Autenticazione a livello di rete RDP: Configurazione, Sicurezza e Casi d'uso

Introduzione

Con il passaggio al lavoro ibrido e l'aumento della dipendenza dall'accesso remoto al desktop, garantire sessioni remote sicure è fondamentale. Il Protocollo Desktop Remoto (RDP), sebbene comodo, è anche un obiettivo frequente per gli attacchi informatici. Una delle protezioni di base del tuo RDP è l'NLA. Scopri di più su di esso, come abilitarlo e, cosa più importante, come l'Autenticazione a Livello di Rete RDP (NLA) migliora. accesso remoto sicurezza.

Che cos'è l'autenticazione a livello di rete?

Questa sezione tratterà le basi:

• Definizione di NLA
• Differenza tra RDP tradizionale e NLA

Definizione di NLA

L'Autenticazione a Livello di Rete (NLA) è un miglioramento della sicurezza per i Servizi Desktop Remoti (RDS). Richiede agli utenti di autenticarsi prima che venga creata una sessione desktop remota. L'RDP tradizionale consentiva il caricamento della schermata di accesso prima di verificare le credenziali, esponendo quindi il server a tentativi di attacco brute-force. L'NLA sposta quella validazione all'inizio del processo di negoziazione della sessione.

Differenza tra RDP tradizionale e NLA

Caratteristica	Bare RDP, senza NLA	RDP con NLA abilitato
L'autenticazione avviene	Dopo l'inizio della sessione	Prima dell'inizio della sessione
Esposizione del server	Alto (Totale)	Minimale
Protezione contro attacchi di forza bruta	Limitato	Forte
Supporto SSO	No	Sì

Come funziona NLA

NLA sfrutta protocolli sicuri e convalida a più livelli per proteggere il tuo server cambiando quando e come l'autenticazione avviene. Ecco la suddivisione del processo di connessione:

1. Richiesta iniziale: L'utente avvia una connessione tramite il client RDP.
2. Validazione delle credenziali: Prima dell'inizio della sessione, il cliente utilizza il Provider di Supporto per la Sicurezza delle Credenziali (CredSSP) per trasmettere in modo sicuro le credenziali.
3. Stabilire una sessione sicura: Se le credenziali sono valide, viene creata una sessione sicura utilizzando TLS o SSL, crittografando tutta la comunicazione.
4. Avvio della sessione desktop: Solo dopo che l'utente è autenticato inizia la sessione RDP completa.

Quale differenza ha fatto NLA qui?

Analizziamo cosa cambia l'attivazione di NLA per le richieste di connessione RDP.

Connessioni non sicure iniziano senza NLA:

• Il server RDP carica la schermata di accesso prima verifica delle credenziali.
• Questo significa chiunque può aprire una finestra di sessione, anche gli attaccanti.
• Il server utilizza le sue risorse per visualizzare l'interfaccia di accesso, anche per gli utenti non autorizzati.

Le connessioni sicure iniziano con NLA:

Con NLA, il passo 2 sopra è diventato critico.

• Prima di una sessione, anche prima che appaia la schermata di accesso grafico, il client RDP deve fornire credenziali valide tramite CredSSP (leggi per i dettagli).
• Se le credenziali non sono valide, la connessione viene rifiutata immediatamente, quindi il server non carica mai l'interfaccia della sessione.

Di conseguenza, NLA sposta effettivamente il passaggio di autenticazione al livello di rete (quindi il nome) prima RDP inizializza l'ambiente desktop remoto. A sua volta, NLA utilizza Interfaccia del provider di supporto per la sicurezza di Windows (SSPI) , inclusa CredSSP, per integrarsi perfettamente con l'autenticazione del dominio.

Perché l'autenticazione a livello di rete è importante?

RDP è stato un vettore in diversi attacchi ransomware di alto profilo. NLA è fondamentale per proteggere gli ambienti desktop remoti da varie minacce alla sicurezza. Impedisce agli utenti non autorizzati di avviare anche una sessione remota, riducendo così i rischi come attacchi di forza bruta, attacchi di negazione del servizio ed esecuzione remota di codice.

Ecco un breve riepilogo dei rischi di sicurezza RDP senza NLA:

• Attacchi di forza bruta su schermi di accesso esposti
• Negazione del servizio (DoS) da inondazioni di connessioni non autenticate
• vulnerabilità di esecuzione remota del codice (RCE)
• Furto di credenziali utilizzando nomi utente/password trapelati

Abilitare NLA è un modo semplice ma efficace per ridurre al minimo queste minacce.

Quali sono i vantaggi dell'abilitazione di NLA?

L'autenticazione a livello di rete offre vantaggi sia in termini di sicurezza che di prestazioni. Ecco cosa guadagni:

• Autenticazione più forte
• Cos'è CredSSP?
• Superficie di attacco ridotta
• Difesa contro la forza bruta
• Compatibilità SSO
• Migliore prestazione del server
• Pronto per la conformità

Autenticazione più forte

L'autenticazione a livello di rete richiede agli utenti di verificare la propria identità prima dell'inizio di qualsiasi sessione di desktop remoto. Questa validazione di prima linea viene effettuata utilizzando protocolli sicuri come CredSSP e TLS, garantendo che solo gli utenti autorizzati raggiungano anche il prompt di accesso. Applicando questo passaggio iniziale, NLA riduce drasticamente il rischio di intrusione attraverso credenziali rubate o indovinate.

