احراز هویت سطح شبکه RDP: راه‌اندازی، امنیت و موارد استفاده

معرفی

با تغییر به کار híbrido و افزایش وابستگی به دسترسی به دسکتاپ از راه دور، اطمینان از جلسات امن از راه دور بسیار مهم است. پروتکل دسکتاپ از راه دور (RDP)، در حالی که راحت است، همچنین هدفی مکرر برای حملات سایبری است. یکی از حفاظت‌های اساسی RDP شما NLA است. درباره آن بیاموزید، چگونه آن را فعال کنید و مهم‌تر از همه، چگونه احراز هویت سطح شبکه RDP (NLA) را بهبود می‌بخشد. دسترسی از راه دور امنیت.

چیست Authentication سطح شبکه؟

این بخش به مبانی خواهد پرداخت:

• تعریف NLA
• تفاوت بین RDP سنتی و NLA

تعریف NLA

احراز هویت در سطح شبکه (NLA) یک بهبود امنیتی برای خدمات دسکتاپ از راه دور (RDS) است. این امر از کاربران می‌خواهد که قبل از ایجاد یک جلسه دسکتاپ از راه دور، خود را احراز هویت کنند. RDP سنتی اجازه می‌داد که صفحه ورود قبل از تأیید اعتبارنامه‌ها بارگذاری شود و بنابراین سرور را در معرض تلاش‌های حمله به روش brute-force قرار می‌داد. NLA این تأیید را به ابتدای فرآیند مذاکره جلسه منتقل می‌کند.

تفاوت بین RDP سنتی و NLA

ویژگی	RDP خالی، بدون NLA	RDP با NLA فعال شده
احراز هویت انجام می‌شود	پس از شروع جلسه	قبل از شروع جلسه
معرض سرور	بالا (کل)	حداقل
حفاظت در برابر حملات بروت‌فورس	محدود	قوی
پشتیبانی SSO	نه	بله

نحوه عملکرد NLA

NLA از پروتکل‌های امن و اعتبارسنجی لایه‌ای برای محافظت از سرور شما با تغییر استفاده می‌کند. زمانی که و چگونه احراز هویت انجام می‌شود. در اینجا تجزیه و تحلیل فرآیند اتصال آورده شده است:

1. درخواست اولیه: کاربر یک اتصال را از طریق کلاینت RDP آغاز می‌کند.
2. اعتبارسنجی اعتبارنامه: قبل از شروع جلسه، مشتری از ارائه‌دهنده پشتیبانی امنیتی اعتبارنامه (CredSSP) برای انتقال ایمن اعتبارنامه‌ها استفاده می‌کند.
3. ایجاد جلسه امن: اگر اعتبارنامه‌ها معتبر باشند، یک جلسه امن با استفاده از TLS یا SSL ایجاد می‌شود که تمام ارتباطات را رمزگذاری می‌کند.
4. شروع جلسه دسکتاپ: تنها پس از تأیید هویت کاربر، جلسه کامل RDP آغاز می‌شود.

NLA چه تفاوتی در اینجا ایجاد کرده است؟

بیایید بررسی کنیم که فعال‌سازی NLA چه تغییراتی در درخواست‌های اتصال RDP ایجاد می‌کند.

اتصالات ناامن بدون NLA آغاز می‌شود:

• سرور RDP صفحه ورود را بارگذاری می‌کند قبل از در حال بررسی اعتبارنامه‌ها.
• این به این معنی است هر کسی می‌تواند یک پنجره جلسه باز کند، حتی حمله‌کنندگان.
• سرور از منابع خود برای نمایش رابط ورود استفاده می‌کند، حتی برای کاربران غیرمجاز.

اتصالات امن با NLA شروع می‌شود:

با NLA، مرحله ۲ بالا حیاتی شد.

• قبل از یک جلسه، حتی قبل از اینکه صفحه ورود گرافیکی ظاهر شود، کلاینت RDP باید اعتبارنامه‌های معتبر را از طریق ارائه دهد کریپتوسپ (برای جزئیات بیشتر بخوانید.)
• اگر اعتبارنامه‌ها نامعتبر باشند، اتصال بلافاصله رد می‌شود، بنابراین سرور هرگز رابط جلسه را بارگذاری نمی‌کند.

