Vuoi vedere il sito in un'altra lingua?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Cambia lingua
Indice

Introduzione

L'Autenticazione a Livello di Rete (NLA) è un controllo di sicurezza fondamentale per il Protocollo Desktop Remoto, che impedisce agli utenti non autenticati di accedere prima che venga creata una sessione completa. Quando NLA fallisce, però, i team IT si trovano di fronte a accessi bloccati, messaggi di errore vaghi e utenti finali frustrati che non possono raggiungere server critici. Questa guida spiega cos'è NLA, perché si verificano questi errori e come risolvere sistematicamente i problemi di NLA senza indebolire la tua postura di sicurezza RDP.

Cosa è NLA in RDP?

L'Autenticazione a Livello di Rete è un miglioramento della sicurezza RDP introdotto con Windows Vista e Windows Server 2008. Invece di costruire l'intera sessione desktop remoto e poi richiedere le credenziali, NLA richiede agli utenti di autenticarsi prima. Solo dopo un'autenticazione riuscita lo stack RDP crea la sessione grafica.

NLA si basa su CredSSP (Credential Security Support Provider) per trasmettere in modo sicuro le credenziali dell'utente al sistema di destinazione. Negli ambienti uniti a un dominio, CredSSP comunica con Active Directory per convalidare l'account prima che la sessione venga stabilita. Su host autonomi o di gruppo di lavoro, CredSSP convalida gli account locali configurati per l'accesso remoto.

I principali vantaggi di NLA includono:

  • Ridurre la finestra per attacchi di forza bruta e denial-of-service su endpoint RDP esposti
  • Abilitazione accesso single sign-on (SSO) per gli utenti del dominio, migliorando l'esperienza dell'utente
  • Migliorare le prestazioni eseguendo l'autenticazione prima della creazione della sessione

Tuttavia, NLA è sensibile alle versioni del sistema operativo, alle patch, TLS configurazione e stato del dominio. Quando uno di questi prerequisiti fallisce, NLA può bloccare completamente le connessioni valide.

Quali sono i sintomi comuni degli errori NLA in RDP?

I problemi relativi all'NLA di solito si presentano con messaggi simili, indipendentemente dalla causa sottostante. È probabile che tu stia affrontando un problema NLA se incontri:

  • "Il computer remoto richiede l'autenticazione a livello di rete (NLA), ma il tuo computer non la supporta."
  • Si è verificato un errore di autenticazione. La funzione richiesta non è supportata.
  • Errore di remediation dell'oracolo di crittografia CredSSP.
  • Le tue credenziali non hanno funzionato.
  • Timeout o disconnessioni improvvise durante l'iniziale handshake RDP o subito dopo l'inserimento delle credenziali

Questi sintomi possono influenzare sia gli host uniti al dominio che quelli autonomi. In pratica, spesso risalgono a politiche di sicurezza non corrispondenti, accesso al controller di dominio bloccato o componenti RDP obsoleti su entrambi i lati.

Quali sono le cause degli errori NLA in RDP?

Comprendere le cause comuni aiuta a risolvere rapidamente i problemi ed evitare soluzioni temporanee rischiose come disabilitare permanentemente NLA.

  • Incompatibilità tra Client e Server OS
  • Controllore di dominio irraggiungibile
  • CredSSP Patch Mismatch
  • Configurazione errata della crittografia TLS o RDP
  • Conflitti di Criteri di Gruppo o Registro
  • Profili utente o credenziali danneggiati
  • Scenari di Workgroup e Non-Domain

Incompatibilità tra Client e Server OS

Le versioni precedenti di Windows o i client RDP di terze parti potrebbero non supportare completamente NLA o il comportamento moderno di CredSSP. Ad esempio, le versioni legacy di Windows XP o le prime versioni di Vista non possono connettersi a server che impongono NLA senza aggiornamenti specifici. Anche sui sistemi supportati, i file binari del client RDP obsoleti possono causare errori "il tuo computer non supporta NLA" nonostante il sistema operativo lo supporti nominalmente.

Controllore di dominio irraggiungibile

In un ambiente unito a un dominio, NLA dipende dal raggiungimento di un controller di dominio per convalidare le credenziali e mantenere il canale sicuro della macchina. Se il controller di dominio è offline, bloccato da un firewall o c'è un problema di fiducia, l'autenticazione NLA potrebbe fallire anche se il server stesso è attivo. Spesso vedrai errori che menzionano la connettività del controller di dominio o messaggi generici di "si è verificato un errore di autenticazione".

