Adakah anda ingin melihat laman web dalam bahasa yang berbeza?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Tukar bahasa
Indeks Kandungan

Pengenalan

Pengesahan Tahap Rangkaian (NLA) adalah kawalan keselamatan teras untuk Protokol Desktop Jauh, menghentikan pengguna yang tidak disahkan sebelum sesi penuh dibuat. Namun, apabila NLA gagal, pasukan IT menghadapi log masuk yang disekat, mesej ralat yang tidak jelas, dan pengguna akhir yang kecewa yang tidak dapat mengakses pelayan kritikal. Panduan ini menerangkan apa itu NLA, mengapa ralat ini berlaku, dan bagaimana untuk menyelesaikan masalah NLA secara sistematik tanpa melemahkan kedudukan keselamatan RDP anda.

Apa itu NLA dalam RDP?

Pengesahan Tahap Rangkaian adalah peningkatan keselamatan RDP yang diperkenalkan dengan Windows Vista dan Windows Server 2008. Sebaliknya daripada membina sesi desktop jauh sepenuhnya dan kemudian meminta kelayakan, NLA memerlukan pengguna untuk mengesahkan terlebih dahulu. Hanya selepas pengesahan yang berjaya, tumpukan RDP akan mencipta sesi grafik.

NLA bergantung pada CredSSP (Penyedia Sokongan Keselamatan Kelayakan) untuk menghantar kelayakan pengguna dengan selamat ke sistem sasaran. Dalam persekitaran yang disertai domain, CredSSP berkomunikasi dengan Active Directory untuk mengesahkan akaun sebelum sesi ditubuhkan. Pada hos berdiri sendiri atau kumpulan kerja, CredSSP mengesahkan akaun tempatan yang dikonfigurasikan untuk log masuk jarak jauh.

Manfaat utama NLA termasuk:

  • Mengurangkan tetingkap untuk serangan brute-force dan denial-of-service pada titik akhir RDP yang terdedah
  • Membolehkan satu tanda masuk (SSO) untuk pengguna domain, meningkatkan pengalaman pengguna
  • Meningkatkan prestasi dengan melakukan pengesahan sebelum penciptaan sesi

Namun, NLA peka terhadap versi OS, tampalan, TLS konfigurasi, dan kesihatan domain. Apabila mana-mana syarat tersebut gagal, NLA boleh menyekat sambungan yang sah sepenuhnya.

Apakah Gejala Umum Kesalahan NLA dalam RDP?

Isu berkaitan NLA biasanya muncul dengan mesej yang serupa, tanpa mengira punca yang mendasari. Anda mungkin menghadapi masalah NLA jika anda menemui:

  • Komputer jauh memerlukan Pengesahan Tahap Rangkaian (NLA), tetapi komputer anda tidak menyokongnya.
  • “Ralat pengesahan telah berlaku. Fungsi yang diminta tidak disokong.”
  • Ralat remediasi orakel penyulitan CredSSP.
  • Kredensial anda tidak berfungsi.
  • Timeout atau pemutusan secara tiba-tiba semasa jabat tangan RDP awal atau sejurus selepas memasukkan kelayakan

Gejala ini boleh menjejaskan kedua-dua hos yang disertakan dengan domain dan hos berdiri sendiri. Dalam amalan, ia sering berpunca daripada polisi keselamatan yang tidak sepadan, akses pengawal domain yang disekat, atau komponen RDP yang ketinggalan zaman di salah satu pihak.

Apakah Punca Kesalahan NLA dalam RDP?

Memahami punca akar yang biasa membantu anda menyelesaikan masalah dengan cepat dan mengelakkan penyelesaian yang berisiko seperti melumpuhkan NLA secara kekal.

