RDP Autentifikacija na razini mreže

Što je autentikacija na razini mreže (NLA)?

Mrežna razina autentikacije (NLA) je sigurnosna značajka integrirana u usluge udaljenog radnog stola (RDS) i protokol udaljenog radnog stola (RDP). Zahtijeva od korisnika da se autenticiraju prije uspostave sesije udaljenog radnog stola, pružajući dodatni sloj sigurnosti. Za razliku od tradicionalnih RDP veza, gdje se prije autentikacije učitava zaslon za prijavu, NLA osigurava da se vjerodajnice provjere prije pokretanja veze. Ovaj "prednji način autentikacije" pomaže u zaštiti od neovlaštenog pristupa i potencijalnih cyber napada.

Kako radi NLA

NLA poboljšava sigurnost zahtijevajući korisnicima da autenticiraju svoje vjerodajnice prije nego što se stvori udaljena sesija. Evo detaljnijeg tehničkog opisa:

• Zahtjev za početnu vezu: Kada korisnik pokuša povezati se s udaljenim radnim stolom, RDP klijent šalje zahtjev za vezu poslužitelju.
• Provjera vjerodajnica: Prije potpune uspostave veze, poslužitelj traži korisničke vjerodajnice. Klijent RDP-a koristi pružatelja podrške za sigurnost vjerodajnica (CredSSP) za sigurno prijenos tih vjerodajnica.
• Uspostava sigurnog kanala: Ako su vjerodajnice valjane, uspostavlja se siguran kanal korištenjem protokola poput TLS-a ili SSL-a, osiguravajući da su podaci koji se prenose tijekom sesije šifrirani i zaštićeni od presretanja.

Povijesni kontekst i evolucija

NLA je prvi put predstavljena s RDP 6.0, početno podržana u sustavu Windows Vista i kasnijim verzijama. Koristi protokol CredSSP, koji je bio dostupan putem sučelja za podršku sigurnosti (SSPI) u sustavu Windows Vista. Ovaj protokol osigurava sigurnu prijenos vjerodajnica s klijenta na poslužitelj, poboljšavajući ukupnu sigurnost.

Važnost NLA

NLA je ključna za zaštitu udaljenih radnih okruženja od različitih sigurnosnih prijetnji. Sprječava neovlaštene korisnike da čak i pokrenu udaljenu sesiju, čime se smanjuju rizici poput napada grubom silom, napada uskraćivanjem usluge i izvršavanja udaljenog koda.

Prednosti omogućavanja NLA

Implementiranje autentikacije na razini mreže nudi nekoliko prednosti koje mogu značajno poboljšati sigurnost i učinkovitost udaljenih radnih veza.

Poboljšana sigurnost

NLA osigurava da samo autenticirani korisnici mogu uspostaviti udaljene sesije, smanjujući rizik neovlaštenog pristupa. Ovaj mehanizam prethodne autentifikacije minimizira potencijal za cyber napade, poput napada brute force, gdje napadači ponavljaju pokušaje različitih kombinacija vjerodajnica kako bi dobili pristup.

• Sprječava neovlašteni pristup: Zahtijevajući autentikaciju prije uspostavljanja sesije, NLA osigurava da se mogu povezati samo legitimni korisnici, čime se štite osjetljivi podaci i sustavi.
• Smanjuje izloženost prijetnjama: Budući da poslužitelj provjerava vjerodajnice prije uspostave sesije, smanjuje se rizik od izloženosti raznim prijetnjama koje iskorištavaju početnu fazu veze.

Zaštita od cyber napada

Zahtjevom za provjerom autentičnosti prije početka sesije, NLA smanjuje rizik od uobičajenih ranjivosti RDP-a, uključujući napade uskraćivanjem usluge (DoS) i izvršavanje udaljenog koda. Napadi DoS-a mogu preopteretiti mrežu s prekomjernim zahtjevima, dok izvršavanje udaljenog koda omogućuje napadačima pokretanje zlonamjernog koda na ciljnom računalu.

• Smanjuje DoS napade: Provjerom korisnika prije stvaranja sesije, NLA sprječava neovlaštene zahtjeve koji troše resurse poslužitelja, čime se smanjuju DoS napadi.
• Sprječava izvršenje udaljenog koda: Budući da je potrebna autentikacija unaprijed, vjerojatnost zloupotrebe izvršenja udaljenog koda tijekom faze pokretanja sesije značajno je smanjena.