CredSSP Patch Mismatch

A partire dagli aggiornamenti "Encryption Oracle Remediation" del 2018, CredSSP è diventato più rigoroso su come vengono protette le credenziali. Se un client ha l'aggiornamento ma il server no (o viceversa), i due endpoint potrebbero non concordare su una configurazione sicura. Questa discrepanza può generare errori di "CredSSP encryption oracle remediation" e impedire i logon NLA fino a quando entrambi i lati non sono aggiornati o la Group Policy non viene regolata.

Configurazione errata della crittografia TLS o RDP

NLA si basa su Transport Layer Security (TLS) per proteggere lo scambio di credenziali. Se TLS 1.0/1.1 è disabilitato senza abilitare correttamente TLS 1.2, o se vengono imposti suite di cifratura deboli, il handshake tra client e server può fallire prima che NLA venga completato. Il rafforzamento della sicurezza personalizzato, la modalità FIPS o certificati configurati in modo errato possono compromettere NLA anche se RDP standard senza NLA potrebbe ancora funzionare in alcune condizioni.

Conflitti di Criteri di Gruppo o Registro

Gli oggetti della Criteri di gruppo (GPO) e le politiche di sicurezza locali controllano il comportamento di RDP, CredSSP e crittografia. Politiche in conflitto o eccessivamente rigide possono imporre NLA in scenari in cui i client non lo supportano o richiedono algoritmi conformi a FIPS che i tuoi client non possono utilizzare. Le sovrascritture del registro per SCHANNEL o CredSSP possono introdurre incoerenze simili, risultando in "funzione richiesta non supportata" e altri errori generici.

Profili utente o credenziali danneggiati

Occasionalmente, il problema è limitato a un singolo utente o macchina. Credenziali memorizzate nella cache danneggiate, un allineamento errato Identificatore di sicurezza (SID) o un file Default.rdp danneggiato possono interferire con l'autenticazione NLA. In questi casi, potresti scoprire che un altro utente può accedere dallo stesso dispositivo, o lo stesso utente può accedere da un client diverso, ma non entrambi insieme.

Scenari di Workgroup e Non-Domain

NLA presuppone un ambiente in cui le identità degli utenti possono essere fortemente autenticate, tipicamente tramite Active Directory. Nei sistemi di gruppo di lavoro, gli account locali devono essere configurati con attenzione e devono avere il permesso di accedere tramite Remote Desktop. Se NLA è applicato ma non è disponibile alcun controller di dominio, o se le impostazioni degli account locali sono errate, è probabile che tu veda errori correlati a NLA anche se il server sembra raggiungibile.

Come risolvere gli errori NLA in RDP?

Utilizzare i seguenti passaggi in ordine, dal meno invasivo al più intrusivo. Questo approccio aiuta a ripristinare l'accesso preservando la sicurezza ove possibile.

  • Conferma il supporto NLA su Client e Server
  • Verifica la connettività al controller di dominio (se applicabile)
  • Allinea i livelli e le politiche della patch CredSSP
  • Abilita e convalida i protocolli TLS richiesti
  • Esamina e regola la Group Policy
  • Disabilita temporaneamente NLA per recuperare l'accesso
  • Ripristina la configurazione del client RDP e della rete

Conferma il supporto NLA su Client e Server

Prima di tutto, assicurati che entrambi i punti finali siano in grado di NLA.

  • Esegui winver su entrambi il client e il server per confermare che siano Windows Vista / Windows Server 2008 o versioni successive.
  • Assicurati che gli ultimi aggiornamenti del client Remote Desktop siano installati (tramite Windows Update o l'app Microsoft Remote Desktop su piattaforme non Windows).
  • Se stai utilizzando client RDP di terze parti, verifica che il supporto NLA sia esplicitamente documentato e abilitato nelle impostazioni del client.

Se una delle due parti non supporta NLA, pianifica di aggiornare o sostituire quel componente piuttosto che indebolire la sicurezza a livello globale.

Verifica la connettività al controller di dominio (se applicabile)

Su macchine collegate al dominio, convalida la connettività del dominio prima di modificare le impostazioni RDP.

  • Testare la connettività di rete di base ai controller di dominio (ad esempio, ping dc01.yourdomain.com ).
  • Usa nltest /dsgetdc:yourdomain.com per confermare che il cliente possa individuare un controller di dominio.
  • In PowerShell, eseguire Test-ComputerSecureChannel per controllare il canale sicuro della macchina verso il dominio.

