Chtěli byste vidět stránku v jiném jazyce?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Změnit jazyk
Obsah

Úvod

S přechodem na hybridní práci a rostoucí závislostí na vzdáleném přístupu k desktopu je zajištění bezpečných vzdálených relací zásadní. Protokol vzdálené plochy (RDP), i když je pohodlný, je také častým cílem kybernetických útoků. Jednou z základních ochran vašeho RDP je NLA. Zjistěte více o tom, jak jej povolit a co je nejdůležitější, jak ověřování na úrovni sítě RDP (NLA) zvyšuje. vzdálený přístup bezpečnost.

Co je ověřování na úrovni sítě?

Tato sekce pokryje základy:

  • Definice NLA
  • Rozdíl mezi tradičním RDP a NLA

Definice NLA

Autentizace na úrovni sítě (NLA) je bezpečnostní vylepšení pro služby vzdálené plochy (RDS). Vyžaduje, aby se uživatelé autentizovali před vytvořením relace vzdálené plochy. Tradiční RDP umožnilo načíst přihlašovací obrazovku před ověřením přihlašovacích údajů, čímž server vystavilo pokusům o hrubou sílu. NLA přesouvá tuto validaci na samý začátek procesu vyjednávání relace.

Rozdíl mezi tradičním RDP a NLA

Funkce Bare RDP, without NLA RDP s povoleným NLA
Autentizace probíhá Po zahájení relace Před začátkem relace
Expozice serveru Vysoký (Celkem) Minimální
Ochrana proti hrubé síle Omezený Silný
SSO podpora Ne Ano

Jak funguje NLA

NLA využívá bezpečné protokoly a vícestupňovou validaci k ochraně vašeho serveru změnou kdy a jak autentizace probíhá. Zde je rozpis procesu připojení:

  1. Počáteční žádost: Uživatel zahajuje připojení prostřednictvím RDP klienta.
  2. Ověření pověření: Před začátkem relace klient používá Credential Security Support Provider (CredSSP) k bezpečnému předání přihlašovacích údajů.
  3. Zabezpečené navázání relace: Pokud jsou přihlašovací údaje platné, je vytvořena zabezpečená relace pomocí TLS nebo SSL, která šifruje veškerou komunikaci.
  4. Desktop Session Start: Až po ověření uživatele se spustí plná relace RDP.

Jaký rozdíl zde udělala NLA?

Pojďme si rozebrat, co aktivace NLA mění na požadavcích na připojení RDP.

Nezabezpečené připojení začíná bez NLA:

  • RDP server načte přihlašovací obrazovku před kontrola přihlašovacích údajů.
  • To znamená kdokoli může otevřít okno relace, dokonce i útočníci.
  • Server využívá své zdroje k zobrazení přihlašovacího rozhraní, i pro neoprávněné uživatele.

Bezpečné připojení začíná s NLA:

S NLA se krok 2 výše stal kritickým.

  • Před relací, ještě předtím, než se zobrazí grafická přihlašovací obrazovka, musí RDP klient poskytnout platné přihlašovací údaje prostřednictvím CredSSP (přečtěte si podrobnosti).
  • Pokud jsou přihlašovací údaje neplatné, připojení je okamžitě odmítnuto, takže server nikdy nenačte rozhraní relace.

Důsledkem toho NLA efektivně "přesouvá" krok ověřování na. síťová vrstva (takže název) před RDP inicializuje prostředí vzdálené plochy. Na oplátku NLA používá Podpora rozhraní poskytovatele zabezpečení Windows (SSPI) včetně CredSSP, aby se bezproblémově integroval s ověřováním domény.

Proč je ověřování na úrovni sítě důležité?

RDP byl vektorem v několika vysoce profilovaných útocích ransomwaru. NLA je zásadní pro ochrana vzdálených desktopových prostředí před různými bezpečnostními hrozbami. Zabraňuje neoprávněným uživatelům dokonce i zahájit vzdálenou relaci, čímž zmírňuje rizika, jako jsou útoky hrubou silou, útoky typu denial-of-service a vzdálené provádění kódu.

