zdrojů

NLA pomáhá šetřit serverové zdroje tím, že zabrání neautentizovaným připojením načítat přihlašovací obrazovku. Tento efektivní využití zdrojů zajistí, že kapacita serveru je přidělena legitimním uživatelům, což zlepšuje celkový výkon sítě.

  • Snížení zátěže serveru: NLA optimalizuje výkon serveru tím, že se vyhýbá zbytečnému načítání přihlašovací obrazovky pro neověřené uživatele.
  • Zlepšuje efektivitu sítě: Zajištění, že pouze ověření uživatelé mohou spouštět relace, pomáhá udržovat optimální šířku pásma sítě a časy odezvy serveru.

Možnost jediného přihlášení (SSO)

NLA podporuje jednotné přihlašování NT (SSO), což zjednodušuje proces ověřování uživatelů. Tato funkce umožňuje uživatelům ověřit se jednou a přistupovat k více službám bez opětovného zadávání svých přihlašovacích údajů, což zjednodušuje uživatelskou zkušenost a administrativní náklady.

  • Zjednodušuje ověřování uživatele: Integrace SSO s NLA umožňuje uživatelům bezproblémový přístup k více zdrojům s jediným sadou přihlašovacích údajů.
  • Snížení administrativní náklady: Zjednodušené správa přihlašovacích údajů prostřednictvím SSO snižuje zátěž pro IT administrátory a zvyšuje celkovou bezpečnost.

Jak povolit ověřování na úrovni sítě

Povolení NLA je jednoduchý proces, který lze provést různými způsoby. Zde popisujeme kroky k povolení NLA prostřednictvím nastavení vzdálené plochy a nastavení systému a zabezpečení.

Metoda 1: Povolení NLA prostřednictvím nastavení vzdálené plochy

Tato metoda poskytuje jednoduchý přístup k zabezpečení vzdálených připojení s NLA prostřednictvím nabídky Nastavení systému Windows.

Postupný průvodce

  1. Otevřete nastavení Windows: Stiskněte Win + I Přistupovat k nabídce Nastavení systému Windows.
  2. Přejděte do nastavení systému: Vyberte "Systém" z nabídky nastavení.
  3. Povolit vzdálenou plochu: Klepněte na „Vzdálená plocha“ v levém panelu a přepněte přepínač „Povolit vzdálenou plochu“.
  4. Pokročilé nastavení: Klepněte na "Pokročilé nastavení" a zaškrtněte možnost "Vyžadovat, aby počítače používaly síťovou úroveň ověřování k připojení (doporučeno)."

Výhody použití vzdálených nastavení pracovní plochy

Uživatelsky přívětivé rozhraní: Nastavení Windows poskytuje grafické uživatelské rozhraní, což usnadňuje uživatelům povolení NLA bez prozkoumávání složitějších konfigurací.

Rychlý přístup: Kroky jsou jednoduché a lze je dokončit během několika minut, což zajišťuje minimální rušení provozu.

Metoda 2: Povolení NLA prostřednictvím nastavení systému a zabezpečení

Alternativní metoda aktivace NLA spočívá v využití nastavení Systému a zabezpečení ovládacího panelu.

Postupný průvodce

  1. Otevřete Ovládací panely: Vyhledejte "Ovládací panely" v hledání systému Windows a otevřete je.
  2. Systém a bezpečnost: Přejděte na "Systém a bezpečnost" a vyberte "Systém."
  3. Povolit vzdálený přístup: Klepněte na "Povolit vzdálený přístup" na levé straně obrazovky.
  4. Povolit NLA: Na kartě "Vzdálený" zaškrtněte políčko označené "Povolit vzdálené připojení pouze z počítačů s běžícím vzdáleným plochou s ověřením na síťové úrovni (doporučeno)."

Výhody použití systémových a bezpečnostních nastavení

Komplexní konfigurace: Přístup k NLA prostřednictvím ovládacího panelu umožňuje podrobnější nastavení konfigurace, poskytující větší kontrolu nad politikami vzdáleného přístupu.

Podpora starších verzí: Tato metoda je užitečná pro systémy, které nemusí podporovat nejnovější uživatelské rozhraní systému Windows, což zajišťuje širší kompatibilitu.

Jak zakázat ověřování na síťové úrovni

Přestože je obvykle nedoporučeno vypínat NLA kvůli bezpečnostním rizikům, mohou existovat konkrétní scénáře, kde je to nutné. Zde jsou metody, jak vypnout NLA:

Metoda 1: Použití systémových vlastností

Zakázání NLA prostřednictvím vlastností systému je přímá metoda, která lze provést prostřednictvím uživatelského rozhraní systému Windows.

Postupný průvodce

  1. Otevřít dialog Spustit: Stiskněte Win + R type sysdm.cpl Welcome to our software products page. Explore our wide range of solutions for your business needs.
  2. Přístup k vzdáleným nastavením: V okně "Vlastnosti systému" přejděte na kartu "Vzdálený".
  3. Zakázat NLA: Zrušte zaškrtnutí možnosti "Povolit připojení pouze z počítačů s vzdáleným přístupem s ověřením úrovně sítě (doporučeno)."

