Souhaitez-vous voir le site dans une autre langue ?
TSPLUS BLOG
L'authentification au niveau du réseau (NLA) est une fonctionnalité de sécurité RDP clé qui exige que les utilisateurs s'authentifient avant qu'une session à distance ne commence. Elle protège contre l'accès non autorisé, les attaques par force brute et les exploits en validant les identifiants tôt dans le processus de connexion. Cet article couvre le fonctionnement de la NLA, ses avantages, quand l'activer ou la désactiver et comment TSplus renforce les environnements RDP en intégrant la NLA avec des couches de protection supplémentaires comme 2FA, le filtrage IP et le contrôle d'accès centralisé.
)
Avec le passage au travail hybride et la dépendance accrue à l'accès à distance, garantir des sessions à distance sécurisées est primordial. Le protocole de bureau à distance (RDP), bien que pratique, est également une cible fréquente pour les cyberattaques. L'une des protections de base de votre RDP est NLA. Découvrez-le, comment l'activer et surtout comment l'authentification au niveau réseau RDP (NLA) améliore. remote access sécurité.
Cette section couvrira les bases :
L'authentification au niveau du réseau (NLA) est une amélioration de la sécurité pour les services de bureau à distance (RDS). Elle exige que les utilisateurs s'authentifient avant qu'une session de bureau à distance ne soit créée. Le RDP traditionnel permettait à l'écran de connexion de se charger avant de vérifier les identifiants, exposant ainsi le serveur à des tentatives de force brute. Le NLA déplace cette validation au tout début du processus de négociation de session.
| Fonctionnalité | Bare RDP, sans NLA | RDP avec NLA activé |
|---|---|---|
| L'authentification a lieu | Après le début de la session | Avant le début de la session |
| Exposition du serveur | Haute (Totale) | Minimal |
| Protection contre les attaques par force brute | Limité | Forte |
| Support SSO | Non | Oui |
NLA utilise des protocoles sécurisés et une validation en couches pour protéger votre serveur en changeant quand et comment l'authentification se produit. Voici le détail du processus de connexion :
Décomposons ce que l'activation de NLA change aux demandes de connexion RDP.
Avec NLA, l'étape 2 ci-dessus est devenue critique.
Par conséquent, NLA "déplace" effectivement l'étape d'authentification vers le couche réseau (d'où le nom) avant RDP initialise l'environnement de bureau à distance. À son tour, NLA utilise Interface de fournisseur de support de sécurité Windows (SSPI) , y compris CredSSP, pour s'intégrer parfaitement à l'authentification de domaine.
RDP a été un vecteur dans plusieurs attaques de ransomware très médiatisées. NLA est essentiel pour protéger les environnements de bureau à distance des menaces de sécurité variées. Il empêche les utilisateurs non autorisés d'initier même une session à distance, atténuant ainsi les risques tels que les attaques par force brute, les attaques par déni de service et l'exécution de code à distance.
Voici un résumé rapide des risques de sécurité RDP sans NLA :
Activer NLA est un moyen simple mais efficace de minimiser ces menaces.
L'authentification au niveau du réseau offre à la fois des avantages en matière de sécurité et de performance. Voici ce que vous gagnez :
L'authentification au niveau du réseau exige que les utilisateurs vérifient leur identité avant le début de toute session de bureau à distance. Cette validation de première ligne est effectuée à l'aide de protocoles sécurisés tels que CredSSP et TLS, garantissant que seuls les utilisateurs autorisés atteignent même l'invite de connexion. En imposant cette étape précoce, l'NLA réduit considérablement le risque d'intrusion par le biais de données d'identification volées ou devinées.
En tant que fournisseur de support de sécurité, le protocole de fournisseur de support de sécurité des informations d'identification (CredSSP) permet à une application de déléguer les informations d'identification de l'utilisateur du client au serveur cible pour l'authentification à distance.
Ce type de vérification précoce est aligné avec les meilleures pratiques en matière de cybersécurité recommandées par des organisations comme Microsoft et NIST, en particulier dans des environnements où des données sensibles ou des infrastructures sont impliquées.
Sans NLA, l'interface de connexion RDP est accessible au public, ce qui en fait une cible facile pour les analyses automatisées et les outils d'exploitation. Lorsque NLA est activé, cette interface est cachée derrière la couche d'authentification, réduisant considérablement la visibilité de votre serveur RDP sur le réseau ou Internet.
