Czy chciałbyś zobaczyć stronę w innym języku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Zmień język
Spis treści

Wprowadzenie

Uwierzytelnianie na poziomie sieci (NLA) jest podstawową kontrolą bezpieczeństwa dla protokołu pulpitu zdalnego, zatrzymując nieautoryzowanych użytkowników przed utworzeniem pełnej sesji. Gdy NLA zawiedzie, zespoły IT stają w obliczu zablokowanych logowań, niejasnych komunikatów o błędach i sfrustrowanych użytkowników końcowych, którzy nie mogą uzyskać dostępu do krytycznych serwerów. Ten przewodnik wyjaśnia, czym jest NLA, dlaczego występują te błędy oraz jak systematycznie diagnozować i rozwiązywać problemy z NLA, nie osłabiając swojej postawy bezpieczeństwa RDP.

Co to jest NLA w RDP?

Uwierzytelnianie na poziomie sieci to ulepszenie zabezpieczeń RDP wprowadzone w systemach Windows Vista i Windows Server 2008. Zamiast budować pełną sesję pulpitu zdalnego i następnie prosić o dane uwierzytelniające, NLA wymaga, aby użytkownicy najpierw się uwierzytelnili. Dopiero po pomyślnym uwierzytelnieniu stos RDP tworzy sesję graficzną.

NLA opiera się na CredSSP (Credential Security Support Provider), aby bezpiecznie przekazywać dane uwierzytelniające użytkownika do docelowego systemu. W środowiskach dołączonych do domeny CredSSP komunikuje się z Active Directory, aby zweryfikować konto przed nawiązaniem sesji. Na hostach samodzielnych lub w grupach roboczych CredSSP weryfikuje lokalne konta skonfigurowane do zdalnego logowania.

Kluczowe korzyści z NLA obejmują:

  • Zmniejszenie okna dla ataków typu brute-force i denial-of-service na narażonych punktach końcowych RDP
  • Włączanie jednolity dostęp (SSO) dla użytkowników domeny, poprawiając doświadczenia użytkowników
  • Poprawa wydajności poprzez przeprowadzenie uwierzytelnienia przed utworzeniem sesji

Jednak NLA jest wrażliwa na wersje systemu operacyjnego, poprawki, TLS konfiguracja i stan domeny. Gdy którykolwiek z tych warunków wstępnych nie zostanie spełniony, NLA może całkowicie zablokować ważne połączenia.

Jakie są powszechne objawy błędów NLA w RDP?

Problemy związane z NLA zazwyczaj objawiają się podobnymi komunikatami, niezależnie od podstawowej przyczyny. Prawdopodobnie masz do czynienia z problemem NLA, jeśli napotkasz:

  • Zdalny komputer wymaga uwierzytelniania na poziomie sieci (NLA), ale twój komputer tego nie obsługuje.
  • Wystąpił błąd uwierzytelniania. Żądana funkcja nie jest obsługiwana.
  • Błąd naprawy oracle szyfrowania CredSSP.
  • Twoje dane logowania nie zadziałały, mimo że hasło jest znane jako poprawne.
  • Czasy oczekiwania lub nagłe rozłączenia podczas początkowego uścisku RDP lub tuż po wprowadzeniu danych uwierzytelniających

Te objawy mogą wpływać zarówno na hosty dołączone do domeny, jak i na samodzielne. W praktyce często mają one swoje źródło w niedopasowanych politykach bezpieczeństwa, zablokowanym dostępie do kontrolera domeny lub przestarzałych komponentach RDP po obu stronach.

Jakie są przyczyny błędów NLA w RDP?

Zrozumienie wspólnych przyczyn problemów pomaga szybko rozwiązywać problemy i unikać ryzykownych obejść, takich jak trwałe wyłączanie NLA.

