RDP mrežna razina autentifikacije: Postavljanje, sigurnost i slučajevi upotrebe

Uvod

S prelaskom na hibridni rad i povećanom ovisnošću o pristupu udaljenim radnim površinama, osiguranje sigurnih udaljenih sesija je od najveće važnosti. Protokol udaljene radne površine (RDP), iako praktičan, također je česta meta kibernetičkih napada. Jedna od osnovnih zaštita vašeg RDP-a je NLA. Saznajte više o tome, kako ga omogućiti i, što je najvažnije, kako RDP autentifikacija na razini mreže (NLA) poboljšava. udaljeni pristup sigurnost.

Što je autentikacija na razini mreže?

Ovaj odjeljak će obuhvatiti osnove:

• Definicija NLA
• Razlika između tradicionalnog RDP-a i NLA

Definicija NLA

Autentifikacija na razini mreže (NLA) je sigurnosno poboljšanje za usluge udaljenog radnog stola (RDS). Zahtijeva od korisnika da se autentificiraju prije nego što se stvori sesija udaljenog radnog stola. Tradicionalni RDP dopuštao je učitavanje zaslona za prijavu prije provjere vjerodajnica, čime se server izlagao pokušajima napada silom. NLA premješta tu provjeru na sam početak procesa pregovaranja o sesiji.

Razlika između tradicionalnog RDP-a i NLA

Značajka	Goli RDP, bez NLA	RDP s omogućenom NLA
Autentifikacija se odvija	Nakon što sesija započne	Prije nego što sesija započne
Izloženost poslužitelja	Visoka (Ukupno)	Minimalno
Zaštita od napada silom	Ograničeno	Snažan
SSO podrška	Ne	Da

Kako radi NLA

NLA koristi sigurne protokole i slojevitu validaciju za zaštitu vašeg poslužitelja promjenom kada i kako autentifikacija se događa. Evo pregleda procesa povezivanja:

1. Početni zahtjev: Korisnik pokreće vezu putem RDP klijenta.
2. Provjera vjerodajnica: Prije nego što sesija započne, klijent koristi Credential Security Support Provider (CredSSP) za sigurno prosljeđivanje vjerodajnica.
3. Sigurna uspostava sesije: Ako su vjerodajnice valjane, stvara se sigurna sesija koristeći TLS ili SSL, šifrirajući svu komunikaciju.
4. Pokretanje radne sesije: Samo nakon što je korisnik autentificiran, započinje puna RDP sesija.

Koja je razlika koju je NLA napravio ovdje?

Razmotrimo što aktivacija NLA mijenja u zahtjevima za RDP vezu.

Nepouzdane veze započinju bez NLA:

• RDP poslužitelj učitava ekran za prijavu prije provjera vjerodajnica.
• To znači bilo tko može otvoriti prozor sesije, čak i napadači.
• Poslužitelj koristi svoje resurse za prikazivanje sučelja za prijavu, čak i za neovlaštene korisnike.

Sigurne veze započinju s NLA:

S NLA-om, korak 2 iznad postao je kritičan.

• Prije sesije, čak i prije nego što se prikaže grafičko prijavni ekran, RDP klijent mora pružiti valjane vjerodajnice putem CredSSP (čitajte dalje za detalje).
• Ako su vjerodajnice nevažeće, veza se odmah odbija, tako da poslužitelj nikada ne učitava sučelje sesije.

Posljedično, NLA učinkovito "premješta" korak autentifikacije na mrežni sloj (zato i naziv) prije RDP inicijalizira okruženje udaljenog radnog stola. S druge strane, NLA koristi Podrška za sučelje pružatelja sigurnosti sustava Windows (SSPI) uključujući CredSSP, za besprijekornu integraciju s autentifikacijom domene.

Zašto je autentifikacija na razini mreže važna?

