Vil du se nettstedet på et annet språk?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Endre språk
Innholdsfortegnelse

Introduksjon

Network Level Authentication (NLA) er en kjerne sikkerhetskontroll for Remote Desktop Protocol, som stopper uautentiserte brukere før en full sesjon opprettes. Når NLA feiler, står IT-team overfor blokkerte pålogginger, vage feilmeldinger og frustrerte sluttbrukere som ikke kan nå kritiske servere. Denne guiden forklarer hva NLA er, hvorfor disse feilene oppstår, og hvordan man systematisk kan feilsøke og løse NLA-problemer uten å svekke din RDP sikkerhetsstilling.

Hva er NLA i RDP?

Nettverksnivåautentisering er en RDP-sikkerhetsforbedring introdusert med Windows Vista og Windows Server 2008. I stedet for å bygge den fullstendige eksterne skrivebordsøkten og deretter be om legitimasjon, krever NLA at brukerne autentiserer seg først. Først etter vellykket autentisering oppretter RDP-stakken den grafiske økten.

NLA er avhengig av CredSSP (Credential Security Support Provider) for å sikkert overføre brukergodkjenninger til målsystemet. I domene-tilknyttede miljøer kommuniserer CredSSP med Active Directory for å validere kontoen før sesjonen opprettes. På frittstående eller arbeidsgruppeverter validerer CredSSP lokale kontoer konfigurert for ekstern pålogging.

Nøkkelfordeler med NLA inkluderer:

  • Redusere vinduet for brute-force og denial-of-service angrep på eksponerte RDP-endepunkter
  • Aktivering enkelt pålogging (SSO) for domenebrukere, forbedrer brukeropplevelsen
  • Forbedre ytelsen ved å utføre autentisering før sesjonsopprettelse

Imidlertid er NLA følsom for OS-versjoner, oppdateringer, TLS konfigurasjon, og domenets helse. Når noen av disse forutsetningene feiler, kan NLA blokkere gyldige tilkoblinger helt.

Hva er de vanlige symptomene på NLA-feil i RDP?

NLA-relaterte problemer viser vanligvis lignende meldinger, uavhengig av den underliggende årsaken. Du står sannsynligvis overfor et NLA-problem hvis du møter:

  • Den eksterne datamaskinen krever nettverksnivåautentisering (NLA), men datamaskinen din støtter det ikke.
  • "Det har oppstått en autentiseringsfeil. Den forespurte funksjonen støttes ikke."
  • “Feil ved utbedring av CredSSP-krypteringsoracle.”
  • Dine legitimasjonsopplysninger fungerte ikke, selv om passordet er kjent for å være korrekt.
  • Timeouts eller brå frakoblinger under den innledende RDP-håndtrykkingen eller rett etter at legitimasjonen er angitt

Disse symptomene kan påvirke både domenetilknyttede og frittstående verter. I praksis kan de ofte spores tilbake til uoverensstemmelser i sikkerhetspolicyer, blokkert tilgang til domenekontrolleren, eller utdaterte RDP-komponenter på den ene eller andre siden.

Hva er årsakene til NLA-feil i RDP?

Å forstå de vanlige rotårsakene hjelper deg med å feilsøke raskt og unngå risikable løsninger som å permanent deaktivere NLA.

  • Klient- eller server-OS inkompatibilitet
  • Domenecontroller utilgjengelig
  • CredSSP-patchmismatch
  • TLS eller RDP-krypteringsfeilkonfigurasjon
  • Gruppepolicy eller registerkonflikter
  • Korrupte brukerkontoer eller legitimasjon
  • Arbeidsgruppe- og ikke-domene-scenarier

Klient- eller server-OS inkompatibilitet

Eldre Windows-versjoner eller tredjeparts RDP-klienter støtter kanskje ikke fullt ut NLA eller moderne CredSSP-atferd. For eksempel kan eldre Windows XP eller tidlige Vista-versjoner ikke koble til NLA-pålagte servere uten spesifikke oppdateringer. Selv på støttede systemer kan utdaterte RDP-klientbinarier forårsake "datamaskinen din støtter ikke NLA"-feil til tross for at operativsystemet nominelt støtter det.

Domenecontroller utilgjengelig

I et domenetilknyttet miljø avhenger NLA av å nå en domenekontroller for å validere legitimasjon og opprettholde maskinens sikre kanal. Hvis domenekontrolleren er offline, blokkert av en brannmur eller det er et tillitsproblem, kan NLA-autentisering mislykkes selv om serveren i seg selv er oppe. Du vil ofte se feil som nevner tilkobling til domenekontroller eller generiske "autentiseringsfeil har oppstått" meldinger.