Rizika a úvahy

Zvýšená zranitelnost: Zakázání NLA odstraňuje předrelační ověřování, čímž vystavuje síť možnému neoprávněnému přístupu a různým kybernetickým hrozbám.

Doporučení: Je doporučeno vypnout NLA pouze v případě skutečné nutnosti a implementovat další bezpečnostní opatření k kompenzaci snížené ochrany.

Metoda 2: Použití editoru registru

Zakázání NLA prostřednictvím editoru registru poskytuje pokročilejší a manuální přístup.

Postupný průvodce

  1. Otevřít Editor registru: Stiskněte Win + R type regedit Welcome to our software products page. Explore our wide range of solutions for your business needs.
  2. Přejít na klíč: Přejít na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
  3. Upravit hodnoty: Změňte hodnoty "Bezpečnostní vrstva" a "Uživatelské ověřování" na 0 deaktivovat NLA.
  4. Restartovat systém: Restartujte váš systém, aby se změny projevily.

Rizika a úvahy

Manuální konfigurace: Úprava registru vyžaduje pečlivou pozornost, protože nesprávné změny mohou vést k nestabilitě systému nebo bezpečnostním zranitelnostem.

Záloha: Vždy zálohujte registr před provedením změn, abyste zajistili, že můžete systém obnovit do jeho předchozího stavu, pokud bude potřeba.

Metoda 3: Použití editoru politik skupiny

Pro prostředí spravované skrze skupinovou politiku lze vypnutí NLA ovládat centrálně prostřednictvím editoru skupinové politiky.

Postupný průvodce

  1. Otevřít editor skupinových politik: Stiskněte Win + R type gpedit.msc Welcome to our software products page. Explore our wide range of solutions for your business needs.
  2. Přejděte na zabezpečovací nastavení: Přejděte na konfiguraci počítače -> Správce šablon -> Komponenty systému Windows -> Služby vzdálené plochy -> Host relace vzdálené plochy -> Zabezpečení.
  3. Zakázat NLA: Najděte politiku s názvem "Vyžadovat ověření uživatele pro vzdálené připojení pomocí síťové úrovně ověřování" a nastavte ji na "Zakázáno."

Rizika a úvahy

Centralizovaný management: Vypnutí NLA prostřednictvím skupinové politiky ovlivňuje všechny spravované systémy, potenciálně zvyšuje bezpečnostní riziko v síti.

Dopady politiky: Ujistěte se, že zakázání NLA souhlasí s bezpečnostními politikami organizace a že jsou v místě alternativní bezpečnostní opatření.

Zvýšte svou bezpečnost s TSplus

U společnosti TSplus nabízíme pokročilá řešení vzdáleného přístupu, která zahrnují ověřování na úrovni sítě pro zajištění nejvyšší úrovně zabezpečení vašich vzdálených připojení. Objevte naše TSplus Remote Access řešení, jak zjistit, jak vám můžeme pomoci vytvořit bezpečné a efektivní pracovní prostředí na dálku.

Závěr

Síťová úrovňová autentizace (NLA) je zásadní bezpečnostní prvek pro vzdálená pracovní prostředí, poskytující robustní ochranu proti neoprávněnému přístupu a kybernetickým útokům. Vyžadováním autentizace před relací NLA zajistí, že pouze oprávnění uživatelé mohou navázat vzdálené připojení, chrání citlivá data a zdroje. Povolení NLA je jednoduché a může významně zlepšit bezpečnostní postavení vaší sítě.

Pro IT profesionály, kteří chtějí posílit své síťové obrany, je implementace NLA klíčovým krokem. Je však důležité zvážit bezpečnostní výhody proti jakémukoli potenciálnímu potřebě zakázat NLA, vždy dávají přednost ochraně vaší síťové infrastruktury.

TSplus Bezplatná zkušební verze vzdáleného přístupu

Ultimátní alternativa k Citrix/RDS pro přístup k desktopu/aplikacím. Bezpečné, nákladově efektivní, na místě/v cloudu.

Začněte bezplatnou zkušební verzi.

Sdílet:

Facebook Twitter LinkedIn

Váš tým TSplus

Související příspěvky

TSplus Remote Desktop Access - Advanced Security Software

Jak povolit vzdálenou plochu ve Windows 10: Kompletní průvodce

Nastavte Remote Desktop ve svém prostředí Windows 10, ponořte se do základních bezpečnostních úvah a prozkoumejte specializované sekce o našich produktech a jejich přínosech. Tento článek nejen poskytuje jasného průvodce, jak povolit Remote Desktop na Windows 10, ale také zdůrazňuje další výhody a bezpečnostní vylepšení nabízená TSplus. Ať už chcete základní nastavení, pokročilé bezpečnostní možnosti nebo obojí, čtěte dál.

Přečtěte si článek →
back to top of the page icon