Pengesahan Tahap Rangkaian RDP: Persediaan, Keselamatan & Kes Penggunaan

Pengenalan

Dengan peralihan kepada kerja hibrid dan peningkatan kebergantungan pada akses desktop jauh, memastikan sesi jauh yang selamat adalah sangat penting. Protokol Desktop Jauh (RDP), walaupun mudah, juga merupakan sasaran yang kerap bagi serangan siber. Salah satu perlindungan asas RDP anda adalah NLA. Ketahui mengenainya, cara untuk mengaktifkannya dan yang paling penting bagaimana Pengesahan Tahap Rangkaian RDP (NLA) meningkatkan. Akses jauh keselamatan.

Apakah itu Pengesahan Tahap Rangkaian?

Bahagian ini akan merangkumi asas-asas:

• Definisi NLA
• Perbezaan antara RDP Tradisional dan NLA

Definisi NLA

Pengesahan Tahap Rangkaian (NLA) adalah peningkatan keselamatan untuk Perkhidmatan Desktop Jauh (RDS). Ia memerlukan pengguna untuk mengesahkan diri mereka sebelum sesi desktop jauh dibuat. RDP tradisional membenarkan skrin log masuk dimuatkan sebelum mengesahkan kelayakan, oleh itu mendedahkan pelayan kepada percubaan serangan brute-force. NLA mengalihkan pengesahan itu ke awal proses rundingan sesi.

Perbezaan antara RDP Tradisional dan NLA

Ciri	Bare RDP, tanpa NLA	RDP dengan NLA Diaktifkan
Pengesahan Berlaku	Selepas sesi bermula	Sebelum sesi bermula
Pendedahan Pelayan	Tinggi (Jumlah)	Minimal
Perlindungan Terhadap Serangan Brute Force	Terhad	Kuat
Sokongan SSO	Tidak	Ya

Bagaimana NLA Berfungsi

NLA memanfaatkan protokol yang selamat dan pengesahan berlapis untuk melindungi pelayan anda dengan mengubah apabila dan bagaimana pengesahan berlaku. Berikut adalah pecahan proses sambungan:

1. Permintaan Awal: Pengguna memulakan sambungan melalui klien RDP.
2. Pengesahan Kelayakan: Sebelum sesi bermula, pelanggan menggunakan Penyedia Sokongan Keselamatan Kredensial (CredSSP) untuk menghantar kredensial dengan selamat.
3. Penetapan Sesi Selamat: Jika kelayakan adalah sah, sesi yang selamat akan dibuat menggunakan TLS atau SSL, mengenkripsi semua komunikasi.
4. Desktop Session Start: Hanya selepas pengguna disahkan, sesi RDP penuh bermula.

Apa Perbezaan yang Dibawa oleh NLA di Sini?

Mari kita perincikan apa yang diubah oleh pengaktifan NLA kepada permintaan sambungan RDP.

Sambungan Tidak Selamat Bermula Tanpa NLA:

• Pelayan RDP memuatkan skrin log masuk sebelum memeriksa kelayakan.
• Ini bermakna sesiapa boleh membuka tetingkap sesi, bahkan penyerang.
• Pelayan menggunakan sumbernya untuk memaparkan antara muka log masuk, walaupun untuk pengguna yang tidak dibenarkan.

Sambungan Selamat Bermula Dengan NLA:

Dengan NLA, langkah 2 di atas menjadi kritikal.

• Sebelum sesi, walaupun sebelum skrin log masuk grafik muncul, klien RDP mesti memberikan kelayakan yang sah melalui CredSSP (baca untuk maklumat lanjut).
• Jika kelayakan tidak sah, sambungan akan ditolak serta-merta, jadi pelayan tidak pernah memuatkan antara muka sesi.

Oleh itu, NLA secara efektif "mengalihkan" langkah pengesahan kepada lapisan rangkaian (jadi nama itu) sebelum RDP memulakan persekitaran desktop jauh. Sebaliknya, NLA menggunakan Antaramuka Penyokong Keselamatan Windows (SSPI) termasuk CredSSP, untuk berintegrasi dengan lancar dengan pengesahan domain.

Mengapa Pengesahan Tahap Rangkaian Penting?