RDP je bio vektor u nekoliko visokoprofilnih napada ransomwarea. NLA je ključan za zaštita udaljenih radnih okruženja od raznih sigurnosnih prijetnji. Sprječava neovlaštene korisnike da čak i započnu udaljenu sesiju, čime se smanjuju rizici poput napada silom, napada uskraćivanja usluge i daljinskog izvršavanja koda.

Evo brzog pregleda sigurnosnih rizika RDP-a bez NLA-a:

• Napadi brute force na izložene ekranima za prijavu
• Napad uskraćivanja usluge (DoS) iz neautentificiranih veza
• Ranljive točke za daljinsko izvršavanje koda (RCE)
• Kredencijalno punjenje korištenjem provaljenih korisničkih imena/lozinki

Omogućavanje NLA je jednostavan, ali učinkovit način za minimiziranje ovih prijetnji.

Koje su prednosti omogućavanja NLA?

Autentifikacija na razini mreže nudi prednosti u sigurnosti i performansama. Evo što dobivate:

• Jača autentifikacija
• Što je CredSSP?
• Smanjena površina napada
• Obrana od Brute Force-a
• Kompatibilnost SSO
• Bolja izvedba poslužitelja
• Spreman za usklađenost

Jača autentifikacija

Autentifikacija na razini mreže zahtijeva od korisnika da potvrde svoj identitet prije nego što bilo koja sesija udaljenog radnog stola započne. Ova provjera na prvoj liniji se provodi korištenjem sigurnih protokola poput CredSSP i TLS, osiguravajući da samo ovlašteni korisnici dođu do prozora za prijavu. Provodnjom ovog ranog koraka, NLA drastično smanjuje rizik od upada putem ukradenih ili pogodjenih vjerodajnica.

Što je CredSSP?

Kao pružatelj sigurnosne podrške, protokol za podršku sigurnosti vjerodajnica (CredSSP) omogućuje aplikaciji da delegira korisničke vjerodajnice s klijenta na ciljni poslužitelj za daljinsku autentifikaciju.

Ova vrsta ranog verifikacije usklađena je s najboljim praksama kibernetičke sigurnosti koje preporučuju organizacije poput Microsofta i NIST-a, posebno u okruženjima gdje su uključeni osjetljivi podaci ili infrastruktura.

Smanjena površina napada

Bez NLA, RDP prijavni sučelje je javno dostupno, što ga čini lakim metom za automatske skenove i alate za iskorištavanje. Kada je NLA omogućeno, to sučelje je skriveno iza sloja autentifikacije, što značajno smanjuje vidljivost vašeg RDP poslužitelja na mreži ili internetu.

Ovo "nevidljivo-po-pretpostavci" ponašanje usklađuje se s načelom minimalne izloženosti, što je ključno u obrani od zero-day ranjivosti ili napada punjenja vjerodajnica.

Obrana od Brute Force-a

Napadi brute-force rade tako da neprekidno pogađaju kombinacije korisničkog imena i lozinke. Ako je RDP izložen bez NLA, napadači mogu neprekidno pokušavati, koristeći alate za automatizaciju tisuća pokušaja prijave. NLA to blokira zahtijevajući valjane vjerodajnice unaprijed, tako da neautentificirane sesije nikada ne mogu napredovati.

To ne samo da neutralizira uobičajenu metodu napada, već također pomaže u sprječavanju zaključavanja računa ili prekomjernog opterećenja sustava za autentifikaciju.

Kompatibilnost SSO

NLA podržava NT Jedinstveno prijavljivanje (SSO) u okruženjima Active Directory. SSO poboljšava radne procese i smanjuje trenje za krajnje korisnike tako što omogućujući im prijavu na više aplikacija i web stranica s jednokratnom autentifikacijom.

Za IT administratore, integracija SSO pojednostavljuje upravljanje identitetom i smanjuje broj zahtjeva na help desku vezanih uz zaboravljene lozinke ili ponovljena prijavljivanja, posebno u poslovnim okruženjima s strogim politikama pristupa.