Učinkovita iskorištenost resursa

NLA pomaže u štednji resursa poslužitelja sprječavanjem neovlaštenih veza učitavanjem zaslona za prijavu. Ovaj učinkovit način korištenja resursa osigurava da se kapacitet poslužitelja dodjeljuje legitimnim korisnicima, poboljšavajući ukupnu mrežnu izvedbu.

• Smanjuje opterećenje poslužitelja: Izbjegavanjem nepotrebnog učitavanja zaslona za prijavu za neautenticirane korisnike, NLA optimizira performanse poslužitelja.
• Poboljšava učinkovitost mreže: Osiguravanje da samo autenticirani korisnici mogu pokrenuti sesije pomaže održati optimalnu propusnost mreže i vrijeme odziva poslužitelja.

Mogućnost jednostavnog prijavljivanja (SSO)

NLA podržava NT jednostruko prijavljivanje (SSO), pojednostavljujući proces autentifikacije za korisnike. Ova značajka omogućuje korisnicima da se jednom autentificiraju i pristupe više usluga bez ponovnog unosa svojih podataka za prijavu, optimizirajući korisničko iskustvo i administrativne troškove.

• Optimizira korisničku autentikaciju: Integracija SSO-a s NLA omogućuje korisnicima besprijekoran pristup više resursa s jednim setom vjerodajnica.
• Smanjuje administrativne troškove: Pojednostavljeno upravljanje vjerodajnicama putem SSO-a smanjuje teret na IT administratorima i poboljšava opću sigurnost.

Kako omogućiti autentikaciju na razini mreže

Omogućavanje NLA je jednostavan proces koji se može postići putem različitih metoda. Ovdje navodimo korake za omogućavanje NLA putem postavki udaljenog radnog stola i postavki sustava i sigurnosti.

Metoda 1: Omogućavanje NLA putem postavki udaljenog radnog stola

Ovom metodom pruža se jednostavan pristup osiguravanju udaljenih veza s NLA putem izbornika Postavke sustava Windows.

Vodič korak po korak

1. Otvorite postavke sustava Windows: Pritisnite Win + I pristupiti izborniku Postavke sustava Windows.
2. Idite na Postavke sustava: Odaberite "Sustav" iz izbornika postavki.
3. Omogući udaljeni rad: Kliknite na "Udaljeni rad" u lijevom oknu i prebacite prekidač "Omogući udaljeni rad".
4. Napredne postavke: Kliknite na "Napredne postavke" i označite opciju "Zahtijevajte računalima korištenje mrežne razine provjere autentičnosti za povezivanje (preporučeno)."

Prednosti korištenja postavki udaljenog radnog stola

Korisničko sučelje: Windows Postavke pružaju grafičko korisničko sučelje, čineći korisnicima lakše omogućavanje NLA-e bez dubljeg ulaska u složenije konfiguracije.

Brzi pristup: Koraci su jednostavni i mogu se završiti za nekoliko minuta, osiguravajući minimalne prekide u radu.

Metoda 2: Omogućavanje NLA putem postavki sustava i sigurnosti

Alternativna metoda za aktiviranje NLA uključuje korištenje postavki Sustava i sigurnosti u Kontrolnoj ploči.

Vodič korak po korak

1. Otvorite upravljačku ploču: Potražite "Upravljačku ploču" u traci za pretraživanje sustava Windows i otvorite je.
2. Sustav i sigurnost: Idite na "Sustav i sigurnost" i odaberite "Sustav".
3. Omogući udaljeni pristup: Kliknite na "Omogući udaljeni pristup" na lijevoj strani zaslona.
4. Omogući NLA: Na kartici "Udaljeno", označite okvir naznačen "Dopusti udaljene veze samo s računala koja pokreću udaljenu radnu površinu s mrežnom autentifikacijom (preporučeno)."

Prednosti korištenja postavki sustava i sigurnosti

Sveobuhvatna konfiguracija: Pristupanje NLA putem upravljačke ploče omogućuje detaljnije postavke konfiguracije, pružajući veću kontrolu nad politikama udaljenog pristupa.

Podrška za starije verzije: Ova metoda je korisna za sustave koji možda ne podržavaju najnovije postavke sučelja sustava Windows, osiguravajući širu kompatibilnost.

Kako onemogućiti autentikaciju na razini mreže

Iako se općenito ne preporučuje onemogućavanje NLA zbog sigurnosnih rizika, mogu postojati specifični scenariji u kojima je to potrebno. Evo metoda za onemogućavanje NLA:

Metoda 1: Korištenje Svojstava sustava

Onemogućavanje NLA putem Svojstava sustava je izravna metoda koja se može obaviti putem Windows sučelja.