Se il canale sicuro è interrotto, riparalo con: 

Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

Dopo la riparazione, riavviare la macchina se richiesto, quindi testare nuovamente NLA. Risolvere le misconfigurazioni DNS, le regole del firewall o i problemi VPN che potrebbero bloccare intermittentemente l'accesso al dominio.

Allinea i livelli e le politiche della patch CredSSP

Successivamente, conferma che sia il client che il server abbiano aggiornamenti di sicurezza attuali, in particolare quelli relativi a CredSSP.

  • Installa tutti gli aggiornamenti importanti e di sicurezza su entrambi i punti finali.
  • Controlla se è stata utilizzata la Criteri di gruppo per configurare "Remediazione dell'oracolo di crittografia" sotto:
    Configurazione del computer → Modelli amministrativi → Sistema → Delegazione delle credenziali .

In un ambiente di test temporaneo, puoi impostare la politica su un valore più permissivo per confermare che un'impostazione rigorosa stia causando il fallimento. In produzione, la soluzione a lungo termine dovrebbe essere quella di portare tutti i sistemi a un livello di patch coerente piuttosto che allentare permanentemente la politica.

Abilita e convalida i protocolli TLS richiesti

Assicurati che TLS 1.2 sia supportato e abilitato, poiché molti ambienti ora disabilitano le versioni TLS più vecchie.

Su Windows Server, verifica le impostazioni SCHANNEL nel registro sotto: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Per il supporto del client TLS 1.2, conferma che: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

"Enabled"=dword:00000001

Potrebbe essere necessario regolare anche le chiavi TLS 1.2 lato server e poi riavviare il server o almeno i Servizi Desktop Remoti. Conferma inoltre che il certificato RDP sia valido, affidabile e non utilizzi firme deprecate.

Esamina e regola la Group Policy

La Group Policy è spesso il luogo in cui vengono definiti l'applicazione di NLA e la configurazione della sicurezza RDP.

Apri gpedit.msc (o l'oggetto GPMC equivalente) e navigare a:

Configurazione del computer → Impostazioni di Windows → Impostazioni di sicurezza → Politiche locali → Opzioni di sicurezza

Controlla in particolare:

  • Richiedi l'autenticazione dell'utente per le connessioni remote utilizzando l'autenticazione a livello di rete.
  • Qualsiasi politica che imponga algoritmi conformi a FIPS o limiti i tipi di crittografia

Assicurati che l'applicazione dell'NLA corrisponda a ciò che i tuoi clienti possono gestire. Se allenti una politica per ripristinare l'accesso, documenta la modifica e pianifica del tempo per correggere i problemi sottostanti dei clienti invece di lasciare impostazioni più deboli in vigore indefinitamente.

Disabilita temporaneamente NLA per recuperare l'accesso

Se hai perso l'accesso remoto a un server critico, disattivare temporaneamente NLA può essere un'ultima risorsa necessaria.

Puoi:

  • Avvia in modalità provvisoria con rete e regola le impostazioni di Remote Desktop, oppure
  • Avviare utilizzando il supporto di ripristino, caricare l'hive di sistema e modificare la chiave RDP-Tcp nel registro.

Imposta: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

"UserAuthentication"=dword:00000000

Questo disabilita NLA per il listener RDP. Una volta ripristinato l'accesso, risolvi la causa principale (connettività di dominio, patch, TLS o politiche), quindi riattiva NLA ripristinando il valore a 1. Mantenere NLA disabilitato a lungo termine aumenta significativamente l'esposizione a tentativi di attacco brute-force e exploit.

Ripristina la configurazione del client RDP e della rete

Se i problemi di NLA sembrano isolati a un dispositivo client specifico, eseguire un ripristino locale prima di modificare la politica del server.

  • Elimina il Default.rdp file in %userprofile%\Documents per cancellare le impostazioni memorizzate nella cache.
  • Rimuovi e riaggiungi eventuali credenziali salvate in Gestione credenziali di Windows.
  • Conferma che la porta TCP 3389 (o la tua porta RDP personalizzata) sia consentita attraverso i firewall locali e i dispositivi di rete intermedi.
  • Test da un altro client sulla stessa rete per determinare se il problema è specifico del client o più globale.

Questo semplice passaggio di igiene risolve spesso problemi con credenziali memorizzate nella cache corrotte o opzioni di visualizzazione e sicurezza applicate in modo errato nel client RDP.