CredSSP-patchmismatch

Fra og med oppdateringene "Encryption Oracle Remediation" i 2018 ble CredSSP mer strengt når det gjelder hvordan legitimasjoner beskyttes. Hvis en klient har oppdateringen, men serveren ikke har det (eller omvendt), kan de to endepunktene være uenige om en sikker konfigurasjon. Denne uoverensstemmelsen kan generere feil med "CredSSP encryption oracle remediation" og forhindre NLA-pålogginger inntil begge sider er oppdatert eller gruppepolicyen er justert.

TLS eller RDP-krypteringsfeilkonfigurasjon

NLA er avhengig av Transport Layer Security (TLS) for å beskytte utvekslingen av legitimasjon. Hvis TLS 1.0/1.1 er deaktivert uten at TLS 1.2 er korrekt aktivert, eller hvis svake krypteringssett håndheves, kan håndtrykkingen mellom klient og server mislykkes før NLA er fullført. Tilpasset sikkerhetsforsterkning, FIPS-modus eller feilkonfigurerte sertifikater kan alle bryte NLA selv om standard RDP uten NLA fortsatt kan fungere under visse forhold.

Gruppepolicy eller registerkonflikter

Gruppepolicyobjekter (GPOer) og lokale sikkerhetspolicyer kontrollerer hvordan RDP, CredSSP og kryptering oppfører seg. Motstridende eller altfor strenge policyer kan håndheve NLA i scenarier der klienter ikke støtter det eller krever FIPS-kompatible algoritmer som klientene dine ikke kan bruke. Registeroverstyringer for SCHANNEL eller CredSSP kan introdusere lignende inkonsekvenser, noe som resulterer i "funksjonen som ble forespurt støttes ikke" og andre generiske feil.

Korrupte brukerkontoer eller legitimasjon

Av og til er problemet begrenset til en enkelt bruker eller maskin. Korrupte bufrede legitimasjoner, en feiljustert Sikkerhetsidentifikator (SID), eller en skadet Default.rdp-fil kan alle forstyrre NLA-autentisering. I disse tilfellene kan du oppdage at en annen bruker kan logge inn fra den samme enheten, eller den samme brukeren kan logge inn fra en annen klient, men ikke begge sammen.

Arbeidsgruppe- og ikke-domene-scenarier

NLA forutsetter et miljø der brukeridentiteter kan autentiseres sterkt, vanligvis via Active Directory. I arbeidsgruppe-systemer må lokale kontoer konfigureres nøye og må ha tillatelse til å logge på via Remote Desktop. Hvis NLA håndheves, men ingen domenekontroller er tilgjengelig, eller innstillingene for lokale kontoer er feil, vil du sannsynligvis se NLA-relaterte feil selv om serveren ser ut til å være tilgjengelig.

Hvordan fikse NLA-feil i RDP?

Bruk følgende trinn i rekkefølge, fra minst invasiv til mest invasiv. Denne tilnærmingen bidrar til å gjenopprette tilgang samtidig som sikkerheten opprettholdes der det er mulig.

  • Bekreft NLA-støtte på klient og server
  • Verifiser tilkobling til domenekontroller (hvis aktuelt)
  • Juster CredSSP-patchnivåer og -policyer
  • Aktiver og valider nødvendige TLS-protokoller
  • Gjennomgå og juster gruppepolicy
  • Midlertidig deaktiver NLA for å gjenvinne tilgang
  • Tilbakestill RDP-klient og nettverkskonfigurasjon

Bekreft NLA-støtte på klient og server

Først, sørg for at begge endepunktene er i stand til NLA.

  • Kjør winver på både klient og server for å bekrefte at de er Windows Vista / Windows Server 2008 eller nyere.
  • Sørg for at de nyeste oppdateringene for Remote Desktop-klienten er installert (via Windows Update eller Microsoft Remote Desktop-appen på ikke-Windows-plattformer).
  • Hvis du bruker tredjeparts RDP-klienter, må du verifisere at NLA-støtte er eksplisitt dokumentert og aktivert i klientens innstillinger.

Hvis en av sidene ikke støtter NLA, planlegg å oppgradere eller erstatte den komponenten i stedet for å svekke sikkerheten globalt.

Verifiser tilkobling til domenekontroller (hvis aktuelt)

På domenetilknyttede maskiner, valider domenetilkoblingen før du endrer RDP-innstillinger.