Cos'è CredSSP?

In qualità di fornitore di supporto per la sicurezza, il protocollo Credential Security Support Provider (CredSSP) consente a un'applicazione di delegare le credenziali dell'utente dal client al server di destinazione per l'autenticazione remota.

Questo tipo di verifica anticipata è allineato con le migliori pratiche di cybersecurity raccomandate da organizzazioni come Microsoft e NIST, specialmente in ambienti in cui sono coinvolti dati sensibili o infrastrutture.

Superficie di attacco ridotta

Senza NLA, l'interfaccia di accesso RDP è accessibile pubblicamente, rendendola un obiettivo facile per scansioni automatiche e strumenti di sfruttamento. Quando NLA è abilitato, quell'interfaccia è nascosta dietro il livello di autenticazione, riducendo significativamente la visibilità del tuo server RDP sulla rete o su Internet.

Questo comportamento "invisibile per impostazione predefinita" è in linea con il principio di minima esposizione, che è fondamentale per difendersi contro le vulnerabilità zero-day o gli attacchi di credential stuffing.

Difesa contro la forza bruta

Gli attacchi di forza bruta funzionano tentando ripetutamente combinazioni di nome utente e password. Se RDP è esposto senza NLA, gli attaccanti possono continuare a provare indefinitamente, utilizzando strumenti per automatizzare migliaia di tentativi di accesso. NLA blocca questo richiedendo credenziali valide in anticipo, quindi le sessioni non autenticate non possono mai progredire.

Questo non solo neutralizza un comune metodo di attacco, ma aiuta anche a prevenire il blocco degli account o un carico eccessivo sui sistemi di autenticazione.

Compatibilità SSO

NLA supporta il Single Sign-On (SSO) NT negli ambienti di Active Directory. SSO snellisce i flussi di lavoro e riduce l'attrito per gli utenti finali grazie a consentendo loro di accedere a più applicazioni e siti web con un'autenticazione temporanea.

Per gli amministratori IT, l'integrazione SSO semplifica la gestione delle identità e riduce i ticket di assistenza relativi a password dimenticate o accessi ripetuti, specialmente in ambienti aziendali con politiche di accesso rigorose.

Migliore prestazione del server

Senza NLA, ogni tentativo di connessione (anche da un utente non autenticato) può caricare l'interfaccia di accesso grafico, consumando memoria di sistema, CPU e larghezza di banda. NLA elimina questo sovraccarico richiedendo credenziali valide prima di iniziare la sessione.

Di conseguenza, i server funzionano in modo più efficiente, le sessioni si caricano più rapidamente e gli utenti legittimi sperimentano una migliore reattività, specialmente in ambienti con molte connessioni RDP simultanee.

Pronto per la conformità

I moderni framework di conformità (come GDPR, HIPAA, ISO 27001, …) richiedono un'autenticazione sicura degli utenti e un accesso controllato ai sistemi sensibili. NLA aiuta a soddisfare questi requisiti imponendo una validazione delle credenziali nelle fasi iniziali e riducendo al minimo l'esposizione alle minacce.

Implementando NLA, le organizzazioni dimostrano un approccio proattivo al controllo degli accessi, alla protezione dei dati e alla prontezza per le verifiche, che può essere cruciale durante le revisioni normative o le audit di sicurezza.

Come abilitare l'autenticazione a livello di rete?

Abilitare NLA è un processo semplice che può essere realizzato attraverso vari metodi. Qui, delineiamo i passaggi per abilitare NLA tramite le impostazioni di Desktop Remoto e le impostazioni di Sistema e Sicurezza.

• Impostazioni di Windows
• Pannello di controllo
• Editor Criteri di Gruppo

Metodo 1: Abilitare NLA tramite Impostazioni di Windows

1.        Premi Win + I per aprire Impostazioni

2. Vai a Sistema > Remote Desktop

3.        Attiva Abilita Desktop Remoto

4. Clicca su Impostazioni avanzate

5. Controlla "Richiedi ai computer di utilizzare l'autenticazione a livello di rete"

Metodo 2: Abilitare NLA tramite Pannello di Controllo

1. Apri Pannello di controllo > Sistema e sicurezza > Sistema

Clicca su Consenti Accesso Remoto

3. Sotto la scheda Remota, controlla:
Consenti connessioni remote solo da computer che eseguono NLA (consigliato)

Metodo 3: Editor Criteri di Gruppo

1. Premi Win + R, digita gpedit.msc

2. Naviga a:
Configurazione computer > Modelli amministrativi > Componenti di Windows > Servizi Desktop Remoto > RDSH > Sicurezza

3. Imposta "Richiedi autenticazione utente per connessioni remote utilizzando NLA" su Abilitato

Come disabilitare l'autenticazione a livello di rete?