Bolja izvedba poslužitelja

Bez NLA, svaki pokušaj povezivanja (čak i od neautentificiranog korisnika) može učitati grafičko sučelje za prijavu, trošeći sistemsku memoriju, CPU i propusnost. NLA eliminira ovaj dodatni teret zahtijevajući valjane vjerodajnice prije inicijalizacije sesije.

Kao rezultat, poslužitelji rade učinkovitije, sesije se učitavaju brže, a legitimni korisnici doživljavaju bolju odzivnost, posebno u okruženjima s mnogo istovremenih RDP veza.

Spreman za usklađenost

Moderni okviri usklađenosti (kao što su GDPR, HIPAA, ISO 27001, …) zahtijevaju sigurnu autentifikaciju korisnika i kontrolirani pristup osjetljivim sustavima. NLA pomaže u ispunjavanju ovih zahtjeva provodeći validaciju vjerodajnica u ranoj fazi i minimizirajući izloženost prijetnjama.

Implementacijom NLA, organizacije pokazuju proaktivan pristup kontroli pristupa, zaštiti podataka i spremnosti na reviziju, što može biti ključno tijekom regulatornih pregleda ili sigurnosnih revizija.

Kako omogućiti autentifikaciju na razini mreže?

Omogućavanje NLA je jednostavan proces koji se može postići putem različitih metoda. Ovdje navodimo korake za omogućavanje NLA putem postavki udaljenog radnog stola i postavki sustava i sigurnosti.

• Postavke sustava Windows
• Panel za upravljanje
• Uređivač grupnih politika

Metoda 1: Omogućavanje NLA putem Windows postavki

1.        Pritisnite Win + I za otvaranje Postavki

2.        Idite na Sustav > Udaljena radna površina

3.        Uključi omogućavanje udaljenog radnog stola

4.        Kliknite na Napredne postavke

5.        Provjerite "Zatraži od računala da koriste autentifikaciju na razini mreže"

Metoda 2: Omogućavanje NLA putem Upravljačke ploče

1.        Otvorite Upravljačku ploču > Sustav i sigurnost > Sustav

2.        Kliknite Dopusti Remote Access

3.        Pod karticom Remote, provjerite:
Dopustite udaljene veze samo s računala koja koriste NLA (preporučeno)

Metoda 3: Uređivač grupnih politika

1.        Pritisnite Win + R, upišite gpedit.msc

2.        Idite na:
Konfiguracija računala > Administratorske predloške > Komponente sustava Windows > Usluge udaljenog radnog prostora > RDSH > Sigurnost

Postavite "Zahtevajte autentifikaciju korisnika za udaljene veze korišćenjem NLA" na Omogućeno

Kako onemogućiti autentifikaciju na razini mreže?

Iako onemogućavanje NLA obično nije preporučljivo zbog sigurnosnih rizika, mogu postojati specifični scenariji u kojima je to potrebno: naslijeđeni sustavi bez podrške za CredSSP, rješavanje problema s RDP-om i nekompatibilnosti s klijentima trećih strana. Evo metoda za onemogućavanje NLA:

• Svojstva sustava
• Uređivač registra
• Uređivač grupnih politika

Metoda 1: Korištenje Svojstava sustava

Onemogućavanje NLA putem Svojstava sustava je izravna metoda koja se može obaviti putem Windows sučelja.

Vodič korak po korak u Syst Prop

1. Otvori dijaloški okvir Pokreni: Pritisni Win + R remote desktop software [type] sysdm.cpl Dobrodošli na našu stranicu softverskih proizvoda. istražite naš širok raspon rješenja za potrebe vašeg poslovanja.
2. Pristup udaljenim postavkama: U prozoru "Svojstva sustava" idite na karticu "Udaljeno".
3. Onemogući NLA: Odznačite opciju "Dopusti veze samo s računala koja pokreću udaljenu radnu površinu s mrežnom autentifikacijom na razini mreže (preporučeno)".

Rizici i razmatranja

Povećana ranjivost:

Onemogućavanje NLA uklanja autentifikaciju prije sesije, izlažući mrežu potencijalnom neovlaštenom pristupu i raznim kibernetske prijetnje .