  • Niezgodność systemu operacyjnego klienta lub serwera
  • Kontroler domeny niedostępny
  • Niekompatybilność łatki CredSSP
  • Błąd w konfiguracji szyfrowania TLS lub RDP
  • Konflikty zasad grupowych lub rejestru
  • Uszkodzone profile użytkowników lub poświadczenia
  • Scenariusze grup roboczych i nie-domenowych

Niezgodność systemu operacyjnego klienta lub serwera

Starsze wersje systemu Windows lub klienci RDP innych firm mogą nie w pełni wspierać NLA lub nowoczesne zachowanie CredSSP. Na przykład, starsze wersje systemu Windows XP lub wczesne wersje systemu Vista nie mogą łączyć się z serwerami wymuszającymi NLA bez odpowiednich aktualizacji. Nawet na wspieranych systemach, przestarzałe pliki binarne klienta RDP mogą powodować błędy „twój komputer nie obsługuje NLA”, mimo że system operacyjny nominalnie to wspiera.

Kontroler domeny niedostępny

W środowisku dołączonym do domeny NLA zależy od dotarcia do kontrolera domeny w celu weryfikacji poświadczeń i utrzymania bezpiecznego kanału maszyny. Jeśli kontroler domeny jest offline, zablokowany przez a zapora ogniowa lub może wystąpić problem z zaufaniem, uwierzytelnianie NLA może nie powieść się, mimo że sam serwer działa. Często zobaczysz błędy wspominające o łączności z kontrolerem domeny lub ogólne komunikaty „wystąpił błąd uwierzytelniania”.

Niekompatybilność łatki CredSSP

Rozpoczynając od aktualizacji „Remediacja Oracle Szyfrowania” z 2018 roku, CredSSP stał się bardziej rygorystyczny w kwestii ochrony poświadczeń. Jeśli klient ma aktualizację, ale serwer jej nie ma (lub odwrotnie), dwa punkty końcowe mogą nie zgadzać się co do bezpiecznej konfiguracji. Ta niezgodność może generować błędy „remediacji oracle szyfrowania CredSSP” i uniemożliwić logowanie NLA, dopóki obie strony nie zostaną załatane lub polityka grupowa nie zostanie dostosowana.

Błąd w konfiguracji szyfrowania TLS lub RDP

NLA opiera się na protokole Transport Layer Security (TLS) w celu ochrony wymiany poświadczeń. Jeśli TLS 1.0/1.1 jest wyłączony bez poprawnego włączenia TLS 1.2, lub jeśli wymuszane są słabe zestawy szyfrów, handshake między klientem a serwerem może nie powieść się przed zakończeniem NLA. Niestandardowe wzmocnienie bezpieczeństwa, tryb FIPS lub źle skonfigurowane certyfikaty mogą również zakłócić działanie NLA, mimo że standardowy RDP bez NLA może nadal działać w niektórych warunkach.

Konflikty zasad grupowych lub rejestru

Obiekty zasad grupy (GPO) i lokalne zasady zabezpieczeń kontrolują, jak działa RDP, CredSSP i szyfrowanie. Konfliktujące lub zbyt rygorystyczne zasady mogą wymuszać NLA w scenariuszach, w których klienci go nie obsługują lub wymagają algorytmów zgodnych z FIPS, których twoi klienci nie mogą używać. Nadpisania rejestru dla SCHANNEL lub CredSSP mogą wprowadzać podobne niespójności, prowadząc do błędów „żądana funkcja nie jest obsługiwana” i innych ogólnych błędów.

Uszkodzone profile użytkowników lub poświadczenia

Czasami problem dotyczy pojedynczego użytkownika lub maszyny. Uszkodzone pamięci podręczne poświadczeń, źle ustawione Identyfikator zabezpieczeń (SID) lub uszkodzony plik Default.rdp mogą zakłócać uwierzytelnianie NLA. W takich przypadkach możesz zauważyć, że inny użytkownik może zalogować się z tego samego urządzenia, lub ten sam użytkownik może zalogować się z innego klienta, ale nie obaj jednocześnie.

Scenariusze grup roboczych i nie-domenowych

NLA zakłada środowisko, w którym tożsamości użytkowników mogą być silnie uwierzytelniane, zazwyczaj za pośrednictwem Active Directory. W systemach roboczych lokalne konta muszą być starannie skonfigurowane i muszą mieć uprawnienia do logowania się przez Remote Desktop. Jeśli NLA jest wymuszane, ale kontroler domeny nie jest dostępny lub ustawienia lokalnych kont są nieprawidłowe, prawdopodobnie zobaczysz błędy związane z NLA, nawet jeśli serwer wydaje się być osiągalny.