  • Test grunnleggende nettverks tilgjengelighet til domenekontrollere (for eksempel, ping dc01.yourdomain.com ).
  • Bruk nltest /dsgetdc:yourdomain.com for å bekrefte at klienten kan finne en domenekontroller.
  • I PowerShell, kjør Test-ComputerSecureChannel for å sjekke maskinens sikre kanal til domenet.

Hvis den sikre kanalen er brutt, reparer den med: 

Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

Etter reparasjon, start maskinen på nytt hvis du blir bedt om det, og test NLA igjen. Ta tak i DNS-feilkonfigurasjoner, brannmurregler eller VPN-problemer som kan blokkere domenetilgang intermittently.

Juster CredSSP-patchnivåer og -policyer

Neste, bekreft at både klient og server har oppdaterte sikkerhetsoppdateringer, spesielt de som er relatert til CredSSP.

  • Installer alle viktige og sikkerhetsoppdateringer på begge endepunkter.
  • Sjekk om gruppepolicy har blitt brukt til å konfigurere "Encryption Oracle Remediation" under:
    Datamaskinkonfigurasjon → Administrative maler → System → Delegasjon av legitimasjon .

På midlertidig basis i et testmiljø kan du sette policyen til en mer permissiv verdi for å bekrefte at en streng innstilling forårsaker feilen. I produksjon bør den langsiktige løsningen være å bringe alle systemer til et konsistent oppdateringsnivå i stedet for å permanent løsne policyen.

Aktiver og valider nødvendige TLS-protokoller

Sørg for at TLS 1.2 støttes og er aktivert, da mange miljøer nå deaktiverer eldre TLS-versjoner.

På Windows Server, bekreft SCHANNEL-innstillingene i registeret under: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

For TLS 1.2 klientstøtte, bekreft at: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

"Enabled"=dword:00000001

Du må kanskje justere server-side TLS 1.2-nøkler også, og deretter starte serveren på nytt eller i det minste Remote Desktop-tjenestene. Bekreft også at RDP-sertifikatet er gyldig, betrodd og ikke bruker utdaterte signaturer.

Gjennomgå og juster gruppepolicy

Gruppepolicy er ofte der NLA-håndheving og RDP-sikkerhetskonfigurasjon defineres.

Åpen gpedit.msc (eller det tilsvarende GPMC-objektet) og naviger til:

Datamaskinkonfigurasjon → Windows-innstillinger → Sikkerhetsinnstillinger → Lokale retningslinjer → Sikkerhetsalternativer

Sjekk spesielt:

  • Krev brukerautentisering for eksterne tilkoblinger ved å bruke nettverksnivåautentisering
  • Enhver politikk som håndhever FIPS-kompatible algoritmer eller begrenser krypteringstyper

Sørg for at NLA-håndheving samsvarer med hva kundene dine kan håndtere. Hvis du slapper av en policy for å gjenopprette tilgang, dokumenter endringen og planlegg tid for å rette opp underliggende kundeproblemer i stedet for å la svakere innstillinger stå uendelig.

Midlertidig deaktiver NLA for å gjenvinne tilgang

Hvis du har mistet all ekstern tilgang til en kritisk server, kan det å midlertidig slå av NLA være en nødvendig siste utvei.

Du kan:

  • Start i sikkerhetsmodus med nettverkstilkobling og juster innstillingene for Remote Desktop, eller
  • Start opp med gjenopprettingsmedia, last inn systemhive, og rediger RDP-Tcp-nøkkelen i registeret.

Sett: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

"UserAuthentication"=dword:00000000

Dette deaktiverer NLA for RDP-lytteren. Når du får tilgang igjen, fikser du årsaken (domene-tilkobling, oppdateringer, TLS eller retningslinjer), og deretter aktiverer du NLA igjen ved å gjenopprette verdien til 1. Å holde NLA deaktivert på lang sikt øker betydelig eksponeringen for brute-force og utnyttelsesforsøk.

Tilbakestill RDP-klient og nettverkskonfigurasjon

Hvis NLA-problemer ser ut til å være isolert til en spesifikk klientenhet, utfør en lokal tilbakestilling før du endrer serverpolicy.

  • Slett den Default.rdp fil i %userprofile%\Documents for å tømme bufrede innstillinger.
  • Fjern og legg til igjen eventuelle lagrede legitimasjoner i Windows Credential Manager.
  • Bekreft at TCP 3389 (eller din tilpassede RDP-port) er tillatt gjennom lokale brannmurer og mellomliggende nettverksenheter.
  • Test fra en annen klient på det samme nettverket for å avgjøre om problemet er klientspesifikt eller mer globalt.