Sebbene disabilitare NLA non sia generalmente raccomandato a causa dei rischi per la sicurezza, potrebbero esserci scenari specifici in cui è necessario: sistemi legacy senza supporto CredSSP, risoluzione dei problemi di guasti RDP e incompatibilità con client di terze parti. Ecco i metodi per disabilitare NLA:

• Proprietà di sistema
• Editor del Registro
• Editor Criteri di Gruppo

Metodo 1: Utilizzando le Proprietà di Sistema

Disabilitare NLA tramite Proprietà di sistema è un metodo diretto che può essere eseguito tramite l'interfaccia di Windows.

Guida passo-passo in Syst Prop

1. Apri la finestra Esegui: Premi Win + R , tipo sysdm.cpl , e premi Invio.
2. Accedi alle impostazioni remote: nella finestra "Proprietà di sistema", vai alla scheda "Remoto".
3. Disabilita NLA: Deseleziona l'opzione "Consenti connessioni solo da computer che eseguono Remote Desktop con autenticazione a livello di rete (consigliato)."

Rischi e considerazioni

Vulnerabilità aumentata:

Disabilitare NLA rimuove l'autenticazione pre-sessione, esponendo la rete a potenziali accessi non autorizzati e vari. minacce informatiche .

Raccomandazione:

Si consiglia di disabilitare NLA solo quando assolutamente necessario e di implementare misure di sicurezza aggiuntive per compensare la protezione ridotta.

Metodo 2: Utilizzo dell'Editor del Registro di sistema

Disabilita NLA tramite l'Editor del Registro di sistema, per fornire un approccio più avanzato e manuale.

Guida passo-passo in RegEdit

1. Apri l'Editor del Registro: Premi Win + R , tipo regedit , e premi Invio.
2. Naviga a Chiave: Vai a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp`.
3. Modifica valori: Cambia i valori di "Livello di Sicurezza" e "Autenticazione Utente" in 0 per disabilitare NLA.
4. Riavviare il sistema: Riavvia il sistema affinché le modifiche abbiano effetto.

Rischi e considerazioni

Configurazione manuale:

Modificare il registro richiede attenzione, poiché modifiche errate possono portare a instabilità del sistema o vulnerabilità di sicurezza.

Backup:

Esegui sempre il backup del registro prima di apportare modifiche per garantire di poter ripristinare il sistema al suo stato precedente se necessario.

Metodo 3: Utilizzo dell'Editor Criteri di Gruppo

Per gli ambienti gestiti tramite Criteri di Gruppo, la disabilitazione di NLA può essere controllata centralmente tramite l'Editor dei Criteri di Gruppo.

Guida passo-passo in GPEdit

1. Apri Editor Criteri di Gruppo: Premi Win + R , tipo gpedit.msc , e premi Invio.

2. Navigare alle Impostazioni di Sicurezza: Vai su Configurazione del Computer -> Modelli Amministrativi -> Componenti di Windows -> Servizi Desktop Remoto -> Host di Sessione Desktop Remoto -> Sicurezza.

3. Disabilita NLA: Trova la politica denominata "Richiedi autenticazione utente per connessioni remote utilizzando l'autenticazione a livello di rete" e impostala su "Disabilitato."

Rischi e considerazioni

Gestione centralizzata: Disabilitare NLA tramite Criteri di gruppo influisce su tutti i sistemi gestiti, aumentando potenzialmente il rischio di sicurezza in tutta la rete.

Implicazioni della politica: Assicurati che la disabilitazione di NLA sia in linea con le politiche di sicurezza dell'organizzazione e che siano in atto misure di sicurezza alternative.

Come migliorare la tua sicurezza con TSplus

TSplus supporta completamente NLA Autenticazione a livello di rete per garantire l'accesso remoto al desktop fin dall'inizio di ogni sessione. Migliora la sicurezza nativa di RDP con funzionalità avanzate come l'autenticazione a due fattori (2FA), il filtraggio degli IP, la protezione contro attacchi di forza bruta e il controllo dell'accesso alle applicazioni, creando un sistema di difesa robusto e multilivello.

Con TSplus gli amministratori ottengono un controllo centralizzato attraverso una semplice console web, garantendo un accesso remoto sicuro, efficiente e scalabile. È una soluzione ideale per le organizzazioni che cercano di andare oltre la sicurezza RDP standard senza complessità aggiuntive o costi di licenza.

Conclusione

L'autenticazione a livello di rete è un modo comprovato per proteggere le connessioni RDP per l'accesso remoto, imponendo la verifica dell'utente prima della sessione. Nell'attuale panorama orientato al remoto, abilitare l'NLA dovrebbe essere un passo predefinito per tutte le organizzazioni che utilizzano RDP. Quando combinato con le funzionalità estese offerte da strumenti come TSplus, fornisce una base affidabile per la pubblicazione sicura ed efficiente delle applicazioni.