در نتیجه، NLA به طور مؤثر مرحله احراز هویت را به لایه شبکه بنابراین نام آن قبل از RDP محیط دسکتاپ از راه دور را راه‌اندازی می‌کند. به نوبه خود، NLA از آن استفاده می‌کند. رابط ارائه‌دهنده پشتیبانی امنیتی ویندوز (SSPI) از جمله CredSSP، برای ادغام بدون درز با احراز هویت دامنه.

چرا احراز هویت در سطح شبکه مهم است؟

RDP در چندین حمله باج‌افزاری با پروفایل بالا یک عامل بوده است. NLA برای محافظت از محیط‌های دسکتاپ از راه دور از تهدیدات امنیتی مختلف. این از ورود کاربران غیرمجاز به حتی آغاز یک جلسه از راه دور جلوگیری می‌کند و بدین ترتیب خطراتی مانند حملات brute force، حملات انکار سرویس و اجرای کد از راه دور را کاهش می‌دهد.

در اینجا یک خلاصه سریع از خطرات امنیتی RDP بدون NLA آورده شده است:

• حملات نیروی brute به صفحه‌های ورود در معرض خطر
• حمله انکار سرویس (DoS) از سیلاب اتصالات غیرمجاز
• آسیب‌پذیری‌های اجرای کد از راه دور (RCE)
• استفاده از نام‌های کاربری/گذرواژه‌های نشت شده برای حملات اعتبارسنجی

فعال‌سازی NLA یک روش ساده اما مؤثر برای کاهش این تهدیدات است.

مزایای فعال‌سازی NLA چیست؟

احراز هویت در سطح شبکه هم مزایای امنیتی و هم مزایای عملکردی را ارائه می‌دهد. در اینجا آنچه به دست می‌آورید:

• احراز هویت قوی‌تر
• CredSSP چیست؟
• کاهش سطح حمله
• دفاع در برابر حملات بروت‌فورس
• سازگاری SSO
• عملکرد بهتر سرور
• آماده برای انطباق

احراز هویت قوی‌تر

احراز هویت در سطح شبکه نیاز دارد که کاربران قبل از شروع هر جلسه دسکتاپ از راه دور، هویت خود را تأیید کنند. این اعتبارسنجی در خط مقدم با استفاده از پروتکل‌های امنی مانند CredSSP و TLS انجام می‌شود و اطمینان حاصل می‌کند که تنها کاربران مجاز حتی به صفحه ورود دسترسی پیدا کنند. با تحمیل این مرحله اولیه، NLA به طور چشمگیری خطر نفوذ از طریق اعتبارنامه‌های دزدیده شده یا حدس زده شده را کاهش می‌دهد.

CredSSP چیست؟

به عنوان یک ارائه‌دهنده پشتیبانی امنیتی، پروتکل ارائه‌دهنده پشتیبانی امنیتی اعتبارنامه (CredSSP) به یک برنامه اجازه می‌دهد تا اعتبارنامه‌های کاربر را از کلاینت به سرور هدف برای احراز هویت از راه دور واگذار کند.

این نوع تأیید زودهنگام با بهترین شیوه‌های امنیت سایبری که توسط سازمان‌هایی مانند مایکروسافت و NIST توصیه شده است، همسو است، به‌ویژه در محیط‌هایی که داده‌ها یا زیرساخت‌های حساس درگیر هستند.

کاهش سطح حمله

بدون NLA، رابط ورود RDP به صورت عمومی قابل دسترسی است و این موضوع آن را به هدفی آسان برای اسکن‌های خودکار و ابزارهای بهره‌برداری تبدیل می‌کند. هنگامی که NLA فعال است، آن رابط پشت لایه احراز هویت پنهان می‌شود و به طور قابل توجهی دید RDP سرور شما را در شبکه یا اینترنت کاهش می‌دهد.

این رفتار "پنهان به‌طور پیش‌فرض" با اصل حداقل نمایش هم‌راستا است که در دفاع در برابر آسیب‌پذیری‌های روز صفر یا حملات پر کردن اعتبارنامه بسیار حیاتی است.

