Wilt u de site in een andere taal bekijken?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Taal wijzigen
Inhoudsopgave

Introductie

Met de verschuiving naar hybride werk en de toenemende afhankelijkheid van remote desktop toegang, is het waarborgen van veilige remote sessies van groot belang. Remote Desktop Protocol (RDP), hoewel handig, is ook een frequent doelwit voor cyberaanvallen. Een van de basisbeschermingen van uw RDP is NLA. Leer erover, hoe u het kunt inschakelen en, nog belangrijker, hoe RDP Network Level Authentication (NLA) verbetert. Externe toegang beveiliging.

Wat is Netwerk Niveau Authenticatie?

Deze sectie behandelt de basisprincipes:

  • Definitie van NLA
  • Verschil tussen traditionele RDP en NLA

Definitie van NLA

Netwerkniveau-authenticatie (NLA) is een beveiligingsverbetering voor Remote Desktop Services (RDS). Het vereist dat gebruikers zichzelf authentiseren voordat een externe bureaubladsessie wordt aangemaakt. Traditionele RDP stond toe dat het inlogscherm werd geladen voordat de inloggegevens werden geverifieerd, waardoor de server blootgesteld werd aan brute-force pogingen. NLA verschuift die validatie naar het allereerste begin van het sessieonderhandelingsproces.

Verschil tussen traditionele RDP en NLA

Functie Bare RDP, zonder NLA RDP met NLA ingeschakeld
Authenticatie vindt plaats Nadat de sessie is gestart Voordat de sessie begint
Server Blootstelling Hoog (Totaal) Minimaal
Bescherming tegen Brute Force Beperkt Sterk
SSO-ondersteuning Nee Ja

Hoe NLA werkt

NLA maakt gebruik van veilige protocollen en gelaagde validatie om uw server te beschermen door te veranderen wanneer en hoe authenticatie vindt plaats. Hier is de uiteenzetting van het verbindingsproces:

  1. Initiële aanvraag: De gebruiker initieert een verbinding via de RDP-client.
  2. Inloggegevensvalidatie: Voordat de sessie begint, gebruikt de cliënt Credential Security Support Provider (CredSSP) om veilig inloggegevens door te geven.
  3. Veilige sessie-inrichting: Als de inloggegevens geldig zijn, wordt er een veilige sessie aangemaakt met TLS of SSL, waarbij alle communicatie wordt versleuteld.
  4. Desktop Sessie Start: Pas nadat de gebruiker is geverifieerd, begint de volledige RDP-sessie.

Welke Verschil Heeft NLA Hier Gemaakt?

Laten we uiteenzetten wat de activatie van NLA verandert voor RDP-verbinding aanvragen.

Onveilige verbindingen beginnen zonder NLA:

  • De RDP-server laadt het inlogscherm voorafgaand gegevens controleren.
  • Dit betekent iedereen kan een sessievenster openen, zelfs aanvallers.
  • De server gebruikt zijn middelen om de inloginterface weer te geven, zelfs voor ongeautoriseerde gebruikers.

Veilige verbindingen beginnen met NLA:

Met NLA werd stap 2 hierboven cruciaal.

  • Voordat een sessie begint, zelfs voordat het grafische inlogscherm verschijnt, moet de RDP-client geldige inloggegevens verstrekken via CredSSP lees verder voor details.
  • Als de inloggegevens ongeldig zijn, wordt de verbinding onmiddellijk geweigerd, zodat de server de sessie-interface nooit laadt.

Daarom "verschuift" NLA effectief de authenticatiestap naar de netwerklaag (daarom de naam) voorafgaand RDP initialiseert de externe desktopomgeving. Op zijn beurt gebruikt NLA Windows-beveiligingsondersteuningsproviderinterface (SSPI) , inclusief CredSSP, om naadloos te integreren met domeinverificatie.

Waarom netwerkniveau-authenticatie belangrijk is?

RDP is een vector geweest in verschillende hooggeprofileerde ransomware-aanvallen. NLA is essentieel voor het beschermen van externe desktopomgevingen van verschillende beveiligingsbedreigingen. Het voorkomt dat ongeautoriseerde gebruikers zelfs een externe sessie kunnen starten, waardoor risico's zoals brute force-aanvallen, denial-of-service-aanvallen en externe code-uitvoering worden verminderd.