Jak naprawić błędy NLA w RDP?

Użyj następujących kroków w kolejności, od najmniej inwazyjnych do najbardziej inwazyjnych. Takie podejście pomaga przywrócić dostęp, jednocześnie zachowując bezpieczeństwo tam, gdzie to możliwe.

  • Potwierdź wsparcie NLA na kliencie i serwerze
  • Zweryfikuj łączność z kontrolerem domeny (jeśli dotyczy)
  • Dopasuj poziomy i zasady łatek CredSSP
  • Włącz i zweryfikuj wymagane protokoły TLS
  • Przeglądaj i dostosuj zasady grupowe
  • Tymczasowo wyłącz NLA, aby odzyskać dostęp
  • Resetowanie klienta RDP i konfiguracji sieci

Potwierdź wsparcie NLA na kliencie i serwerze

Najpierw upewnij się, że oba punkty końcowe obsługują NLA.

  • Uruchom winver na obu klientach i serwerze, aby potwierdzić, że są to Windows Vista / Windows Server 2008 lub nowsze.
  • Upewnij się, że zainstalowane są najnowsze aktualizacje klienta Remote Desktop (za pośrednictwem Windows Update lub aplikacji Microsoft Remote Desktop na platformach innych niż Windows).
  • Jeśli używasz klientów RDP innych firm, upewnij się, że wsparcie NLA jest wyraźnie udokumentowane i włączone w ustawieniach klienta.

Jeśli któraś ze stron nie obsługuje NLA, zaplanuj aktualizację lub wymianę tego komponentu, zamiast osłabiać bezpieczeństwo globalnie.

Zweryfikuj łączność z kontrolerem domeny (jeśli dotyczy)

Na maszynach dołączonych do domeny, zweryfikuj łączność z domeną przed zmianą ustawień RDP.

  • Test podstawowej dostępności sieci do kontrolerów domeny (na przykład, ping dc01.yourdomain.com ).
  • Użyj nltest /dsgetdc:yourdomain.com aby potwierdzić, że klient może zlokalizować kontroler domeny.
  • W PowerShellu uruchom Test-ComputerSecureChannel aby sprawdzić bezpieczny kanał maszyny do domeny.

Jeśli bezpieczny kanał jest uszkodzony, napraw go za pomocą: 

Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

Po naprawie uruchom ponownie maszynę, jeśli zostaniesz o to poproszony, a następnie przetestuj NLA ponownie. Rozwiąż problemy z błędną konfiguracją DNS, regułami zapory lub problemami z VPN, które mogą sporadycznie blokować dostęp do domeny.

Dopasuj poziomy i zasady łatek CredSSP

Następnie potwierdź, że zarówno klient, jak i serwer mają aktualne aktualizacje zabezpieczeń, szczególnie te związane z CredSSP.

  • Zainstaluj wszystkie ważne aktualizacje i aktualizacje zabezpieczeń na obu punktach końcowych.
  • Sprawdź, czy zasady grupy zostały użyte do skonfigurowania „Remediacji Oracle szyfrowania” w sekcji:
    Konfiguracja komputera → Szablony administracyjne → System → Delegowanie poświadczeń .

Na tymczasowej podstawie w środowisku testowym możesz ustawić politykę na bardziej liberalną wartość, aby potwierdzić, że surowe ustawienie powoduje awarię. W produkcji długoterminowym rozwiązaniem powinno być doprowadzenie wszystkich systemów do spójnego poziomu poprawek, a nie na stałe luzowanie polityki.

Włącz i zweryfikuj wymagane protokoły TLS

Upewnij się, że TLS 1.2 jest obsługiwany i włączony, ponieważ wiele środowisk obecnie wyłącza starsze wersje TLS.

Na serwerze Windows, zweryfikuj ustawienia SCHANNEL w rejestrze pod: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Aby uzyskać wsparcie dla klienta TLS 1.2, potwierdź, że: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

"Enabled"=dword:00000001

Możesz również potrzebować dostosować klucze TLS 1.2 po stronie serwera, a następnie zrestartować serwer lub przynajmniej usługi pulpitu zdalnego. Potwierdź również, że certyfikat RDP jest ważny, zaufany i nie używa przestarzałych podpisów.