دفاع در برابر حملات بروت‌فورس

حملات بروت‌فورس با حدس مکرر ترکیب‌های نام کاربری و رمز عبور کار می‌کنند. اگر RDP بدون NLA در معرض باشد، مهاجمان می‌توانند به طور نامحدود تلاش کنند و از ابزارهایی برای خودکارسازی هزاران تلاش ورود استفاده کنند. NLA این را با نیاز به اعتبارنامه‌های معتبر از قبل مسدود می‌کند تا جلسات غیرمعتبر هرگز اجازه پیشرفت نداشته باشند.

این نه تنها یک روش حمله رایج را خنثی می‌کند بلکه به جلوگیری از قفل شدن حساب‌ها یا بار زیاد بر روی سیستم‌های احراز هویت نیز کمک می‌کند.

سازگاری SSO

NLA از ورود یکپارچه NT (SSO) در محیط‌های Active Directory پشتیبانی می‌کند. SSO جریان کارها را ساده می‌کند و اصطکاک را برای کاربران نهایی کاهش می‌دهد اجازه می‌دهد تا آنها با احراز هویت یک‌باره به چندین برنامه و وب‌سایت وارد شوند.

برای مدیران IT، یکپارچه‌سازی SSO مدیریت هویت را ساده کرده و تعداد تیکت‌های مربوط به فراموشی رمز عبور یا ورودهای مکرر را کاهش می‌دهد، به‌ویژه در محیط‌های شرکتی با سیاست‌های دسترسی سخت‌گیرانه.

عملکرد بهتر سرور

بدون NLA، هر تلاش برای اتصال (حتی از یک کاربر غیرمعتبر) می‌تواند رابط گرافیکی ورود به سیستم را بارگذاری کند و حافظه سیستم، CPU و پهنای باند را مصرف کند. NLA این بار اضافی را با نیاز به اعتبارنامه‌های معتبر قبل از شروع جلسه حذف می‌کند.

در نتیجه، سرورها به طور مؤثرتری کار می‌کنند، جلسات سریع‌تر بارگذاری می‌شوند و کاربران قانونی تجربه بهتری از پاسخگویی دارند، به ویژه در محیط‌هایی با اتصالات همزمان RDP زیاد.

آماده برای انطباق

چارچوب‌های مدرن انطباق (مانند GDPR، HIPAA، ISO 27001 و ...) نیاز به احراز هویت امن کاربر و دسترسی کنترل شده به سیستم‌های حساس دارند. NLA به برآورده کردن این الزامات با اجرای اعتبارسنجی اعتبارنامه در مراحل اولیه و کاهش قرارگیری در معرض تهدیدات کمک می‌کند.

با پیاده‌سازی NLA، سازمان‌ها رویکردی پیشگیرانه به کنترل دسترسی، حفاظت از داده‌ها و آمادگی برای حسابرسی را نشان می‌دهند که می‌تواند در طول بررسی‌های نظارتی یا حسابرسی‌های امنیتی حیاتی باشد.

چگونه احراز هویت سطح شبکه را فعال کنیم؟

فعال کردن NLA یک فرآیند ساده است که می توانید از طریق روش های مختلف انجام دهید. در اینجا، مراحل فعال کردن NLA از طریق تنظیمات ریموت دسکتاپ و تنظیمات سیستم و امنیت را شرح می دهیم.

• تنظیمات ویندوز
• پنل کنترل
• ویرایشگر سیاست گروه

روش ۱: فعال‌سازی NLA از طریق تنظیمات ویندوز

1.        کلیدهای Win + I را فشار دهید تا تنظیمات را باز کنید

به سیستم > دسترسی از راه دور بروید

3.        فعال‌سازی دسکتاپ از راه دور

4.        روی تنظیمات پیشرفته کلیک کنید

5.        گزینه "الزام استفاده از احراز هویت سطح شبکه برای کامپیوترها" را بررسی کنید

روش ۲: فعال‌سازی NLA از طریق کنترل پنل

1.        کنترل پنل را باز کنید > سیستم و امنیت > سیستم

2.        روی اجازه دسترسی از راه دور کلیک کنید

زیر برگه Remote، بررسی کنید:
اجازه دهید اتصالات از راه دور فقط از کامپیوترهایی که NLA (توصیه شده) را اجرا می‌کنند، برقرار شود.