Hier is een korte samenvatting van de RDP-beveiligingsrisico's zonder NLA:

  • Brute force aanvallen op blootgestelde inlogschermen
  • Denial-of-Service (DoS) van niet-geauthenticeerde verbindingsoverstromingen
  • Kwetsbaarheden voor Remote Code Execution (RCE)
  • Credential stuffing met gelekte gebruikersnamen/wachtwoorden

Het inschakelen van NLA is een eenvoudige maar effectieve manier om deze bedreigingen te minimaliseren.

Wat zijn de voordelen van het inschakelen van NLA?

Netwerkniveau-authenticatie biedt zowel beveiligings- als prestatievoordelen. Dit is wat je wint:

  • Sterkere Authenticatie
  • Wat is CredSSP?
  • Verminderde Aanvalsvlak
  • Brute Force Defense
  • SSO-compatibiliteit
  • Betere serverprestaties
  • Compliance Klaar

Sterkere Authenticatie

Netwerkniveau-authenticatie vereist dat gebruikers hun identiteit verifiëren voordat een externe bureaubladsessie begint. Deze frontlinie-validatie wordt uitgevoerd met behulp van veilige protocollen zoals CredSSP en TLS, waardoor alleen geautoriseerde gebruikers zelfs de aanmeldprompt bereiken. Door deze vroege stap af te dwingen, vermindert NLA drastisch het risico op inbraak door gestolen of geraden inloggegevens.

Wat is CredSSP?

Als een beveiligingsondersteuningsprovider laat het Credential Security Support Provider-protocol (CredSSP) een applicatie de gebruikersreferenties van de client naar de doelsserver delegateren voor externe authenticatie.

Dit type vroege verificatie is afgestemd op de beste praktijken op het gebied van cyberbeveiliging die worden aanbevolen door organisaties zoals Microsoft en NIST, vooral in omgevingen waar gevoelige gegevens of infrastructuur betrokken zijn.

Verminderde Aanvalsvlak

Zonder NLA is de RDP-logininterface openbaar toegankelijk, waardoor het een gemakkelijk doelwit is voor geautomatiseerde scans en exploittools. Wanneer NLA is ingeschakeld, is die interface verborgen achter de authenticatielaag, waardoor de zichtbaarheid van uw RDP-server op het netwerk of internet aanzienlijk wordt verminderd.

Dit "standaard onzichtbare" gedrag sluit aan bij het principe van minimale blootstelling, wat cruciaal is voor de verdediging tegen zero-day kwetsbaarheden of credential stuffing aanvallen.

Brute Force Defense

Brute-force aanvallen werken door herhaaldelijk gebruikersnamen en wachtwoordcombinaties te raden. Als RDP zonder NLA wordt blootgesteld, kunnen aanvallers eindeloos blijven proberen, met behulp van tools om duizenden inlogpogingen te automatiseren. NLA blokkeert dit door vooraf geldige inloggegevens te vereisen, zodat niet-geauthenticeerde sessies nooit verder mogen gaan.

Dit neutraliseert niet alleen een veelvoorkomende aanvalsmethode, maar helpt ook om accountvergrendelingen of een overmatige belasting van authenticatiesystemen te voorkomen.

SSO-compatibiliteit

NLA ondersteunt NT Single Sign-On (SSO) in Active Directory-omgevingen. SSO stroomlijnt workflows en vermindert de wrijving voor eindgebruikers door hen hen in staat stellen om in te loggen op meerdere applicaties en websites met eenmalige authenticatie.

Voor IT-beheerders vereenvoudigt SSO-integratie identiteitsbeheer en vermindert het aantal helpdesktickets met betrekking tot vergeten wachtwoorden of herhaalde inlogpogingen, vooral in bedrijfsomgevingen met strikte toegangsbeleid.

Betere serverprestaties

Zonder NLA kan elke verbindingspoging (zelfs van een niet-geauthenticeerde gebruiker) de grafische inloginterface laden, wat systeemgeheugen, CPU en bandbreedte verbruikt. NLA elimineert deze overhead door geldige inloggegevens te vereisen voordat de sessie wordt gestart.

Als gevolg hiervan draaien servers efficiënter, laden sessies sneller en ervaren legitieme gebruikers een betere responsiviteit, vooral in omgevingen met veel gelijktijdige RDP-verbindingen.

Compliance Klaar

Moderne compliancekaders (zoals GDPR, HIPAA, ISO 27001, …) vereisen veilige gebruikersauthenticatie en gecontroleerde toegang tot gevoelige systemen. NLA helpt deze vereisten te vervullen door vroege validatie van inloggegevens af te dwingen en de blootstelling aan bedreigingen te minimaliseren.