Zde je rychlý přehled bezpečnostních rizik RDP bez NLA:

  • Útoky hrubou silou na vystavené přihlašovací obrazovky
  • Zamítnutí služby (DoS) z neautentizovaných připojení.
  • Zranitelnosti vzdáleného spuštění kódu (RCE)
  • Zneužívání přihlašovacích údajů pomocí uniklých uživatelských jmen/hesel

Povolení NLA je jednoduchý, ale účinný způsob, jak minimalizovat tato nebezpečí.

Jaké jsou výhody povolení NLA?

Síťová úroveň autentizace nabízí výhody jak v oblasti bezpečnosti, tak výkonu. Zde je to, co získáte:

  • Silnější ověřování
  • Co je CredSSP?
  • Snížený útočný povrch
  • Obrana proti hrubé síle
  • Kompatibilita SSO
  • Lepší výkon serveru
  • Připraveno na shodu

Silnější ověřování

Autentizace na úrovni sítě vyžaduje, aby uživatelé ověřili svou identitu před zahájením jakékoli relace vzdálené plochy. Tato přední validace se provádí pomocí bezpečných protokolů, jako jsou CredSSP a TLS, což zajišťuje, že se k výzvě k přihlášení dostanou pouze autorizovaní uživatelé. Prosazováním tohoto raného kroku NLA drasticky snižuje riziko vniknutí prostřednictvím ukradených nebo uhádnutých přihlašovacích údajů.

Co je CredSSP?

Jako poskytovatel bezpečnostní podpory protokol Credential Security Support Provider (CredSSP) umožňuje aplikaci delegovat uživatelské přihlašovací údaje z klienta na cílový server pro vzdálenou autentizaci.

Tento typ rané verifikace je v souladu s nejlepšími praktikami kybernetické bezpečnosti doporučovanými organizacemi jako Microsoft a NIST, zejména v prostředích, kde jsou zapojena citlivá data nebo infrastruktura.

Snížený útočný povrch

Bez NLA je rozhraní pro přihlášení RDP veřejně přístupné, což z něj činí snadný cíl pro automatizované skeny a exploitační nástroje. Když je NLA povoleno, toto rozhraní je skryto za autentizační vrstvou, což výrazně snižuje viditelnost vašeho RDP serveru v síti nebo na internetu.

Toto chování „neviditelné ve výchozím nastavení“ odpovídá principu minimální expozice, což je zásadní pro obranu proti zranitelnostem typu zero-day nebo útokům na kradené přihlašovací údaje.

Obrana proti hrubé síle

Útoky hrubou silou fungují tak, že opakovaně hádají kombinace uživatelského jména a hesla. Pokud je RDP vystaveno bez NLA, útočníci mohou neustále zkoušet, pomocí nástrojů k automatizaci tisíců pokusů o přihlášení. NLA tomu brání tím, že vyžaduje platné přihlašovací údaje předem, takže neautentizované relace nikdy nemohou pokračovat.

Toto nejen neutralizuje běžnou metodu útoku, ale také pomáhá předcházet zablokování účtů nebo nadměrnému zatížení autentizačních systémů.

Kompatibilita SSO

NLA podporuje NT Single Sign-On (SSO) v prostředích Active Directory. SSO zjednodušuje pracovní postupy a snižuje tření pro koncové uživatele tím, že umožňuje jim přihlásit se k více aplikacím a webovým stránkám s jednorázovou autentizací.

Pro IT administrátory integrace SSO zjednodušuje správu identity a snižuje počet tiketů na helpdesku souvisejících se zapomenutými hesly nebo opakovanými přihlášeními, zejména v podnikových prostředích se striktními přístupovými politikami.