روش ۳: ویرایشگر سیاست گروه

1. فشار دهید Win + R، gpedit.msc را تایپ کنید

2.        به:
پیکربندی کامپیوتر > الگوهای مدیریتی > اجزای ویندوز > خدمات دسکتاپ از راه دور > RDSH > امنیت

3. "احراز هویت کاربر برای اتصالات از راه دور با استفاده از NLA" را به حالت فعال تنظیم کنید

چگونه احراز هویت سطح شبکه را غیرفعال کنیم؟

در حالی که غیرفعال کردن NLA به طور کلی به دلیل خطرات امنیتی توصیه نمی‌شود، ممکن است سناریوهای خاصی وجود داشته باشد که این کار ضروری باشد: سیستم‌های قدیمی بدون پشتیبانی CredSSP، عیب‌یابی شکست‌های RDP و ناسازگاری‌های کلاینت‌های شخص ثالث. در اینجا روش‌هایی برای غیرفعال کردن NLA آورده شده است:

• خصوصیات سیستم
• ویرایشگر رجیستری
• ویرایشگر سیاست گروه

روش 1: استفاده از ویژگی‌های سیستم

غیرفعال کردن NLA از طریق ویژگی‌های سیستم یک روش مستقیم است که می‌توان از طریق رابط کاربری ویندوز انجام داد.

راهنمای گام به گام در Syst Prop

1. باز کردن جعبه دیالوگ اجرا: فشار دهید Win + R Remote Access Solutions for Your Business Needs. Simplify your IT management with our secure and reliable software products. Contact us today for a free trial. [Remote Access Solutions for Your Business Needs. Simplify your IT management with our secure and reliable software products. Contact us today for a free trial.] sysdm.cpl به وب‌سایت ما خوش آمدید که می‌توانید محصولات نرم‌افزاری متنوعی برای نیازهای تجاری خود پیدا کنید.
2. دسترسی به تنظیمات از راه دور: در پنجره "ویژگی‌های سیستم"، به تب "راه دور" بروید.
3. غیرفعال کردن NLA: گزینه "اجازه دسترسی تنها از کامپیوترهایی که اجرا می‌شوند Remote Desktop با احراز هویت سطح شبکه (توصیه شده)" را بررسی نکنید.

خطرات و ملاحظات

افزایش آسیب‌پذیری:

غیرفعال کردن NLA احراز هویت پیش‌نشست را حذف می‌کند و شبکه را در معرض دسترسی غیرمجاز و انواع مختلف قرار می‌دهد. تهدیدات سایبری .

پیشنهاد:

توصیه می‌شود NLA را تنها در مواقع ضروری غیرفعال کنید و تدابیر امنیتی اضافی را برای جبران کاهش حفاظت پیاده‌سازی کنید.

روش 2: استفاده از ویرایشگر رجیستری

غیرفعال کردن NLA از طریق ویرایشگر رجیستری، برای ارائه یک رویکرد پیشرفته‌تر و دستی.

راهنمای گام به گام در RegEdit

1. باز کردن ویرایشگر رجیستری: فشار دهید Win + R Remote Access Solutions for Your Business Needs. Simplify your IT management with our secure and reliable software products. Contact us today for a free trial. [Remote Access Solutions for Your Business Needs. Simplify your IT management with our secure and reliable software products. Contact us today for a free trial.] regedit به وب‌سایت ما خوش آمدید که می‌توانید محصولات نرم‌افزاری متنوعی برای نیازهای تجاری خود پیدا کنید.
2. Navigate to Key: برو به HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
3. تغییر مقادیر: مقادیر "لایه امنیتی" و "احراز هویت کاربر" را تغییر دهید 0 برای غیرفعال کردن NLA.
4. راه‌اندازی مجدد سیستم: سیستم خود را برای اعمال تغییرات دوباره راه‌اندازی کنید.