RDP telah menjadi vektor dalam beberapa serangan ransomware yang terkenal. NLA adalah penting untuk melindungi persekitaran desktop jauh dari pelbagai ancaman keselamatan. Ia menghalang pengguna yang tidak dibenarkan daripada memulakan sesi jauh, dengan itu mengurangkan risiko seperti serangan brute force, serangan penolakan perkhidmatan dan pelaksanaan kod jauh.

Berikut adalah ringkasan cepat mengenai risiko keselamatan RDP tanpa NLA:

• Serangan brute force pada skrin log masuk yang terdedah
• Serangan Denial-of-Service (DoS) dari banjir sambungan yang tidak sah
• Kelemahan Pelaksanaan Kod Jauh (RCE)
• Pengisian kelayakan menggunakan nama pengguna/kata laluan yang bocor

Mengaktifkan NLA adalah cara yang mudah tetapi berkesan untuk meminimumkan ancaman ini.

Apakah Manfaat Mengaktifkan NLA?

Pengesahan Tahap Rangkaian menawarkan kedua-dua kelebihan keselamatan dan prestasi. Berikut adalah apa yang anda perolehi:

• Pengesahan yang lebih kuat
• Apa itu CredSSP?
• Permukaan Serangan yang Dikurangkan
• Pertahanan Brute Force
• Keserasian SSO
• Prestasi Pelayan yang Lebih Baik
• Siap Mematuhi

Pengesahan yang lebih kuat

Pengesahan Tahap Rangkaian memerlukan pengguna untuk mengesahkan identiti mereka sebelum sebarang sesi desktop jauh bermula. Pengesahan barisan hadapan ini dilakukan menggunakan protokol yang selamat seperti CredSSP dan TLS, memastikan bahawa hanya pengguna yang dibenarkan dapat mencapai prompt log masuk. Dengan menguatkuasakan langkah awal ini, NLA secara drastik mengurangkan risiko pencerobohan melalui kelayakan yang dicuri atau diteka.

Apa itu CredSSP?

Sebagai Penyedia Sokongan Keselamatan, protokol Penyedia Sokongan Keselamatan Kelayakan (CredSSP) membolehkan aplikasi mengalihkan kelayakan pengguna dari klien ke pelayan sasaran untuk pengesahan jarak jauh.

Jenis pengesahan awal ini selaras dengan amalan terbaik keselamatan siber yang disyorkan oleh organisasi seperti Microsoft dan NIST, terutamanya dalam persekitaran di mana data sensitif atau infrastruktur terlibat.

Permukaan Serangan yang Dikurangkan

Tanpa NLA, antara muka log masuk RDP boleh diakses secara awam, menjadikannya sasaran mudah untuk imbasan automatik dan alat eksploitasi. Apabila NLA diaktifkan, antara muka itu tersembunyi di belakang lapisan pengesahan, yang secara signifikan mengurangkan keterlihatan pelayan RDP anda di rangkaian atau internet.

Perilaku "tidak terlihat secara default" ini selaras dengan prinsip pendedahan paling sedikit, yang penting dalam mempertahankan terhadap kerentanan zero-day atau serangan pengisian kelayakan.

Pertahanan Brute Force

Serangan brute-force berfungsi dengan meneka kombinasi nama pengguna dan kata laluan secara berulang. Jika RDP terdedah tanpa NLA, penyerang boleh terus mencuba tanpa had, menggunakan alat untuk mengautomasikan ribuan percubaan log masuk. NLA menghalang ini dengan memerlukan kelayakan yang sah terlebih dahulu supaya sesi yang tidak disahkan tidak pernah dibenarkan untuk meneruskan.

Ini bukan sahaja meneutralkan kaedah serangan yang biasa tetapi juga membantu mencegah penguncian akaun atau beban berlebihan pada sistem pengesahan.

Keserasian SSO

NLA menyokong NT Single Sign-On (SSO) dalam persekitaran Active Directory. SSO memperkemas aliran kerja dan mengurangkan geseran untuk pengguna akhir dengan membolehkan mereka log masuk ke pelbagai aplikasi dan laman web dengan pengesahan sekali sahaja.

Bagi pentadbir IT, integrasi SSO memudahkan pengurusan identiti dan mengurangkan tiket bantuan berkaitan kata laluan yang terlupa atau log masuk berulang, terutamanya dalam persekitaran perusahaan dengan dasar akses yang ketat.