Lepší výkon serveru

Bez NLA může každý pokus o připojení (i od neautentizovaného uživatele) načíst grafické přihlašovací rozhraní, což spotřebovává systémovou paměť, CPU a šířku pásma. NLA tento dodatečný náklad eliminuje tím, že vyžaduje platné přihlašovací údaje před inicializací relace.

V důsledku toho servery fungují efektivněji, relace se načítají rychleji a oprávnění uživatelé zažívají lepší odezvu, zejména v prostředích s mnoha současnými RDP připojeními.

Připraveno na shodu

Moderní rámce shody (jako GDPR, HIPAA, ISO 27001, …) vyžadují bezpečnou autentizaci uživatelů a kontrolovaný přístup k citlivým systémům. NLA pomáhá splnit tyto požadavky prosazováním validace přihlašovacích údajů v rané fázi a minimalizací vystavení hrozbám.

Zavedením NLA organizace prokazují proaktivní přístup k řízení přístupu, ochraně dat a připravenosti na audity, což může být klíčové během regulačních kontrol nebo bezpečnostních auditů.

Jak povolit ověřování na úrovni sítě?

Povolení NLA je jednoduchý proces, který lze provést různými způsoby. Zde popisujeme kroky k povolení NLA prostřednictvím nastavení vzdálené plochy a nastavení systému a zabezpečení.

  • Nastavení systému Windows
  • Ovládací panel
  • Editor zásad skupiny

Metoda 1: Povolení NLA prostřednictvím nastavení Windows

1.        Stiskněte Win + I pro otevření Nastavení

2.        Přejděte na Systém > Remote Desktop

3.        Přepnout povolit vzdálenou plochu

4.        Klikněte na Pokročilé nastavení

5.        Zkontrolujte "Požadovat, aby počítače používaly ověřování na úrovni sítě"

Metoda 2: Povolení NLA prostřednictvím Ovládacího panelu

1.        Otevřete Ovládací panely > Systém a zabezpečení > Systém

2.        Klikněte na Povolit vzdálený přístup

3. Pod záložkou Remote zkontrolujte:
Povolit vzdálené připojení pouze z počítačů s NLA (doporučeno)

Metoda 3: Editor zásad skupiny

1.        Stiskněte Win + R, zadejte gpedit.msc

2.        Přejděte na:
Konfigurace počítače > Šablony pro správu > Složky Windows > Služby vzdálené plochy > RDSH > Zabezpečení

3. Nastavte "Požadovat ověření uživatele pro vzdálené připojení pomocí NLA" na Povolené

Jak zakázat ověřování na úrovni sítě?

I když se obecně nedoporučuje deaktivovat NLA kvůli bezpečnostním rizikům, mohou existovat konkrétní scénáře, kdy je to nezbytné: starší systémy bez podpory CredSSP, odstraňování problémů s RDP a nekompatibility s klienty třetích stran. Zde jsou metody, jak deaktivovat NLA:

  • Systémové vlastnosti
  • Editor registru
  • Editor zásad skupiny

Metoda 1: Použití systémových vlastností

Zakázání NLA prostřednictvím vlastností systému je přímá metoda, která lze provést prostřednictvím uživatelského rozhraní systému Windows.

Krok za krokem průvodce v Syst Prop

  1. Otevřít dialog Spustit: Stiskněte Win + R type sysdm.cpl Welcome to our software products page. Explore our wide range of solutions for your business needs.
  2. Přístup k vzdáleným nastavením: V okně "Vlastnosti systému" přejděte na kartu "Vzdálený".
  3. Zakázat NLA: Zrušte zaškrtnutí možnosti "Povolit připojení pouze z počítačů s vzdáleným přístupem s ověřením úrovně sítě (doporučeno)."

Rizika a úvahy

Zvýšená zranitelnost:

Deaktivace NLA odstraní předběžnou autentizaci relace, čímž vystaví síť potenciálnímu neoprávněnému přístupu a různým kybernetické hrozby .

Doporučení:

Doporučuje se deaktivovat NLA pouze v případě, že je to naprosto nezbytné, a zavést další bezpečnostní opatření, aby se kompenzovala snížená ochrana.