Preporuka:

Preporučuje se onemogućiti NLA samo kada je to apsolutno potrebno i implementirati dodatne sigurnosne mjere kako bi se nadoknadila smanjena zaštita.

Metoda 2: Korištenje Uređivača registra

Onemogućite NLA putem Uređivača registra kako biste omogućili napredniji i ručni pristup.

Vodič korak po korak u RegEdit

1. Otvorite Uređivač registra: Pritisnite Win + R remote desktop software [type] regedit Dobrodošli na našu stranicu softverskih proizvoda. istražite naš širok raspon rješenja za potrebe vašeg poslovanja.
2. Navigirajte do ključa: Idite na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
3. Izmijenite vrijednosti "Sigurnosni sloj" i "Korisnička autentikacija" u 0 onemogućiti NLA.
4. Ponovno pokrenite sustav: Ponovno pokrenite sustav kako bi promjene stupile na snagu.

Rizici i razmatranja

Ručno konfiguriranje:

Uređivanje registra zahtijeva pažnju, jer netočne promjene mogu dovesti do nestabilnosti sustava ili sigurnosnih ranjivosti.

Sigurnosna kopija:

Uvijek napravite sigurnosnu kopiju registra prije nego što izvršite promjene kako biste osigurali da možete vratiti sustav u prethodno stanje ako zatreba.

Metoda 3: Korištenje urednika grupne politike

Za okoline koje se upravljaju putem Grupne politike, onemogućavanje NLA može se centralno kontrolirati putem Uređivača grupe politike.

Vodič korak po korak u GPEditu

1.        Otvorite Uređivač grupnih politika: Pritisnite Win + R remote desktop software [type] gpedit.msc Dobrodošli na našu stranicu softverskih proizvoda. istražite naš širok raspon rješenja za potrebe vašeg poslovanja.

2.        Idite na Postavke sigurnosti: Idite na Konfiguraciju računala -> Administrativne predloške -> Komponente sustava Windows -> Usluge udaljenog radnog površine -> Host sesije udaljenog radnog površine -> Sigurnost.

3.        Onemogući NLA: Pronađite politiku pod nazivom "Zatraži autentifikaciju korisnika za udaljene veze korištenjem autentifikacije na razini mreže" i postavite je na "Onemogućeno."

Rizici i razmatranja

Centralizirano upravljanje: Onemogućavanje NLA putem Grupne politike utječe na sve upravljane sustave, potencijalno povećavajući sigurnosni rizik diljem mreže.

Politika Posljedice: Osigurajte da onemogućavanje NLA-a usklađuje s sigurnosnim politikama organizacije i da su na snazi alternativne sigurnosne mjere.

Kako poboljšati svoju sigurnost s TSplus

TSplus potpuno podržava NLA Autentifikacija na razini mreže za osiguranje pristupa udaljenom radnom površinom od početka svake sesije. Povećava sigurnost RDP-a s naprednim značajkama kao što su dvofaktorska autentifikacija (2FA), filtriranje IP-a, zaštita od napada silom i kontrola pristupa aplikacijama, stvarajući robusni, višeslojni sustav obrane.

S sada. TSplus administratori stječu centraliziranu kontrolu putem jednostavne web konzole, osiguravajući siguran, učinkovit i skalabilan Remote Access. To je idealno rješenje za organizacije koje žele ići dalje od standardne RDP sigurnosti bez dodatne složenosti ili troškova licenciranja.

Zaključak

Autentifikacija na razini mreže (NLA) je dokazani način osiguravanja RDP veza za daljinski pristup kroz provođenje provjere korisnika prije sesije. U današnjem okruženju koje se prvenstveno oslanja na daljinski rad, omogućavanje NLA trebala bi biti standardna mjera za sve organizacije koje koriste RDP. Kada se kombinira s proširenim značajkama koje nude alati poput TSplus, pruža pouzdanu osnovu za sigurno i učinkovito objavljivanje aplikacija.