Door NLA te implementeren, tonen organisaties een proactieve benadering van toegangscontrole, gegevensbescherming en auditgereedheid, wat cruciaal kan zijn tijdens regelgevende beoordelingen of beveiligingsaudits.

Hoe netwerkniveau-authenticatie in te schakelen?

Het inschakelen van NLA is een eenvoudig proces dat kan worden voltooid via verschillende methoden. Hier schetsen we de stappen om NLA in te schakelen via de instellingen voor extern bureaublad en de instellingen voor systeem en beveiliging.

  • Windows-instellingen
  • Bedieningspaneel
  • Groepsbeleidseditor

Methode 1: NLA inschakelen via Windows-instellingen

1. Druk op Win + I om Instellingen te openen

Ga naar Systeem > Remote Desktop

3.        Schakel Remote Desktop in

4. Klik op Geavanceerde instellingen

5. Controleer "Vereis dat computers Netwerkniveau-authenticatie gebruiken"

Methode 2: NLA inschakelen via Configuratiescherm

1. Open Configuratiescherm > Systeem en Beveiliging > Systeem

2. Klik op Toestaan Remote Access

3. Onder het tabblad Remote, controleer:
Sta alleen externe verbindingen toe vanaf computers die NLA uitvoeren (aanbevolen)

Methode 3: Groepsbeleid Editor

1. Druk op Win + R, typ gpedit.msc

2. Navigeer naar:
Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Remote Desktop Services > RDSH > Beveiliging

3. Stel "Vereis gebruikersauthenticatie voor externe verbindingen met NLA" in op Ingeschakeld

Hoe netwerkniveau-authenticatie uit te schakelen?

Hoewel het uitschakelen van NLA over het algemeen niet wordt aanbevolen vanwege de beveiligingsrisico's, kunnen er specifieke scenario's zijn waarin dit noodzakelijk is: legacy-systemen zonder CredSSP-ondersteuning, het oplossen van RDP-fouten en incompatibiliteit met derden. Hier zijn methoden om NLA uit te schakelen:

  • Systeem eigenschappen
  • Register-editor
  • Groepsbeleidseditor

Methode 1: Gebruikmakend van Systeemeigenschappen

Het uitschakelen van NLA via Systeemeigenschappen is een directe methode die kan worden uitgevoerd via de Windows-interface.

Stapsgewijze handleiding in Syst Prop

  1. Open Uitvoeren Dialoogvenster: Druk Win + R Remote Desktop Services (RDS) is een uitgebreide oplossing voor toegang op afstand die bedrijven helpt om hun werknemers overal en altijd te verbinden met hun werkplek. Met RDS kunnen gebruikers toegang krijgen tot applicaties, gegevens en zelfs hele desktops vanaf vrijwel elk apparaat met internettoegang. Met TSplus vs RDS kunt u de beste optie kiezen voor uw bedrijf op het gebied van externe toegang en samenwerking. sysdm.cpl Welcome to our website where you can find a wide range of software products for your business needs.
  2. Toegang tot externe instellingen: Ga in het venster "Systeemeigenschappen" naar het tabblad "Extern".
  3. Uitschakelen NLA: Schakel de optie "Toestaan van verbindingen alleen van computers die Remote Desktop met Network Level Authentication uitvoeren (aanbevolen)" uit.

Risico's en Overwegingen

Verhoogde kwetsbaarheid:

Het uitschakelen van NLA verwijdert de authenticatie voorafgaand aan de sessie, waardoor het netwerk blootgesteld wordt aan potentiële ongeautoriseerde toegang en verschillende. cyberbedreigingen .

Aanbeveling:

Het wordt aangeraden om NLA alleen uit te schakelen wanneer dit absoluut noodzakelijk is en om aanvullende beveiligingsmaatregelen te implementeren om de verminderde bescherming te compenseren.

Methode 2: Gebruik van Register-editor

Schakel NLA uit via de Register-editor om een meer geavanceerde en handmatige benadering te bieden.