  • Ketidakserasian OS Klien atau Pelayan
  • Pengawal Domain Tidak Dapat Dicapai
  • Pelanggaran Patching CredSSP
  • Konfigurasi Salah Enkripsi TLS atau RDP
  • Konflik Kumpulan Dasar atau Pendaftaran
  • Profil Pengguna atau Kelayakan yang Rosak
  • Senario Kumpulan Kerja dan Bukan Domain

Ketidakserasian OS Klien atau Pelayan

Versi Windows yang lebih lama atau klien RDP pihak ketiga mungkin tidak sepenuhnya menyokong NLA atau tingkah laku CredSSP moden. Sebagai contoh, Windows XP lama atau versi awal Vista tidak dapat menyambung ke pelayan yang menguatkuasakan NLA tanpa kemas kini tertentu. Walaupun pada sistem yang disokong, binari klien RDP yang ketinggalan zaman boleh menyebabkan ralat "komputer anda tidak menyokong NLA" walaupun OS secara nominal menyokongnya.

Pengawal Domain Tidak Dapat Dicapai

Dalam persekitaran yang disertakan dengan domain, NLA bergantung kepada pencapaian pengawal domain untuk mengesahkan kelayakan dan mengekalkan saluran selamat mesin. Jika pengawal domain tidak dalam talian, disekat oleh a firewall atau terdapat isu kepercayaan, pengesahan NLA mungkin gagal walaupun pelayan itu sendiri berfungsi. Anda sering akan melihat ralat yang menyebut tentang sambungan pengawal domain atau mesej umum "ralat pengesahan telah berlaku".

Pelanggaran Patching CredSSP

Bermula dengan kemas kini “Pembaikan Oracle Penyulitan” 2018, CredSSP menjadi lebih ketat tentang bagaimana kredensial dilindungi. Jika klien mempunyai kemas kini tetapi pelayan tidak (atau sebaliknya), kedua-dua titik akhir mungkin tidak bersetuju mengenai konfigurasi yang selamat. Ketidakpadanan ini boleh menghasilkan ralat “pembaikan oracle penyulitan CredSSP” dan menghalang log masuk NLA sehingga kedua-dua pihak dipatch atau Dasar Kumpulan disesuaikan.

Konfigurasi Salah Enkripsi TLS atau RDP

NLA bergantung pada Transport Layer Security (TLS) untuk melindungi pertukaran kelayakan. Jika TLS 1.0/1.1 dilumpuhkan tanpa mengaktifkan TLS 1.2 dengan betul, atau jika suite cipher yang lemah dikuatkuasakan, sambungan antara klien dan pelayan boleh gagal sebelum NLA selesai. Pengukuhan keselamatan khusus, mod FIPS, atau sijil yang salah konfigurasi boleh merosakkan NLA walaupun RDP standard tanpa NLA mungkin masih berfungsi dalam beberapa keadaan.

Konflik Kumpulan Dasar atau Pendaftaran

Objek Dasar Kumpulan (GPO) dan dasar keselamatan tempatan mengawal bagaimana RDP, CredSSP, dan penyulitan berfungsi. Dasar yang bertentangan atau terlalu ketat boleh memaksa NLA dalam senario di mana klien tidak menyokongnya atau memerlukan algoritma yang mematuhi FIPS yang tidak dapat digunakan oleh klien anda. Penggantian pendaftaran untuk SCHANNEL atau CredSSP boleh memperkenalkan ketidakserasian yang serupa, yang mengakibatkan "fungsi yang diminta tidak disokong" dan ralat generik lain.

Profil Pengguna atau Kelayakan yang Rosak

Kadang-kadang, isu ini terhad kepada seorang pengguna atau mesin tunggal. Kelayakan yang disimpan dalam cache yang rosak, penyelarasan yang tidak betul Pengenal Keselamatan (SID), atau fail Default.rdp yang rosak boleh mengganggu pengesahan NLA. Dalam kes ini, anda mungkin mendapati bahawa pengguna lain boleh log masuk dari peranti yang sama, atau pengguna yang sama boleh log masuk dari klien yang berbeza, tetapi tidak kedua-duanya bersama.

Senario Kumpulan Kerja dan Bukan Domain

NLA menganggap persekitaran di mana identiti pengguna boleh disahkan dengan kuat, biasanya melalui Active Directory. Dalam sistem kumpulan kerja, akaun tempatan mesti dikonfigurasi dengan teliti dan mesti mempunyai kebenaran untuk log masuk melalui Remote Desktop. Jika NLA dikuatkuasakan tetapi tiada pengawal domain yang tersedia, atau tetapan akaun tempatan tidak betul, anda mungkin akan melihat ralat berkaitan NLA walaupun pelayan kelihatan boleh dicapai.

