Souhaitez-vous voir le site dans une autre langue ?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Changer de langue
Table des matières

Introduction

L'authentification au niveau du réseau (NLA) est un contrôle de sécurité essentiel pour le protocole de bureau à distance, empêchant les utilisateurs non authentifiés avant qu'une session complète ne soit créée. Lorsque la NLA échoue, les équipes informatiques sont confrontées à des connexions bloquées, des messages d'erreur vagues et des utilisateurs finaux frustrés qui ne peuvent pas accéder à des serveurs critiques. Ce guide explique ce qu'est la NLA, pourquoi ces erreurs se produisent et comment dépanner et résoudre systématiquement les problèmes de NLA sans affaiblir votre posture de sécurité RDP.

Qu'est-ce que NLA dans RDP ?

L'authentification au niveau du réseau est une amélioration de la sécurité RDP introduite avec Windows Vista et Windows Server 2008. Au lieu de créer la session de bureau à distance complète puis de demander des identifiants, l'NLA exige que les utilisateurs s'authentifient d'abord. Ce n'est qu'après une authentification réussie que la pile RDP crée la session graphique.

NLA s'appuie sur CredSSP (Credential Security Support Provider) pour transmettre en toute sécurité les informations d'identification de l'utilisateur au système cible. Dans les environnements joints à un domaine, CredSSP communique avec Active Directory pour valider le compte avant l'établissement de la session. Sur les hôtes autonomes ou de groupe de travail, CredSSP valide les comptes locaux configurés pour la connexion à distance.

Les principaux avantages de NLA incluent :

  • Réduire la fenêtre pour les attaques par force brute et par déni de service sur les points de terminaison RDP exposés
  • Activation authentification unique (SSO) pour les utilisateurs de domaine, améliorant l'expérience utilisateur
  • Améliorer les performances en effectuant l'authentification avant la création de session

Cependant, NLA est sensible aux versions de système d'exploitation, aux correctifs, TLS configuration et santé du domaine. Lorsque l'un de ces prérequis échoue, NLA peut bloquer complètement les connexions valides.

Quels sont les symptômes courants des erreurs NLA dans RDP ?

Les problèmes liés à NLA se présentent généralement avec des messages similaires, quel que soit le problème sous-jacent. Vous êtes probablement confronté à un problème NLA si vous rencontrez :

  • L'ordinateur distant nécessite une authentification au niveau du réseau (NLA), mais votre ordinateur ne la prend pas en charge.
  • Une erreur d'authentification s'est produite. La fonction demandée n'est pas prise en charge.
  • Erreur de remédiation de l'oracle de chiffrement CredSSP.
  • Vos identifiants n'ont pas fonctionné.
  • Délai d'attente ou déconnexions abruptes pendant la poignée de main RDP initiale ou juste après la saisie des identifiants

Ces symptômes peuvent affecter à la fois les hôtes joints au domaine et les hôtes autonomes. En pratique, ils sont souvent liés à des politiques de sécurité incompatibles, à un accès bloqué au contrôleur de domaine ou à des composants RDP obsolètes des deux côtés.

Quelles sont les causes des erreurs NLA dans RDP ?

Comprendre les causes profondes courantes vous aide à résoudre rapidement les problèmes et à éviter des solutions de contournement risquées comme la désactivation permanente de NLA.

  • Incompatibilité entre le système d'exploitation client ou serveur
  • Contrôleur de domaine inaccessible
  • Mise à jour de l'incompatibilité du patch CredSSP
  • Mauvaise configuration de l'encryption TLS ou RDP
  • Conflits de stratégie de groupe ou de registre
  • Profils ou identifiants d'utilisateur corrompus
  • Scénarios de groupe de travail et non-domaine

Incompatibilité entre le système d'exploitation client ou serveur

Les anciennes versions de Windows ou les clients RDP tiers peuvent ne pas prendre en charge pleinement NLA ou le comportement moderne de CredSSP. Par exemple, les anciennes versions de Windows XP ou les premières versions de Vista ne peuvent pas se connecter à des serveurs imposant NLA sans mises à jour spécifiques. Même sur des systèmes pris en charge, des binaires de client RDP obsolètes peuvent provoquer des erreurs « votre ordinateur ne prend pas en charge NLA » malgré le fait que le système d'exploitation le prenne nominalement en charge.

Contrôleur de domaine inaccessible

Dans un environnement joint à un domaine, NLA dépend de l'accès à un contrôleur de domaine pour valider les informations d'identification et maintenir le canal sécurisé de la machine. Si le contrôleur de domaine est hors ligne, bloqué par un pare-feu ou il y a un problème de confiance, l'authentification NLA peut échouer même si le serveur lui-même est opérationnel. Vous verrez souvent des erreurs mentionnant la connectivité du contrôleur de domaine ou des messages génériques "une erreur d'authentification s'est produite".