Stapsgewijze handleiding in RegEdit

  1. Open Register-Editor: Druk op Win + R Remote Desktop Services (RDS) is een uitgebreide oplossing voor toegang op afstand die bedrijven helpt om hun werknemers overal en altijd te verbinden met hun werkplek. Met RDS kunnen gebruikers toegang krijgen tot applicaties, gegevens en zelfs hele desktops vanaf vrijwel elk apparaat met internettoegang. Met TSplus vs RDS kunt u de beste optie kiezen voor uw bedrijf op het gebied van externe toegang en samenwerking. regedit Welcome to our website where you can find a wide range of software products for your business needs.
  2. Navigeer naar Sleutel: Ga naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
  3. Wijzig waarden: Verander de waarden van "Beveiligingslaag" en "Gebruikersauthenticatie" naar 0 om NLA uit te schakelen.
  4. Herstart Systeem: Start uw systeem opnieuw op zodat de wijzigingen van kracht worden.

Risico's en Overwegingen

Handmatige configuratie:

Het bewerken van het register vereist zorgvuldige aandacht, aangezien onjuiste wijzigingen kunnen leiden tot systeeminstabiliteit of beveiligingskw vulnerabilities.

Back-up:

Maak altijd een back-up van het register voordat u wijzigingen aanbrengt om ervoor te zorgen dat u het systeem indien nodig naar de vorige staat kunt herstellen.

Methode 3: Gebruik van de Groepsbeleid-editor

Voor omgevingen die worden beheerd via Group Policy, kan het uitschakelen van NLA centraal worden gecontroleerd via de Group Policy Editor.

Stapsgewijze handleiding in GPEdit

1. Open Groepsbeleid Editor: Druk Win + R Remote Desktop Services (RDS) is een uitgebreide oplossing voor toegang op afstand die bedrijven helpt om hun werknemers overal en altijd te verbinden met hun werkplek. Met RDS kunnen gebruikers toegang krijgen tot applicaties, gegevens en zelfs hele desktops vanaf vrijwel elk apparaat met internettoegang. Met TSplus vs RDS kunt u de beste optie kiezen voor uw bedrijf op het gebied van externe toegang en samenwerking. gpedit.msc Welcome to our website where you can find a wide range of software products for your business needs.

2. Navigeer naar Beveiligingsinstellingen: Ga naar Computerconfiguratie -> Beheersjablonen -> Windows-onderdelen -> Remote Desktop Services -> Remote Desktop-sessiehost -> Beveiliging.

3.        Schakel NLA uit: Zoek het beleid met de naam "Vereis gebruikersauthenticatie voor externe verbindingen met behulp van Network Level Authentication" en stel het in op "Uitgeschakeld."

Risico's en Overwegingen

Centraal beheer: Het uitschakelen van NLA via Groepsbeleid heeft invloed op alle beheerde systemen, wat mogelijk het beveiligingsrisico in het netwerk vergroot.

Beleidsimplicaties: Zorg ervoor dat het uitschakelen van NLA in overeenstemming is met de organisatorische beveiligingsbeleid en dat er alternatieve beveiligingsmaatregelen zijn getroffen.

Hoe uw beveiliging te verbeteren met TSplus

TSplus ondersteunt volledig NLA (Netwerkniveau-authenticatie) om de toegang tot de externe desktop vanaf het begin van elke sessie te beveiligen. Het verbetert de native RDP-beveiliging met geavanceerde functies zoals Two-Factor Authentication (2FA), IP-filtering, bescherming tegen brute force en toegangscontrole voor applicaties, waardoor een robuust, gelaagd verdedigingssysteem ontstaat.

Met TSplus administrators krijgen gecentraliseerde controle via een eenvoudige webconsole, wat zorgt voor veilige, efficiënte en schaalbare remote access. Het is een ideale oplossing voor organisaties die verder willen gaan dan de standaard RDP-beveiliging zonder extra complexiteit of licentiekosten.

Conclusie

Netwerkniveau-authenticatie is een bewezen manier om RDP-verbindingen voor externe toegang te beveiligen door voorafgaande gebruikersverificatie af te dwingen. In het huidige remote-first landschap zou het inschakelen van NLA een standaardstap moeten zijn voor alle organisaties die RDP gebruiken. In combinatie met de uitgebreide functies die worden aangeboden door tools zoals TSplus, biedt het een betrouwbare basis voor veilige, efficiënte applicatiepublicatie.

TSplus Gratis proefversie voor externe toegang

Ultimate Citrix/RDS-alternatief voor desktop/app-toegang. Veilige, kosteneffectieve, on-premises/cloud

Start een gratis proefperiode

Delen:

Facebook Twitter LinkedIn

Jouw TSplus Team

Verder lezen

back to top of the page icon