Dette enkle hygiene-steget løser ofte problemer med korrupte bufrede legitimasjoner eller feilaktig anvendte visnings- og sikkerhetsalternativer i RDP-klienten.

Hva er de beste praksisene for å unngå NLA-feil i fremtiden?

Når det umiddelbare problemet er løst, styrk miljøet ditt slik at NLA forblir både sikkert og pålitelig.

  • Hold operativsystemer og RDP-klienter oppdatert
  • Overvåk domenet og identitetshelse
  • Standardiser RDP- og NLA-policyer via GPO
  • Aktiver hendelseslogg og sikkerhetsmonitorering
  • Isoler RDP bak sikre inngangspunkter

Hold operativsystemer og RDP-klienter oppdatert

Oppretthold en standard for oppdatering av både servere og endepunkter. Juster deg etter støttede Windows-versjoner og unngå å la eldre, uoppdaterte klienter være i produksjon. Konsistente oppdateringsgrunnlag reduserer CredSSP- og TLS-mismatcher som vanligvis bryter NLA.

Overvåk domenet og identitetshelse

For domenetilknyttede systemer, behandle helsen til domenekontrolleren som en del av RDP-stakken din. Bruk verktøy som dcdiag , repadmin , og domenekontrollerens hendelseslogger for å fange opp replikering eller DNS-problemer tidlig. Intermittente domenefeil kan vise seg som RDP- og NLA-problemer lenge før brukerne merker andre symptomer.

Standardiser RDP- og NLA-policyer via GPO

Definer din RDP kryptering, NLA-håndheving og CredSSP-policyer sentralt. Bruk dem per OU eller sikkerhetsgruppe basert på enhetsroller, som produksjonsservere vs. testlaboratorier. Standardisering reduserer konfigurasjonsavvik og gjør feilsøking mye raskere når problemer oppstår.

Aktiver hendelseslogg og sikkerhetsmonitorering

Overvåk hendelsesviseren på RDP-verter, spesielt:

  • Windows Logger → Sikkerhet
  • Windows-logger → System
  • Applikasjoner og tjenestelogg → Microsoft → Windows → TerminalServices

Korreler gjentatte mislykkede pålogginger, TLS-håndtrykkfeil eller CredSSP-feil med SIEM-en din der det er mulig. Denne overvåkingen hjelper med å skille mellom konfigurasjonsproblemer og aktive angrep.

Isoler RDP bak sikre inngangspunkter

Selv med NLA er det høy risiko å eksponere RDP direkte mot internett. Plasser RDP bak en sikker gateway, VPN eller ZTNA-stil proxy. Legg til MFA der det er mulig. Verktøy som TSplus Advanced Security kan ytterligere begrense hvor, når og hvordan brukere kobler til, noe som reduserer sannsynligheten for at NLA-relaterte hendelser når serveren i det hele tatt.

Styrk RDP-sikkerheten med TSplus Advanced Security

NLA løser bare en del av RDP risikoequasjonen. TSplus Advanced Security legger til ekstra lag med beskyttelse rundt Windows-serverne og eksterne skrivebord uten kompleksiteten av fullstendige VDI-stabler. Funksjoner som dynamisk beskyttelse mot brute-force, IP- og landbaserte restriksjoner, retningslinjer for arbeidstimer og tilgangsregler på applikasjonsnivå bidrar til å holde angripere ute mens legitime brukere forblir produktive.

For organisasjoner som er avhengige av RDP, men ønsker sterkere, enklere sikkerhetskontroller, kan NLA kombineres med TSplus Advanced Security tilbyr en praktisk måte å styrke fjernadgang og redusere arbeidsmengden for hendelsesrespons.

Konklusjon

NLA-feil i RDP er frustrerende, spesielt når de dukker opp uten åpenbare endringer i miljøet. I virkeligheten peker de nesten alltid på spesifikke problemer i OS-versjoner, domenetilkobling, CredSSP-patching, TLS-konfigurasjon eller sikkerhetspolicyer. Ved å jobbe gjennom en strukturert sjekkliste kan du gjenopprette sikker tilgang uten å ty til risikable permanente løsninger.

Behandle NLA som en grunnleggende sikkerhetskontroll snarere enn en valgfri funksjon. Hold den aktivert, validert og overvåket som en del av din samlede fjernaksessholdning. Når du må deaktivere den, begrens eksplosjonsradiusen, løs opp det underliggende problemet, og slå NLA på igjen så snart som mulig.

Del:

Facebook Twitter LinkedIn

Ditt TSplus Team

Videre lesning

back to top of the page icon