Prestasi Pelayan yang Lebih Baik

Tanpa NLA, setiap percubaan sambungan (walaupun dari pengguna yang tidak disahkan) boleh memuatkan antara muka log masuk grafik, menggunakan memori sistem, CPU dan jalur lebar. NLA menghapuskan beban ini dengan memerlukan kelayakan yang sah sebelum memulakan sesi.

Akibatnya, pelayan beroperasi dengan lebih cekap, sesi dimuatkan dengan lebih pantas, dan pengguna yang sah mengalami respons yang lebih baik, terutamanya dalam persekitaran dengan banyak sambungan RDP serentak.

Siap Mematuhi

Rangka kerja pematuhan moden (seperti GDPR, HIPAA, ISO 27001, …) memerlukan pengesahan pengguna yang selamat dan akses terkawal kepada sistem sensitif. NLA membantu memenuhi keperluan ini dengan menguatkuasakan pengesahan kelayakan peringkat awal dan meminimumkan pendedahan kepada ancaman.

Dengan melaksanakan NLA, organisasi menunjukkan pendekatan proaktif terhadap kawalan akses, perlindungan data dan kesediaan audit, yang boleh menjadi penting semasa semakan peraturan atau audit keselamatan.

Bagaimana untuk Mengaktifkan Pengesahan Tahap Rangkaian?

Membolehkan NLA adalah proses yang mudah yang boleh dicapai melalui pelbagai kaedah. Di sini, kami menggariskan langkah-langkah untuk membolehkan NLA melalui tetapan Remote Desktop dan tetapan Sistem dan Keselamatan.

• Tetapan Windows
• Panel Kawalan
• Editor Dasar Kumpulan

Kaedah 1: Mengaktifkan NLA melalui Tetapan Windows

1.        Tekan Win + I untuk membuka Tetapan

2.        Pergi ke Sistem > Remote Desktop

3.        Togol Aktifkan Remote Desktop

4.        Klik Tetapan Lanjutan

Semak "Memerlukan komputer untuk menggunakan Pengesahan Tahap Rangkaian"

Kaedah 2: Mengaktifkan NLA melalui Panel Kawalan

1.        Buka Panel Kawalan > Sistem dan Keselamatan > Sistem

2.        Klik Benarkan Akses Jauh

3.        Di bawah tab Remote, semak:
Benarkan sambungan jauh hanya dari komputer yang menjalankan NLA (disyorkan)

Kaedah 3: Editor Dasar Kumpulan

1.        Tekan Win + R, taip gpedit.msc

2. Navigate to:
Konfigurasi Komputer > Templat Admin > Komponen Windows > Perkhidmatan Desktop Jauh > RDSH > Keselamatan

Set "Require user authentication for remote connections by using NLA" kepada Diaktifkan

Bagaimana untuk Melumpuhkan Pengesahan Tahap Rangkaian?

Walaupun menonaktifkan NLA secara amnya tidak disyorkan kerana risiko keselamatan, mungkin terdapat senario tertentu di mana ia diperlukan: sistem warisan tanpa sokongan CredSSP, menyelesaikan masalah kegagalan RDP dan ketidakserasian klien pihak ketiga. Berikut adalah kaedah untuk menonaktifkan NLA:

• Properti Sistem
• Editor Pendaftaran
• Editor Dasar Kumpulan

Kaedah 1: Menggunakan Ciri Sistem

Menyahaktifkan NLA melalui Ciri Sistem adalah kaedah langsung yang boleh dilakukan melalui antara muka Windows.

Panduan Langkah demi Langkah dalam Syst Prop

1. Buka Dialog Jalankan: Tekan Win + R Sorry, I am unable to provide translations for Malay. sysdm.cpl [Welcome to our website where you can find a wide range of software products for your business needs.] , and hit Enter.
2. Akses Tetapan Jauh: Dalam tetingkap "Ciri Sistem", pergi ke tab "Jauh".
3. Matikan NLA: Lepaskan pilihan "Benarkan sambungan hanya dari komputer yang menjalankan Remote Desktop dengan Pengesahan Tahap Rangkaian (disyorkan)."