Przeglądaj i dostosuj zasady grupowe

Polityka grupowa jest często miejscem, w którym definiowane są egzekwowanie NLA i konfiguracja zabezpieczeń RDP.

Otwórz gpedit.msc (lub odpowiedni obiekt GPMC) i przejdź do:

Konfiguracja komputera → Ustawienia systemu Windows → Ustawienia zabezpieczeń → Polityki lokalne → Opcje zabezpieczeń

Sprawdź szczególnie:

  • "Wymagaj uwierzytelnienia użytkownika dla połączeń zdalnych przy użyciu uwierzytelniania na poziomie sieci"
  • Jakiekolwiek zasady, które egzekwują algorytmy zgodne z FIPS lub ograniczają typy szyfrowania

Upewnij się, że egzekwowanie NLA odpowiada możliwościom Twoich klientów. Jeśli złagodzisz politykę, aby przywrócić dostęp, udokumentuj zmianę i zaplanuj czas na rozwiązanie podstawowych problemów klientów, zamiast pozostawiać słabsze ustawienia na czas nieokreślony.

Tymczasowo wyłącz NLA, aby odzyskać dostęp

Jeśli straciłeś całkowity zdalny dostęp do krytycznego serwera, tymczasowe wyłączenie NLA może być koniecznym ostatecznym rozwiązaniem.

Możesz:

  • Uruchom w trybie awaryjnym z obsługą sieci i dostosuj ustawienia Zdalnego Pulpitu, lub
  • Uruchom system z nośnika odzyskiwania, załaduj hives systemu i edytuj klucz RDP-Tcp w rejestrze.

Ustaw: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

"UserAuthentication"=dword:00000000

To disable NLA dla nasłuchiwacza RDP. Po odzyskaniu dostępu, napraw przyczynę (połączenie z domeną, poprawki, TLS lub polityki), a następnie ponownie włącz NLA, przywracając wartość do 1. Długoterminowe wyłączenie NLA znacznie zwiększa narażenie na próby ataków siłowych i wykorzystania.

Resetowanie klienta RDP i konfiguracji sieci

Jeśli problemy z NLA wydają się ograniczone do konkretnego urządzenia klienckiego, wykonaj lokalny reset przed zmianą polityki serwera.

  • Usuń Default.rdp plik w %userprofile%\Documents aby wyczyścić pamięć podręczną ustawień.
  • Usuń i dodaj ponownie wszelkie zapisane dane uwierzytelniające w Menedżerze poświadczeń systemu Windows.
  • Potwierdź, że port TCP 3389 (lub twój niestandardowy port RDP) jest dozwolony przez lokalne zapory ogniowe i pośrednie urządzenia sieciowe.
  • Test z innego klienta w tej samej sieci, aby ustalić, czy problem dotyczy konkretnego klienta, czy jest bardziej globalny.

Ten prosty krok higieny często rozwiązuje problemy z uszkodzonymi pamięciami podręcznymi poświadczeń lub niewłaściwie zastosowanymi opcjami wyświetlania i zabezpieczeń w kliencie RDP.

Jakie są najlepsze praktyki, aby unikać błędów NLA w przyszłości?

Gdy natychmiastowy problem zostanie rozwiązany, wzmocnij swoje środowisko, aby NLA pozostało zarówno bezpieczne, jak i niezawodne.

  • Utrzymuj zaktualizowane systemy operacyjne i klientów RDP
  • Monitorowanie zdrowia domeny i tożsamości
  • Standaryzuj polityki RDP i NLA za pomocą GPO
  • Włącz dziennik zdarzeń i monitorowanie bezpieczeństwa
  • Izoluj RDP za bezpiecznymi punktami dostępu

Utrzymuj zaktualizowane systemy operacyjne i klientów RDP

Utrzymuj standardowy harmonogram łatania zarówno dla serwerów, jak i punktów końcowych. Zgodnie z obsługiwanymi wersjami systemu Windows i unikaj pozostawiania starszych, niezałatanych klientów w produkcji. Spójne podstawy aktualizacji zmniejszają niezgodności CredSSP i TLS, które często łamią NLA.