Ce comportement "invisible par défaut" s'aligne sur le principe de la moindre exposition, qui est crucial pour se défendre contre les vulnérabilités de type zero-day ou les attaques par bourrage d'identifiants.
Les attaques par force brute fonctionnent en devinant de manière répétée les combinaisons de noms d'utilisateur et de mots de passe. Si RDP est exposé sans NLA, les attaquants peuvent continuer à essayer indéfiniment, en utilisant des outils pour automatiser des milliers de tentatives de connexion. NLA bloque cela en exigeant des identifiants valides à l'avance, de sorte que les sessions non authentifiées ne sont jamais autorisées à progresser.
Cela neutralise non seulement une méthode d'attaque courante, mais aide également à prévenir les verrouillages de compte ou une charge excessive sur les systèmes d'authentification.
NLA prend en charge l'authentification unique NT (SSO) dans les environnements Active Directory. SSO rationalise les flux de travail et réduit les frictions pour les utilisateurs finaux en leur permettant de se connecter à plusieurs applications et sites web avec une authentification unique.
Pour les administrateurs informatiques, l'intégration SSO simplifie la gestion des identités et réduit les tickets d'assistance liés aux mots de passe oubliés ou aux connexions répétées, en particulier dans les environnements d'entreprise avec des politiques d'accès strictes.
Sans NLA, chaque tentative de connexion (même d'un utilisateur non authentifié) peut charger l'interface de connexion graphique, consommant de la mémoire système, du CPU et de la bande passante. NLA élimine cette surcharge en exigeant des identifiants valides avant d'initialiser la session.
En conséquence, les serveurs fonctionnent plus efficacement, les sessions se chargent plus rapidement et les utilisateurs légitimes bénéficient d'une meilleure réactivité, en particulier dans les environnements avec de nombreuses connexions RDP simultanées.
Les cadres de conformité modernes (tels que le RGPD, HIPAA, ISO 27001, …) exigent une authentification sécurisée des utilisateurs et un accès contrôlé aux systèmes sensibles. NLA aide à répondre à ces exigences en appliquant une validation des identifiants à un stade précoce et en minimisant l'exposition aux menaces.
En mettant en œuvre NLA, les organisations démontrent une approche proactive du contrôle d'accès, de la protection des données et de la préparation aux audits, ce qui peut être crucial lors des examens réglementaires ou des audits de sécurité.
Activer NLA est un processus simple qui peut être accompli par diverses méthodes. Ici, nous détaillons les étapes pour activer NLA via les paramètres du Bureau à distance et les paramètres du Système et de la Sécurité.
1. Appuyez sur Win + I pour ouvrir les Paramètres
2. Allez dans Système > Accès à distance
3. Activer le Bureau à distance
4. Cliquez sur Paramètres avancés
5. Vérifiez "Exiger que les ordinateurs utilisent l'authentification au niveau du réseau"
1. Ouvrir le Panneau de configuration > Système et sécurité > Système
2. Cliquez sur Autoriser l'accès à distance
3. Sous l'onglet Remote, vérifiez :
Autoriser les connexions à distance uniquement à partir d'ordinateurs exécutant NLA (recommandé)
1. Appuyez sur Win + R, tapez gpedit.msc
2. Accédez à :
Configuration de l'ordinateur > Modèles d'administration > Composants Windows > Services de bureau à distance > RDSH > Sécurité
3. Définir "Exiger l'authentification de l'utilisateur pour les connexions à distance en utilisant NLA" sur Activé
Bien que la désactivation de NLA ne soit généralement pas recommandée en raison des risques de sécurité, il peut y avoir des scénarios spécifiques où cela est nécessaire : systèmes hérités sans support CredSSP, dépannage des échecs RDP et incompatibilités avec des clients tiers. Voici des méthodes pour désactiver NLA :
Désactiver NLA via les propriétés du système est une méthode directe qui peut être effectuée via l'interface Windows.
Win + R
Type
sysdm.cpl
Welcome to our website where you can find a wide range of software products for your business needs.
Vulnérabilité accrue :
Désactiver NLA supprime l'authentification pré-session, exposant le réseau à un accès non autorisé potentiel et divers. menaces cybernétiques .
Recommandation :
Il est conseillé de désactiver NLA uniquement lorsque cela est absolument nécessaire et de mettre en œuvre des mesures de sécurité supplémentaires pour compenser la protection réduite.