Cara Memperbaiki Ralat NLA dalam RDP?

Gunakan langkah-langkah berikut dalam urutan, dari yang paling tidak invasif hingga yang paling invasif. Pendekatan ini membantu memulihkan akses sambil mengekalkan keselamatan di mana sahaja yang mungkin.

  • Sahkan Sokongan NLA pada Klien dan Pelayan
  • Sahkan Konektiviti ke Pengawal Domain (Jika Berkenaan)
  • Selaraskan Tahap dan Dasar Patching CredSSP
  • Aktifkan dan Sahkan Protokol TLS yang Diperlukan
  • Semak dan Laraskan Dasar Kumpulan
  • Sementara Menonaktifkan NLA untuk Memulihkan Akses
  • Reset Klien RDP dan Konfigurasi Rangkaian

Sahkan Sokongan NLA pada Klien dan Pelayan

Pertama, pastikan kedua-dua titik akhir mampu NLA.

  • Jalankan winver pada kedua-dua klien dan pelayan untuk mengesahkan bahawa mereka adalah Windows Vista / Windows Server 2008 atau lebih baru.
  • Pastikan kemas kini klien Remote Desktop terkini dipasang (melalui Windows Update atau aplikasi Microsoft Remote Desktop di platform bukan Windows).
  • Jika anda menggunakan klien RDP pihak ketiga, pastikan sokongan NLA didokumentasikan dengan jelas dan diaktifkan dalam tetapan klien.

Jika salah satu pihak tidak menyokong NLA, rancang untuk menaik taraf atau menggantikan komponen tersebut daripada melemahkan keselamatan secara global.

Sahkan Konektiviti ke Pengawal Domain (Jika Berkenaan)

Pada mesin yang disertakan dengan domain, sahkan sambungan domain sebelum mengubah tetapan RDP.

  • Uji jangkauan rangkaian asas ke pengawal domain (contohnya, ping dc01.yourdomain.com ).
  • Gunakan nltest /dsgetdc:yourdomain.com untuk mengesahkan bahawa pelanggan dapat mencari pengawal domain.
  • Dalam PowerShell, jalankan Uji-SalurKanalSelamatKomputer untuk memeriksa saluran selamat mesin ke domain.

Jika saluran yang selamat rosak, baiki ia dengan: 

Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

Selepas pembaikan, mulakan semula mesin jika diminta, kemudian uji NLA sekali lagi. Atasi salah konfigurasi DNS, peraturan firewall, atau isu VPN yang mungkin secara berkala menyekat akses domain.

Selaraskan Tahap dan Dasar Patching CredSSP

Seterusnya, sahkan bahawa kedua-dua klien dan pelayan mempunyai kemas kini keselamatan terkini, terutamanya yang berkaitan dengan CredSSP.

  • Pasang semua kemas kini penting dan keselamatan pada kedua-dua titik akhir.
  • Semak sama ada Kumpulan Dasar telah digunakan untuk mengkonfigurasi “Pemulihan Oracle Penyulitan” di bawah:
    Konfigurasi Komputer → Templat Pentadbiran → Sistem → Delegasi Kelayakan .

Secara sementara dalam persekitaran ujian, anda boleh menetapkan polisi kepada nilai yang lebih membenarkan untuk mengesahkan bahawa tetapan yang ketat menyebabkan kegagalan. Dalam pengeluaran, penyelesaian jangka panjang haruslah untuk membawa semua sistem kepada tahap tampalan yang konsisten daripada melonggarkan polisi secara kekal.

Aktifkan dan Sahkan Protokol TLS yang Diperlukan

Pastikan bahawa TLS 1.2 disokong dan diaktifkan, kerana banyak persekitaran kini menyahdayakan versi TLS yang lebih lama.