Vodič korak po korak

1. Otvori dijaloški okvir Pokreni: Pritisni Win + R remote desktop software [type] sysdm.cpl Dobrodošli na našu stranicu softverskih proizvoda. istražite naš širok raspon rješenja za potrebe vašeg poslovanja.
2. Pristup udaljenim postavkama: U prozoru "Svojstva sustava" idite na karticu "Udaljeno".
3. Onemogući NLA: Odznačite opciju "Dopusti veze samo s računala koja pokreću udaljenu radnu površinu s mrežnom autentifikacijom na razini mreže (preporučeno)".

Rizici i razmatranja

Povećana ranjivost: Onemogućavanje NLA uklanja pre-sesiju autentifikacije, izlažući mrežu potencijalnom neovlaštenom pristupu i raznim cyber prijetnjama.

Preporuka: Preporučuje se onemogućavanje NLA samo kada je apsolutno potrebno i implementiranje dodatnih sigurnosnih mjera kako bi se nadoknadio smanjeni zaštita.

Metoda 2: Korištenje Uređivača registra

Onemogućavanje NLA putem Uređivača registra pruža napredniji i ručni pristup.

Vodič korak po korak

1. Otvorite Uređivač registra: Pritisnite Win + R remote desktop software [type] regedit Dobrodošli na našu stranicu softverskih proizvoda. istražite naš širok raspon rješenja za potrebe vašeg poslovanja.
2. Navigirajte do ključa: Idite na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
3. Izmijenite vrijednosti "Sigurnosni sloj" i "Korisnička autentikacija" u 0 onemogućiti NLA.
4. Ponovno pokrenite sustav: Ponovno pokrenite sustav kako bi promjene stupile na snagu.

Rizici i razmatranja

Ručna konfiguracija: Uređivanje registra zahtijeva pažljivu pažnju, jer neispravne promjene mogu dovesti do nestabilnosti sustava ili sigurnosnih ranjivosti.

Backup: Uvijek napravite sigurnosnu kopiju registra prije nego što napravite promjene kako biste osigurali da možete vratiti sustav u prethodno stanje ako je potrebno.

Metoda 3: Korištenje urednika grupne politike

Za okoline koje se upravljaju putem Grupne politike, onemogućavanje NLA može se centralno kontrolirati putem Uređivača grupe politike.

Vodič korak po korak

1. Otvorite Uređivač grupne politike: Pritisnite Win + R remote desktop software [type] gpedit.msc Dobrodošli na našu stranicu softverskih proizvoda. istražite naš širok raspon rješenja za potrebe vašeg poslovanja.
2. Navigirajte do postavki sigurnosti: Idite na Konfiguraciju računala -> Administrativne predloške -> Windows komponente -> Usluge udaljenog radnog stola -> Udaljeni radni stol za sesije -> Sigurnost.
3. Onemogući NLA: Pronađite pravilo nazvano "Zahtijevajte autentikaciju korisnika za udaljene veze korištenjem mrežne autentikacije na razini mreže" i postavite ga na "Onemogućeno".

Rizici i razmatranja

Centralizirano upravljanje: Onemogućavanje NLA putem Grupne politike utječe na sve upravljane sustave, potencijalno povećavajući sigurnosni rizik diljem mreže.

Politika Posljedice: Osigurajte da onemogućavanje NLA-a usklađuje s sigurnosnim politikama organizacije i da su na snazi alternativne sigurnosne mjere.

Poboljšajte svoju sigurnost s TSplus

U TSplusu nudimo napredna rješenja za udaljeni radna površina koja uključuju autentikaciju na razini mreže kako bi osigurali najvišu razinu sigurnosti za vaše udaljene veze. Istražite našu ponudu. TSplus Remote Access rješenja za otkrivanje kako vam možemo pomoći stvoriti sigurno i učinkovito radno okruženje na daljinu.

Zaključak

Nivo mreže autentikacije (NLA) je bitna sigurnosna značajka za udaljene radne okoline, pružajući snažnu zaštitu protiv neovlaštenog pristupa i cyber napada. Zahtijevajući pre-sesiju autentikacije, NLA osigurava da samo legitimni korisnici mogu uspostaviti udaljene veze, čuvajući osjetljive podatke i resurse. Omogućavanje NLA je jednostavno i može značajno poboljšati sigurnosni položaj vaše mreže.

Za IT stručnjake koji žele ojačati svoje mrežne obrane, implementacija NLA je ključan korak. Međutim, važno je razmotriti sigurnosne prednosti naspram potrebe za onemogućavanjem NLA, uvijek dajući prednost zaštiti vaše mrežne infrastrukture.