Mise à jour de l'incompatibilité du patch CredSSP

À partir des mises à jour de 2018 sur la "Remédiation de l'oracle de chiffrement", CredSSP est devenu plus strict sur la manière dont les informations d'identification sont protégées. Si un client a la mise à jour mais que le serveur ne l'a pas (ou vice versa), les deux points de terminaison peuvent ne pas s'accorder sur une configuration sécurisée. Ce décalage peut générer des erreurs de "remédiation de l'oracle de chiffrement CredSSP" et empêcher les connexions NLA jusqu'à ce que les deux côtés soient corrigés ou que la stratégie de groupe soit ajustée.

Mauvaise configuration de l'encryption TLS ou RDP

NLA s'appuie sur la sécurité de la couche de transport (TLS) pour protéger l'échange de crédentiels. Si TLS 1.0/1.1 est désactivé sans activer correctement TLS 1.2, ou si des suites de chiffrement faibles sont appliquées, la négociation entre le client et le serveur peut échouer avant que NLA ne soit terminé. Un durcissement de la sécurité personnalisé, le mode FIPS ou des certificats mal configurés peuvent tous compromettre NLA même si le RDP standard sans NLA peut encore fonctionner dans certaines conditions.

Conflits de stratégie de groupe ou de registre

Les objets de stratégie de groupe (GPO) et les politiques de sécurité locales contrôlent le comportement de RDP, CredSSP et du chiffrement. Des politiques conflictuelles ou trop strictes peuvent imposer NLA dans des scénarios où les clients ne le prennent pas en charge ou nécessitent des algorithmes conformes à FIPS que vos clients ne peuvent pas utiliser. Les remplacements de registre pour SCHANNEL ou CredSSP peuvent introduire des incohérences similaires, entraînant des erreurs génériques telles que "la fonction demandée n'est pas prise en charge".

Profils ou identifiants d'utilisateur corrompus

Parfois, le problème est limité à un seul utilisateur ou à une seule machine. Des informations d'identification mises en cache corrompues, un désalignement Identifiant de sécurité (SID), ou un fichier Default.rdp endommagé peuvent tous interférer avec l'authentification NLA. Dans ces cas, vous pouvez constater qu'un autre utilisateur peut se connecter depuis le même appareil, ou que le même utilisateur peut se connecter depuis un client différent, mais pas les deux ensemble.

Scénarios de groupe de travail et non-domaine

NLA suppose un environnement où les identités des utilisateurs peuvent être fortement authentifiées, généralement via Active Directory. Dans les systèmes de groupe de travail, les comptes locaux doivent être configurés avec soin et doivent avoir l'autorisation de se connecter via Remote Desktop. Si NLA est appliqué mais qu'aucun contrôleur de domaine n'est disponible, ou si les paramètres des comptes locaux sont incorrects, vous êtes susceptible de voir des erreurs liées à NLA même si le serveur semble accessible.

Comment résoudre les erreurs NLA dans RDP ?

Utilisez les étapes suivantes dans l'ordre, de la moins invasive à la plus intrusive. Cette approche aide à restaurer l'accès tout en préservant la sécurité autant que possible.

  • Confirmer le support NLA sur le client et le serveur
  • Vérifier la connectivité au contrôleur de domaine (si applicable)
  • Aligner les niveaux et les politiques de correctif CredSSP
  • Activer et valider les protocoles TLS requis
  • Examiner et ajuster la stratégie de groupe
  • Désactiver temporairement NLA pour récupérer l'accès
  • Réinitialiser le client RDP et la configuration réseau

Confirmer le support NLA sur le client et le serveur

Tout d'abord, assurez-vous que les deux points de terminaison sont capables de NLA.

  • Exécuter winver sur le client et le serveur pour confirmer qu'ils sont Windows Vista / Windows Server 2008 ou ultérieur.
  • Assurez-vous que les dernières mises à jour du client Remote Desktop sont installées (via Windows Update ou l'application Microsoft Remote Desktop sur des plateformes non Windows).
  • Si vous utilisez des clients RDP tiers, vérifiez que le support NLA est explicitement documenté et activé dans les paramètres du client.

Si l'une ou l'autre des parties ne prend pas en charge NLA, prévoyez de mettre à niveau ou de remplacer ce composant plutôt que d'affaiblir la sécurité à l'échelle mondiale.

Vérifier la connectivité au contrôleur de domaine (si applicable)

Sur les machines jointes au domaine, validez la connectivité du domaine avant de modifier les paramètres RDP.