Pada Windows Server, semak tetapan SCHANNEL dalam pendaftaran di bawah: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Untuk sokongan klien TLS 1.2, sahkan bahawa: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

"Enabled"=dword:00000001

Anda mungkin perlu menyesuaikan kunci TLS 1.2 di sisi pelayan juga, dan kemudian mulakan semula pelayan atau sekurang-kurangnya Perkhidmatan Desktop Jauh. Juga sahkan bahawa sijil RDP adalah sah, dipercayai, dan tidak menggunakan tandatangan yang tidak lagi digunakan.

Semak dan Laraskan Dasar Kumpulan

Dasar Kumpulan sering kali merupakan tempat di mana penguatkuasaan NLA dan konfigurasi keselamatan RDP ditentukan.

Buka gpedit.msc atau objek GPMC yang setara dan navigasi ke:

Konfigurasi Komputer → Tetapan Windows → Tetapan Keselamatan → Dasar Tempatan → Pilihan Keselamatan

Periksa secara khusus:

  • Memerlukan pengesahan pengguna untuk sambungan jauh dengan menggunakan Pengesahan Tahap Rangkaian
  • Sebarang polisi yang menguatkuasakan algoritma yang mematuhi FIPS atau mengehadkan jenis penyulitan

Pastikan bahawa penguatkuasaan NLA sepadan dengan apa yang dapat ditangani oleh pelanggan anda. Jika anda melonggarkan polisi untuk memulihkan akses, dokumentasikan perubahan tersebut dan jadwalkan masa untuk membetulkan isu asas pelanggan daripada membiarkan tetapan yang lebih lemah berterusan tanpa had.

Sementara Menonaktifkan NLA untuk Memulihkan Akses

Jika anda telah kehilangan semua akses jauh ke pelayan kritikal, mematikan NLA secara sementara boleh menjadi pilihan terakhir yang diperlukan.

Anda boleh:

  • Boot ke Mod Selamat dengan Rangkaian dan sesuaikan tetapan Remote Desktop, atau
  • Boot menggunakan media pemulihan, muatkan hives sistem, dan edit kunci RDP-Tcp dalam pendaftaran.

Set: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

"UserAuthentication"=dword:00000000

Ini menonaktifkan NLA untuk pendengar RDP. Setelah anda mendapatkan kembali akses, perbaiki punca utama (konektiviti domain, tampalan, TLS, atau dasar), kemudian aktifkan semula NLA dengan mengembalikan nilai kepada 1. Menjaga NLA dinonaktifkan dalam jangka panjang secara signifikan meningkatkan pendedahan kepada percubaan brute-force dan eksploitasi.

Reset Klien RDP dan Konfigurasi Rangkaian

Jika isu NLA nampak terasing kepada peranti klien tertentu, lakukan reset tempatan sebelum mengubah dasar pelayan.

  • Padamkan Default.rdp file dalam %userprofile%\Documents untuk mengosongkan tetapan yang disimpan dalam cache.
  • Buang dan tambah semula sebarang kelayakan yang disimpan dalam Pengurus Kelayakan Windows.
  • Sahkan bahawa TCP 3389 (atau port RDP khusus anda) dibenarkan melalui firewall tempatan dan peranti rangkaian pertengahan.
  • Uji dari klien lain pada rangkaian yang sama untuk menentukan sama ada masalah itu khusus kepada klien atau lebih global.

Langkah kebersihan yang mudah ini sering menyelesaikan masalah dengan kelayakan cache yang rosak atau pilihan paparan dan keselamatan yang tidak diterapkan dengan betul dalam klien RDP.

Apakah Amalan Terbaik untuk Mengelakkan Ralat NLA pada Masa Hadapan?

Setelah isu segera diselesaikan, kukuhkan persekitaran anda supaya NLA kekal selamat dan boleh dipercayai.

  • Kekalkan Sistem Operasi dan Klien RDP Terkini
  • Pantau Kesihatan Domain dan Identiti
  • Menyelaraskan RDP dan Dasar NLA melalui GPO
  • Aktifkan Log Acara dan Pemantauan Keselamatan
  • Isolasi RDP di Belakang Titik Masuk yang Selamat

Kekalkan Sistem Operasi dan Klien RDP Terkini

Menjaga rentak tampalan standard untuk kedua-dua pelayan dan titik akhir. Selaraskan pada versi Windows yang disokong dan elakkan meninggalkan klien yang lebih lama dan tidak ditampal dalam pengeluaran. Garis dasar kemas kini yang konsisten mengurangkan ketidakpadanan CredSSP dan TLS yang biasanya merosakkan NLA.