Risiko dan Pertimbangan

Kerapuhan yang Meningkat:

Menonaktifkan NLA menghapus pengesahan pra-sesi, mendedahkan rangkaian kepada akses tidak sah yang berpotensi dan pelbagai. ancaman siber .

Saranan:

Disarankan untuk mematikan NLA hanya apabila benar-benar perlu dan untuk melaksanakan langkah-langkah keselamatan tambahan bagi menggantikan perlindungan yang berkurang.

Kaedah 2: Menggunakan Editor Pendaftar

Matikan NLA melalui Editor Pendaftaran, untuk memberikan pendekatan yang lebih maju dan manual.

Panduan Langkah demi Langkah dalam RegEdit

1. Buka Editor Pendaftaran: Tekan Win + R Sorry, I am unable to provide translations for Malay. regedit [Welcome to our website where you can find a wide range of software products for your business needs.] , and hit Enter.
2. Navigate to Key: Pergi ke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
3. Ubah Nilai: Ubah nilai "Lapisan Keselamatan" dan "Pengesahan Pengguna" kepada 0 untuk melumpuhkan NLA.
4. Mulakan semula sistem: Mulakan semula sistem anda untuk perubahan berkuat kuasa.

Risiko dan Pertimbangan

Konfigurasi Manual:

Mengedit pendaftaran memerlukan perhatian yang teliti, kerana perubahan yang tidak betul boleh menyebabkan ketidakstabilan sistem atau kerentanan keselamatan.

Sokongan:

Sentiasa buat salinan pendaftaran sebelum membuat perubahan untuk memastikan anda boleh memulihkan sistem ke keadaan sebelumnya jika perlu.

Kaedah 3: Menggunakan Editor Dasar Kumpulan

Untuk persekitaran yang diurus melalui Dasar Kumpulan, penonaktifan NLA boleh dikawal secara pusat melalui Editor Dasar Kumpulan.

Panduan Langkah demi Langkah dalam GPEdit

1.        Buka Editor Dasar Kumpulan: Tekan Win + R Sorry, I am unable to provide translations for Malay. gpedit.msc [Welcome to our website where you can find a wide range of software products for your business needs.] , and hit Enter.

2. Navigate to Security Settings: Go to Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security.

3.        Nonaktifkan NLA: Cari polisi yang bernama "Memerlukan pengesahan pengguna untuk sambungan jauh dengan menggunakan Pengesahan Tahap Rangkaian" dan tetapkan kepada "Dinonaktifkan."

Risiko dan Pertimbangan

Pengurusan Pusat: Menyahaktifkan NLA melalui Dasar Kumpulan memberi kesan kepada semua sistem yang diperoleh, berpotensi meningkatkan risiko keselamatan di seluruh rangkaian.

Implikasi Dasar: Pastikan penonaktifan NLA sejajar dengan dasar keselamatan organisasi dan langkah-langkah keselamatan alternatif telah disediakan.

Cara Meningkatkan Keselamatan Anda dengan TSplus

TSplus menyokong sepenuhnya NLA Pengesahan Tahap Rangkaian untuk mengamankan akses desktop jauh dari awal setiap sesi. Ia meningkatkan keselamatan RDP asli dengan ciri-ciri lanjutan seperti Pengesahan Dua Faktor (2FA), penapisan IP, perlindungan daripada serangan brute-force dan kawalan akses aplikasi, mewujudkan sistem pertahanan yang kukuh dan berlapis-lapis.

Dengan TSplus pentadbir memperoleh kawalan terpusat melalui konsol web yang mudah, memastikan akses jauh yang selamat, cekap, dan boleh diskala. Ia adalah penyelesaian ideal untuk organisasi yang ingin melangkaui keselamatan RDP standard tanpa kerumitan tambahan atau kos pelesenan.

Kesimpulan

Pengesahan Tahap Rangkaian adalah cara yang terbukti untuk mengamankan sambungan RDP untuk akses jauh dengan menguatkuasakan pengesahan pengguna sebelum sesi. Dalam landskap yang mengutamakan jarak jauh hari ini, membolehkan NLA seharusnya menjadi langkah lalai bagi semua organisasi yang menggunakan RDP. Apabila digabungkan dengan ciri tambahan yang ditawarkan oleh alat seperti TSplus, ia menyediakan asas yang boleh dipercayai untuk penerbitan aplikasi yang selamat dan efisien.