Metoda 2: Použití editoru registru

Deaktivujte NLA prostřednictvím Editoru registru, abyste poskytli pokročilejší a manuální přístup.

Návod krok za krokem v RegEdit

  1. Otevřít Editor registru: Stiskněte Win + R type regedit Welcome to our software products page. Explore our wide range of solutions for your business needs.
  2. Přejít na klíč: Přejít na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
  3. Upravit hodnoty: Změňte hodnoty "Bezpečnostní vrstva" a "Uživatelské ověřování" na 0 deaktivovat NLA.
  4. Restartovat systém: Restartujte váš systém, aby se změny projevily.

Rizika a úvahy

Manuální konfigurace:

Úprava registru vyžaduje pečlivou pozornost, protože nesprávné změny mohou vést k nestabilitě systému nebo bezpečnostním zranitelnostem.

Záloha:

Vždy zálohujte registr před provedením změn, abyste zajistili, že můžete systém obnovit do předchozího stavu, pokud to bude potřeba.

Metoda 3: Použití editoru politik skupiny

Pro prostředí spravované skrze skupinovou politiku lze vypnutí NLA ovládat centrálně prostřednictvím editoru skupinové politiky.

Návod krok za krokem v GPEdit

1. Otevřete Editor zásad skupiny: Stiskněte Win + R type gpedit.msc Welcome to our software products page. Explore our wide range of solutions for your business needs.

2.        Přejděte na Nastavení zabezpečení: Přejděte na Konfiguraci počítače -> Správní šablony -> Složky Windows -> Služby vzdálené plochy -> Hostitel relací vzdálené plochy -> Zabezpečení.

3.        Zakázat NLA: Najděte politiku s názvem "Požadovat ověření uživatele pro vzdálené připojení pomocí ověřování na úrovni sítě" a nastavte ji na "Zakázáno."

Rizika a úvahy

Centralizovaný management: Vypnutí NLA prostřednictvím skupinové politiky ovlivňuje všechny spravované systémy, potenciálně zvyšuje bezpečnostní riziko v síti.

Dopady politiky: Ujistěte se, že zakázání NLA souhlasí s bezpečnostními politikami organizace a že jsou v místě alternativní bezpečnostní opatření.

Jak vylepšit svou bezpečnost s TSplus

TSplus plně podporuje NLA Síťová úroveň autentizace pro zabezpečení vzdáleného přístupu k desktopu od začátku každé relace. Zvyšuje nativní zabezpečení RDP pokročilými funkcemi, jako je dvoufaktorová autentizace (2FA), filtrování IP, ochrana proti hrubé síle a řízení přístupu k aplikacím, čímž vytváří robustní, vícestupňový obranný systém.

S s. TSplus administrátoři získávají centralizovanou kontrolu prostřednictvím jednoduché webové konzole, což zajišťuje bezpečný, efektivní a škálovatelný vzdálený přístup. Je to ideální řešení pro organizace, které chtějí překročit standardní zabezpečení RDP bez dodatečné složitosti nebo licenčních nákladů.

Závěr

Autentizace na úrovni sítě je osvědčený způsob, jak zabezpečit RDP připojení pro vzdálený přístup vynucením ověření uživatele před relací. V dnešním prostředí zaměřeném na vzdálenou práci by měla být aktivace NLA standardním krokem pro všechny organizace používající RDP. V kombinaci s rozšířenými funkcemi nabízenými nástroji jako TSplus poskytuje spolehlivý základ pro bezpečné a efektivní publikování aplikací.

TSplus Bezplatná zkušební verze vzdáleného přístupu

Ultimativní alternativa Citrix/RDS pro přístup k desktopu/aplikacím. Bezpečné, nákladově efektivní, on-premises/cloud

Začněte bezplatnou zkušební verzi.

Sdílet:

Facebook Twitter LinkedIn

Váš tým TSplus

Další čtení

back to top of the page icon