Pantau Kesihatan Domain dan Identiti

Untuk sistem yang disertakan dengan domain, anggap kesihatan pengawal domain sebagai sebahagian daripada tumpukan RDP anda. Gunakan alat seperti dcdiag , repadmin dan log acara pengawal domain untuk menangkap masalah replikasi atau DNS lebih awal. Kegagalan domain yang tidak konsisten boleh muncul sebagai masalah RDP dan NLA jauh sebelum pengguna menyedari gejala lain.

Menyelaraskan RDP dan Dasar NLA melalui GPO

Tentukan anda RDP penyulitan, penguatkuasaan NLA, dan dasar CredSSP secara pusat. Terapkan mereka mengikut OU atau kumpulan keselamatan berdasarkan peranan peranti, seperti pelayan pengeluaran vs. makmal ujian. Penyeragaman mengurangkan penyimpangan konfigurasi dan menjadikan penyelesaian masalah lebih cepat apabila isu timbul.

Aktifkan Log Acara dan Pemantauan Keselamatan

Pantau Penonton Acara pada hos RDP, terutamanya:

  • Windows Logs → Keselamatan
  • Windows Logs → Sistem
  • Aplikasi dan Log Perkhidmatan → Microsoft → Windows → TerminalServices

Kaitkan log masuk gagal yang berulang, kegagalan sambungan TLS, atau ralat CredSSP dengan SIEM anda jika boleh. Pemantauan ini membantu membezakan antara isu konfigurasi dan serangan aktif.

Isolasi RDP di Belakang Titik Masuk yang Selamat

Walaupun dengan NLA, mengekspos RDP secara langsung ke internet adalah berisiko tinggi. Letakkan RDP di belakang gerbang yang selamat, VPN, atau proksi gaya ZTNA. Tambahkan MFA di mana mungkin. Alat seperti TSplus Advanced Security dapat lebih membatasi di mana, bila, dan bagaimana pengguna menyambung, mengurangkan kemungkinan insiden berkaitan NLA mencapai pelayan sama sekali.

Tingkatkan Keselamatan RDP dengan TSplus Advanced Security

NLA hanya menyelesaikan sebahagian daripada persamaan risiko RDP. TSplus Advanced Security menambah lapisan pertahanan tambahan di sekitar pelayan Windows dan desktop jauh anda tanpa kerumitan tumpukan VDI yang lengkap. Ciri-ciri seperti perlindungan brute-force dinamik, sekatan berdasarkan IP dan negara, dasar waktu bekerja, dan peraturan akses pada tahap aplikasi membantu menghalang penyerang sementara pengguna yang sah tetap produktif.

Bagi organisasi yang bergantung pada RDP tetapi ingin kawalan keselamatan yang lebih kuat dan lebih mudah, menggabungkan NLA dengan TSplus Advanced Security menawarkan cara praktikal untuk mengukuhkan akses jauh dan mengurangkan beban kerja respons insiden.

Kesimpulan

Ralat NLA dalam RDP sangat menjengkelkan, terutamanya apabila ia muncul tanpa perubahan yang jelas pada persekitaran. Sebenarnya, ia hampir selalu menunjukkan isu tertentu dalam versi OS, sambungan domain, tampalan CredSSP, konfigurasi TLS, atau dasar keselamatan. Dengan melalui senarai semak yang terstruktur, anda boleh memulihkan akses yang selamat tanpa terpaksa menggunakan penyelesaian sementara yang berisiko.

Anggap NLA sebagai kawalan keselamatan asas dan bukannya ciri pilihan. Pastikan ia diaktifkan, disahkan, dan dipantau sebagai sebahagian daripada kedudukan akses jauh keseluruhan anda. Apabila anda perlu mematikannya, hadkan radius letupan, selesaikan masalah yang mendasari, dan hidupkan semula NLA secepat mungkin.

Kongsi:

Facebook Twitter LinkedIn

Pasukan TSplus anda

Bacaan lanjut

back to top of the page icon