  • Tester la connectivité réseau de base aux contrôleurs de domaine (par exemple, ping dc01.yourdomain.com ).
  • Utiliser nltest /dsgetdc:votredomaine.com pour confirmer que le client peut localiser un contrôleur de domaine.
  • Dans PowerShell, exécutez Test-ComputerSecureChannel pour vérifier le canal sécurisé de la machine vers le domaine.

Si le canal sécurisé est rompu, réparez-le avec : 

Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

Après la réparation, redémarrez la machine si cela est demandé, puis testez à nouveau NLA. Traitez les erreurs de configuration DNS, les règles de pare-feu ou les problèmes de VPN qui pourraient bloquer de manière intermittente l'accès au domaine.

Aligner les niveaux et les politiques de correctif CredSSP

Ensuite, confirmez que le client et le serveur disposent des mises à jour de sécurité actuelles, en particulier celles liées à CredSSP.

  • Installez toutes les mises à jour importantes et de sécurité sur les deux points de terminaison.
  • Vérifiez si la stratégie de groupe a été utilisée pour configurer "Remédiation de l'oracle de chiffrement" sous :
    Configuration de l'ordinateur → Modèles d'administration → Système → Délégation des informations d'identification .

Sur une base temporaire dans un environnement de test, vous pouvez définir la politique sur une valeur plus permissive pour confirmer qu'un paramètre strict est à l'origine de l'échec. En production, la solution à long terme devrait consister à amener tous les systèmes à un niveau de correctif cohérent plutôt que de relâcher la politique de manière permanente.

Activer et valider les protocoles TLS requis

Assurez-vous que TLS 1.2 est pris en charge et activé, car de nombreux environnements désactivent désormais les versions TLS plus anciennes.

Sur Windows Server, vérifiez les paramètres SCHANNEL dans le registre sous : 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Pour le support client TLS 1.2, confirmez que : 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

"Enabled"=dword:00000001

Vous devrez peut-être également ajuster les clés TLS 1.2 côté serveur, puis redémarrer le serveur ou au moins les Services de Bureau à Distance. Confirmez également que le certificat RDP est valide, de confiance et n'utilise pas de signatures obsolètes.

Examiner et ajuster la stratégie de groupe

La stratégie de groupe est souvent l'endroit où l'application de NLA et la configuration de la sécurité RDP sont définies.

Ouvrir gpedit.msc (ou l'objet GPMC équivalent) et naviguez vers :

Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Politiques locales → Options de sécurité

Vérifiez en particulier :

  • Exiger l'authentification de l'utilisateur pour les connexions à distance en utilisant l'authentification au niveau du réseau.
  • Toute politique qui impose des algorithmes conformes à FIPS ou restreint les types de cryptage

Assurez-vous que l'application de NLA correspond à ce que vos clients peuvent gérer. Si vous assouplissez une politique pour rétablir l'accès, documentez le changement et planifiez du temps pour corriger les problèmes sous-jacents des clients au lieu de laisser des paramètres plus faibles en place indéfiniment.

Désactiver temporairement NLA pour récupérer l'accès

Si vous avez perdu tout accès à distance à un serveur critique, désactiver temporairement NLA peut être un dernier recours nécessaire.

Vous pouvez :

  • Démarrez en mode sans échec avec mise en réseau et ajustez les paramètres du Bureau à distance, ou
  • Démarrez à l'aide d'un support de récupération, chargez la ruche du système et modifiez la clé RDP-Tcp dans le registre.

Définir : 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

"UserAuthentication"=dword:00000000

Cela désactive NLA pour l'auditeur RDP. Une fois que vous avez retrouvé l'accès, corrigez la cause profonde (connectivité de domaine, correctifs, TLS ou politiques), puis réactivez NLA en restaurant la valeur à 1. Garder NLA désactivé à long terme augmente considérablement l'exposition aux tentatives de force brute et d'exploitation.

Réinitialiser le client RDP et la configuration réseau

Si les problèmes de NLA semblent isolés à un appareil client spécifique, effectuez une réinitialisation locale avant de modifier la politique du serveur.

  • Supprimer le Default.rdp fichier dans %userprofile%\Documents pour effacer les paramètres mis en cache.
  • Supprimez et réajoutez toutes les informations d'identification enregistrées dans le Gestionnaire d'identifiants Windows.
  • Confirmez que le port TCP 3389 (ou votre port RDP personnalisé) est autorisé à travers les pare-feu locaux et les dispositifs réseau intermédiaires.
  • Test d'un autre client sur le même réseau pour déterminer si le problème est spécifique au client ou plus global.

Cette simple étape d'hygiène résout souvent des problèmes de credentials mis en cache corrompus ou d'options d'affichage et de sécurité mal appliquées dans le client RDP.