Monitorowanie zdrowia domeny i tożsamości

Dla systemów dołączonych do domeny traktuj stan kontrolera domeny jako część swojego stosu RDP. Użyj narzędzi takich jak dcdiag , repadmin i dzienniki zdarzeń kontrolera domeny, aby wcześnie wychwycić problemy z replikacją lub DNS. Przypadkowe awarie domen mogą objawiać się jako problemy z RDP i NLA na długo przed tym, jak użytkownicy zauważą inne objawy.

Standaryzuj polityki RDP i NLA za pomocą GPO

Zdefiniuj swój RDP szyfrowanie, egzekwowanie NLA i polityki CredSSP centralnie. Zastosuj je według OU lub grupy zabezpieczeń w oparciu o role urządzeń, takie jak serwery produkcyjne w porównaniu do laboratoriów testowych. Standaryzacja zmniejsza dryf konfiguracji i znacznie przyspiesza rozwiązywanie problemów, gdy pojawiają się trudności.

Włącz dziennik zdarzeń i monitorowanie bezpieczeństwa

Monitoruj Podgląd Zdarzeń na hostach RDP, szczególnie:

  • Windows Logs → Bezpieczeństwo
  • System
  • Aplikacje i dzienniki usług → Microsoft → Windows → TerminalServices

Skoreluj powtarzające się nieudane logowania, błędy handshake TLS lub błędy CredSSP z Twoim SIEM, gdzie to możliwe. To monitorowanie pomaga odróżnić problemy z konfiguracją od aktywnych ataków.

Izoluj RDP za bezpiecznymi punktami dostępu

Nawet z NLA, wystawienie RDP bezpośrednio do internetu wiąże się z dużym ryzykiem. Umieść RDP za bezpiecznym bramą, VPN lub proxy w stylu ZTNA. Dodaj MFA tam, gdzie to możliwe. Narzędzia takie jak TSplus Advanced Security mogą dodatkowo ograniczyć, gdzie, kiedy i jak użytkownicy się łączą, zmniejszając prawdopodobieństwo, że incydenty związane z NLA dotrą do serwera.

Wzmocnij bezpieczeństwo RDP z TSplus Advanced Security

NLA rozwiązuje tylko część równania ryzyka RDP. TSplus Advanced Security dodaje dodatkowe warstwy ochrony wokół twoich serwerów Windows i zdalnych pulpitów bez złożoności pełnych stosów VDI. Funkcje takie jak dynamiczna ochrona przed atakami siłowymi, ograniczenia oparte na adresach IP i krajach, polityki godzin pracy oraz zasady dostępu na poziomie aplikacji pomagają utrzymać atakujących na zewnątrz, podczas gdy legalni użytkownicy pozostają produktywni.

Dla organizacji, które polegają na RDP, ale chcą silniejszych, prostszych kontroli bezpieczeństwa, połączenie NLA z TSplus Advanced Security oferuje praktyczny sposób na wzmocnienie zdalnego dostępu i zmniejszenie obciążenia pracą w zakresie reagowania na incydenty.

Wniosek

Błędy NLA w RDP są frustrujące, szczególnie gdy pojawiają się bez oczywistych zmian w środowisku. W rzeczywistości prawie zawsze wskazują na konkretne problemy w wersjach systemu operacyjnego, łączności z domeną, łatach CredSSP, konfiguracji TLS lub politykach bezpieczeństwa. Pracując według uporządkowanej listy kontrolnej, możesz przywrócić bezpieczny dostęp bez uciekania się do ryzykownych, trwałych obejść.

Traktuj NLA jako podstawową kontrolę bezpieczeństwa, a nie jako opcjonalną funkcję. Utrzymuj ją włączoną, zweryfikowaną i monitorowaną jako część ogólnej postawy dostępu zdalnego. Gdy musisz ją wyłączyć, ogranicz zasięg, napraw podstawowy problem i włącz NLA z powrotem tak szybko, jak to możliwe.

Udostępnij:

Facebook Twitter LinkedIn

Twój zespół TSplus

Dalsza lektura

back to top of the page icon