Quali sono le migliori pratiche per evitare errori NLA in futuro?

Una volta risolto il problema immediato, rinforza il tuo ambiente affinché NLA rimanga sia sicuro che affidabile.

  • Mantieni aggiornati i sistemi operativi e i client RDP
  • Monitora la salute del dominio e dell'identità
  • Standardizza le politiche RDP e NLA tramite GPO
  • Abilita il registro eventi e il monitoraggio della sicurezza
  • Isolare RDP dietro punti di accesso sicuri

Mantieni aggiornati i sistemi operativi e i client RDP

Mantenere una cadenza di patching standard per server ed endpoint. Allinearsi sulle versioni di Windows supportate ed evitare di lasciare client più vecchi e non patchati in produzione. Baseline di aggiornamento coerenti riducono le discrepanze tra CredSSP e TLS che comunemente interrompono NLA.

Monitora la salute del dominio e dell'identità

Per i sistemi uniti al dominio, considera la salute del controller di dominio come parte del tuo stack RDP. Usa strumenti come dcdiag , repadmin e i registri degli eventi del controller di dominio per rilevare tempestivamente problemi di replica o DNS. I guasti intermittenti del dominio possono manifestarsi come problemi RDP e NLA molto prima che gli utenti notino altri sintomi.

Standardizza le politiche RDP e NLA tramite GPO

Definisci il tuo RDP cifratura, applicazione dell'NLA e politiche CredSSP in modo centralizzato. Applicale per OU o gruppo di sicurezza in base ai ruoli dei dispositivi, come server di produzione rispetto a laboratori di test. La standardizzazione riduce la deriva di configurazione e rende la risoluzione dei problemi molto più rapida quando si presentano problemi.

Abilita il registro eventi e il monitoraggio della sicurezza

Monitora Visualizzatore Eventi su host RDP, in particolare:

  • Windows Logs → Sicurezza
  • Registri di Windows → Sistema
  • Applicazioni e registri dei servizi → Microsoft → Windows → TerminalServices

Correlare i tentativi di accesso falliti ripetuti, i fallimenti della stretta di mano TLS o gli errori CredSSP con il tuo SIEM quando possibile. Questo monitoraggio aiuta a distinguere tra problemi di configurazione e attacchi attivi.

Isolare RDP dietro punti di accesso sicuri

Anche con NLA, esporre RDP direttamente a Internet è ad alto rischio. Posizionare RDP dietro un gateway sicuro, VPN o proxy in stile ZTNA. Aggiungere MFA dove possibile. Strumenti come TSplus Advanced Security possono ulteriormente limitare dove, quando e come gli utenti si connettono, riducendo la probabilità che incidenti legati a NLA raggiungano il server.

Rafforza la sicurezza RDP con TSplus Advanced Security

NLA risolve solo una parte dell'equazione del rischio RDP. TSplus Advanced Security aggiunge ulteriori livelli di difesa attorno ai tuoi server Windows e desktop remoti senza la complessità di stack VDI completi. Funzionalità come la protezione dinamica contro attacchi brute-force, restrizioni basate su IP e paese, politiche di orario lavorativo e regole di accesso a livello di applicazione aiutano a tenere fuori gli attaccanti mentre gli utenti legittimi rimangono produttivi.

Per le organizzazioni che si affidano a RDP ma desiderano controlli di sicurezza più forti e semplici, abbinare NLA con TSplus Advanced Security offre un modo pratico per rafforzare l'accesso remoto e ridurre il carico di lavoro per la risposta agli incidenti.

Conclusione

Gli errori NLA in RDP sono frustranti, soprattutto quando si presentano senza cambiamenti evidenti nell'ambiente. In realtà, puntano quasi sempre a problemi specifici nelle versioni del sistema operativo, nella connettività del dominio, nella patching di CredSSP, nella configurazione di TLS o nelle politiche di sicurezza. Lavorando attraverso un elenco di controllo strutturato, puoi ripristinare l'accesso sicuro senza ricorrere a soluzioni temporanee rischiose.

Tratta NLA come un controllo di sicurezza di base piuttosto che come una funzionalità opzionale. Mantienilo abilitato, convalidato e monitorato come parte della tua postura complessiva di accesso remoto. Quando devi disabilitarlo, limita il raggio d'azione, risolvi il problema sottostante e riattiva NLA il prima possibile.

Condividi :

Facebook Twitter LinkedIn

Il tuo team TSplus

Ulteriori letture

back to top of the page icon