Quelles sont les meilleures pratiques pour éviter les erreurs NLA à l'avenir ?

Une fois le problème immédiat résolu, renforcez votre environnement afin que NLA reste à la fois sécurisé et fiable.

  • Gardez les systèmes d'exploitation et les clients RDP à jour
  • Surveiller la santé du domaine et de l'identité
  • Standardiser les politiques RDP et NLA via GPO
  • Activer la journalisation des événements et la surveillance de la sécurité
  • Isoler RDP derrière des points d'entrée sécurisés

Gardez les systèmes d'exploitation et les clients RDP à jour

Maintenez un rythme de mise à jour standard pour les serveurs et les points de terminaison. Alignez-vous sur les versions Windows prises en charge et évitez de laisser des clients plus anciens et non corrigés en production. Des lignes de base de mise à jour cohérentes réduisent les incompatibilités CredSSP et TLS qui cassent souvent NLA.

Surveiller la santé du domaine et de l'identité

Pour les systèmes joints au domaine, considérez la santé du contrôleur de domaine comme faisant partie de votre pile RDP. Utilisez des outils tels que dcdiag , repadmin et les journaux d'événements du contrôleur de domaine pour détecter rapidement les problèmes de réplication ou de DNS. Des pannes de domaine intermittentes peuvent se manifester sous forme de problèmes RDP et NLA longtemps avant que les utilisateurs ne remarquent d'autres symptômes.

Standardiser les politiques RDP et NLA via GPO

Définissez votre RDP chiffrement, application des règles NLA et des politiques CredSSP de manière centralisée. Appliquez-les par unité organisationnelle ou groupe de sécurité en fonction des rôles des appareils, tels que les serveurs de production par rapport aux laboratoires de test. La normalisation réduit l'écart de configuration et rend le dépannage beaucoup plus rapide en cas de problèmes.

Activer la journalisation des événements et la surveillance de la sécurité

Surveiller l'Observateur d'événements sur les hôtes RDP, en particulier :

  • Windows Logs → Sécurité
  • Journaux Windows → Système
  • Applications et journaux de services → Microsoft → Windows → TerminalServices

Corrélez les échecs de connexion répétés, les échecs de poignée de main TLS ou les erreurs CredSSP avec votre SIEM lorsque cela est possible. Cette surveillance aide à distinguer les problèmes de configuration des attaques actives.

Isoler RDP derrière des points d'entrée sécurisés

Même avec NLA, exposer RDP directement à Internet présente un risque élevé. Placez RDP derrière une passerelle sécurisée, un VPN ou un proxy de type ZTNA. Ajoutez MFA lorsque cela est possible. Des outils tels que TSplus Advanced Security peuvent restreindre davantage où, quand et comment les utilisateurs se connectent, réduisant ainsi la probabilité que des incidents liés à NLA atteignent le serveur.

Renforcez la sécurité RDP avec TSplus Advanced Security

NLA ne résout qu'une partie de l'équation des risques RDP. TSplus Advanced Security ajoute des couches supplémentaires de défense autour de vos serveurs Windows et de vos bureaux à distance sans la complexité des piles VDI complètes. Des fonctionnalités telles que la protection dynamique contre les attaques par force brute, les restrictions basées sur l'IP et le pays, les politiques d'heures de travail et les règles d'accès au niveau des applications aident à garder les attaquants à l'extérieur tout en permettant aux utilisateurs légitimes de rester productifs.

Pour les organisations qui s'appuient sur RDP mais souhaitent des contrôles de sécurité plus solides et plus simples, associer NLA avec TSplus Advanced Security offre un moyen pratique de renforcer l'accès à distance et de réduire la charge de travail de réponse aux incidents.

Conclusion

Les erreurs NLA dans RDP sont frustrantes, surtout lorsqu'elles apparaissent sans changements évidents dans l'environnement. En réalité, elles pointent presque toujours vers des problèmes spécifiques dans les versions de l'OS, la connectivité de domaine, le patching CredSSP, la configuration TLS ou les politiques de sécurité. En suivant une liste de contrôle structurée, vous pouvez restaurer un accès sécurisé sans recourir à des solutions de contournement permanentes risquées.

Traitez NLA comme un contrôle de sécurité de base plutôt que comme une fonctionnalité optionnelle. Gardez-le activé, validé et surveillé dans le cadre de votre posture globale d'accès à distance. Lorsque vous devez le désactiver, limitez le rayon d'impact, résolvez le problème sous-jacent et réactivez NLA dès que possible.

Partager :

Facebook Twitter LinkedIn

Votre équipe TSplus

Lecture complémentaire

back to top of the page icon