خطرات و ملاحظات

پیکربندی دستی:

ویرایش رجیستری نیاز به توجه دقیق دارد، زیرا تغییرات نادرست می‌تواند به ناپایداری سیستم یا آسیب‌پذیری‌های امنیتی منجر شود.

پشتیبان‌گیری:

همیشه قبل از ایجاد تغییرات از رجیستری پشتیبان‌گیری کنید تا در صورت نیاز بتوانید سیستم را به حالت قبلی خود بازگردانید.

روش 3: استفاده از ویرایشگر سیاست گروه‌ها

برای محیط‌های مدیریت شده از طریق سیاست گروه، غیرفعال کردن NLA می‌تواند به صورت مرکزی از طریق ویرایشگر سیاست گروه کنترل شود.

راهنمای گام به گام در GPEdit

1. ویرایشگر سیاست گروه را باز کنید: فشار دهید Win + R Remote Access Solutions for Your Business Needs. Simplify your IT management with our secure and reliable software products. Contact us today for a free trial. [Remote Access Solutions for Your Business Needs. Simplify your IT management with our secure and reliable software products. Contact us today for a free trial.] gpedit.msc به وب‌سایت ما خوش آمدید که می‌توانید محصولات نرم‌افزاری متنوعی برای نیازهای تجاری خود پیدا کنید.

به تنظیمات امنیتی بروید: به پیکربندی کامپیوتر -> الگوهای مدیریتی -> اجزای ویندوز -> خدمات دسکتاپ از راه دور -> میزبان جلسه دسکتاپ از راه دور -> امنیت بروید.

3.        غیرفعال کردن NLA: سیاستی به نام "نیاز به احراز هویت کاربر برای اتصالات از راه دور با استفاده از احراز هویت سطح شبکه" را پیدا کنید و آن را روی "غیرفعال" تنظیم کنید.

خطرات و ملاحظات

مدیریت متمرکز: غیرفعال کردن NLA از طریق سیاست گروهی بر تمام سیستم‌های مدیریت شده تأثیر می‌گذارد و احتمالاً خطر امنیتی را در سراسر شبکه افزایش می‌دهد.

تداعیات سیاست: اطمینان حاصل شود که غیرفعال کردن NLA با سیاست‌های امنیتی سازمانی هماهنگ است و اقدامات امنیتی جایگزین در نظر گرفته شده است.

چگونه امنیت خود را با TSplus افزایش دهیم

TSplus به طور کامل از NLA پشتیبانی می‌کند احراز هویت در سطح شبکه برای تأمین دسترسی به دسکتاپ از راه دور از ابتدای هر جلسه. این ویژگی امنیت RDP بومی را با ویژگی‌های پیشرفته‌ای مانند احراز هویت دو مرحله‌ای (2FA)، فیلتر کردن IP، حفاظت در برابر حملات brute-force و کنترل دسترسی به برنامه‌ها تقویت می‌کند و یک سیستم دفاعی چند لایه و قوی ایجاد می‌کند.

با TSplus مدیران از طریق یک کنسول وب ساده کنترل متمرکز را به دست می‌آورند و دسترسی از راه دور امن، کارآمد و مقیاس‌پذیر را تضمین می‌کنند. این یک راه‌حل ایده‌آل برای سازمان‌هایی است که به دنبال فراتر رفتن از امنیت استاندارد RDP بدون پیچیدگی یا هزینه‌های مجوز اضافی هستند.

نتیجه

احراز هویت در سطح شبکه یک روش اثبات شده برای ایمن‌سازی اتصالات RDP برای دسترسی از راه دور با اعمال تأیید هویت کاربر قبل از جلسه است. در چشم‌انداز امروزی که به‌طور پیش‌فرض به دورکاری متمایل است، فعال‌سازی NLA باید یک مرحله پیش‌فرض برای تمام سازمان‌هایی باشد که از RDP استفاده می‌کنند. هنگامی که با ویژگی‌های گسترده‌ای که ابزارهایی مانند TSplus ارائه می‌دهند ترکیب شود، یک پایه قابل اعتماد برای انتشار ایمن و کارآمد برنامه‌ها فراهم می‌کند.