Désactivez NLA via l'Éditeur de registre, pour fournir une approche plus avancée et manuelle.
Win + R
Type
regedit
Welcome to our website where you can find a wide range of software products for your business needs.
0
désactiver NLA.
Configuration manuelle :
Modifier le registre nécessite une attention particulière, car des modifications incorrectes peuvent entraîner une instabilité du système ou des vulnérabilités de sécurité.
Sauvegarde :
Sauvegardez toujours le registre avant d'apporter des modifications pour vous assurer que vous pouvez restaurer le système à son état précédent si nécessaire.
Pour les environnements gérés via la stratégie de groupe, la désactivation de NLA peut être contrôlée de manière centralisée via l'Éditeur de stratégie de groupe.
1. Ouvrez l'Éditeur de stratégie de groupe : Appuyez
Win + R
Type
gpedit.msc
Welcome to our website where you can find a wide range of software products for your business needs.
2. Accédez aux paramètres de sécurité : Allez dans Configuration de l'ordinateur -> Modèles d'administration -> Composants Windows -> Services de bureau à distance -> Hôte de session de bureau à distance -> Sécurité.
3. Désactiver NLA : Trouvez la stratégie nommée "Exiger l'authentification de l'utilisateur pour les connexions à distance en utilisant l'authentification au niveau réseau" et définissez-la sur "Désactivé."
Gestion centralisée : La désactivation de NLA via la stratégie de groupe affecte tous les systèmes gérés, augmentant potentiellement le risque de sécurité sur l'ensemble du réseau.
Implications politiques : Assurez-vous que la désactivation de NLA est conforme aux politiques de sécurité de l'organisation et que des mesures de sécurité alternatives sont en place.
TSplus prend en charge NLA dans son intégralité Authentification au niveau du réseau pour sécuriser l'accès au bureau à distance dès le début de chaque session. Elle améliore la sécurité RDP native avec des fonctionnalités avancées telles que l'authentification à deux facteurs (2FA), le filtrage IP, la protection contre les attaques par force brute et le contrôle d'accès aux applications, créant ainsi un système de défense robuste et multicouche.
Avec TSplus les administrateurs obtiennent un contrôle centralisé via une simple console web, garantissant un accès à distance sécurisé, efficace et évolutif. C'est une solution idéale pour les organisations cherchant à aller au-delà de la sécurité RDP standard sans complexité ou coûts de licence supplémentaires.
L'authentification au niveau du réseau est un moyen éprouvé de sécuriser les connexions RDP pour l'accès à distance en imposant une vérification de l'utilisateur avant la session. Dans le paysage actuel axé sur le télétravail, activer NLA devrait être une étape par défaut pour toutes les organisations utilisant RDP. Lorsqu'elle est combinée avec les fonctionnalités étendues offertes par des outils comme TSplus, elle fournit une base fiable pour la publication d'applications sécurisées et efficaces.
Essai gratuit de TSplus Remote Access
Alternative ultime à Citrix/RDS pour l'accès aux applications et aux postes de travail. Sécurisé, rentable, sur site/cloud.
Votre équipe TSplus
Solutions d'accès à distance simples, robustes et abordables pour les professionnels de l'informatique.
La boîte à outils ultime pour mieux servir vos clients Microsoft RDS.
Contactez-nous
Articles connexes
)
Dans cet article technique, nous allons expliquer comment configurer RDP via le Registre Windows, à la fois localement et à distance. Nous aborderons également les alternatives PowerShell, la configuration du pare-feu et les considérations de sécurité.
)
Cet article propose des méthodes complètes et techniquement précises pour changer ou réinitialiser des mots de passe via le protocole de bureau à distance (RDP), garantissant la compatibilité avec les environnements de domaine et locaux, et s'adaptant à la fois aux flux de travail interactifs et administratifs.
)
Découvrez comment le logiciel en tant que service (SaaS) transforme les opérations commerciales. Apprenez-en davantage sur ses avantages, ses cas d'utilisation courants et comment TSplus Remote Access s'aligne sur les principes du SaaS pour améliorer les solutions de travail à distance.
)
Découvrez dans cet article ce qu'est le logiciel RDP Remote Desktop, comment il fonctionne, ses principales caractéristiques, ses avantages, ses cas d'utilisation et les meilleures pratiques en matière de sécurité.
