Uwierzytelnianie na poziomie sieci RDP: Konfiguracja, Bezpieczeństwo i Przykłady użycia

Wprowadzenie

Wraz z przejściem na hybrydowy model pracy i zwiększoną zależnością od dostępu do pulpitu zdalnego, zapewnienie bezpiecznych sesji zdalnych jest kluczowe. Protokół Pulpitu Zdalnego (RDP), choć wygodny, jest również częstym celem cyberataków. Jedną z podstawowych ochron twojego RDP jest NLA. Dowiedz się o tym, jak to włączyć i, co najważniejsze, jak uwierzytelnianie na poziomie sieci RDP (NLA) poprawia. remote access bezpieczeństwo.

Co to jest uwierzytelnianie na poziomie sieci?

Ta sekcja omówi podstawy:

• Definicja NLA
• Różnica między tradycyjnym RDP a NLA

Definicja NLA

Uwierzytelnianie na poziomie sieci (NLA) to ulepszenie zabezpieczeń dla usług pulpitu zdalnego (RDS). Wymaga od użytkowników uwierzytelnienia się przed utworzeniem sesji pulpitu zdalnego. Tradycyjne RDP pozwalało na załadowanie ekranu logowania przed weryfikacją poświadczeń, co narażało serwer na próby ataków siłowych. NLA przenosi tę weryfikację na sam początek procesu negocjacji sesji.

Różnica między tradycyjnym RDP a NLA

Funkcja	Bare RDP, bez NLA	RDP z włączonym NLA
Autoryzacja odbywa się	Po rozpoczęciu sesji	Zanim sesja się rozpocznie
Ekspozycja serwera	Wysoki (Całkowity)	Minimalny
Ochrona przed atakami siłowymi	Ograniczony	Silny
Wsparcie SSO	Nie	Tak

Jak działa NLA

NLA wykorzystuje bezpieczne protokoły i warstwową walidację, aby chronić twój serwer, zmieniając kiedy i jak autoryzacja zachodzi. Oto szczegóły procesu łączenia:

1. Początkowa prośba: Użytkownik inicjuje połączenie za pomocą klienta RDP.
2. Walidacja poświadczeń: Zanim sesja się rozpocznie, klient używa Credential Security Support Provider (CredSSP), aby bezpiecznie przekazać dane uwierzytelniające.
3. Ustanowienie bezpiecznej sesji: Jeśli dane uwierzytelniające są ważne, tworzona jest bezpieczna sesja przy użyciu TLS lub SSL, szyfrując całą komunikację.
4. Rozpoczęcie sesji pulpitu: Dopiero po uwierzytelnieniu użytkownika rozpoczyna się pełna sesja RDP.

Jaką różnicę wprowadził NLA tutaj?

Rozłóżmy, co zmienia aktywacja NLA w żądaniach połączenia RDP.

Niebezpieczne połączenia zaczynają się bez NLA:

• Serwer RDP ładuje ekran logowania przed sprawdzanie poświadczeń.
• To oznacza każdy może otworzyć okno sesji, nawet atakujący.
• Serwer wykorzystuje swoje zasoby do wyświetlania interfejsu logowania, nawet dla nieautoryzowanych użytkowników.

Bezpieczne połączenia zaczynają się od NLA:

Z NLA krok 2 powyżej stał się kluczowy.

• Przed sesją, nawet zanim pojawi się graficzny ekran logowania, klient RDP musi dostarczyć ważne dane uwierzytelniające za pomocą CredSSP czytaj dalej, aby uzyskać szczegóły.
• Jeśli dane uwierzytelniające są nieprawidłowe, połączenie jest natychmiast odrzucane, więc serwer nigdy nie ładuje interfejsu sesji.

W związku z tym, NLA skutecznie "przenosi" krok uwierzytelniania do warstwa sieciowa (stąd nazwa) przed RDP inicjuje środowisko pulpitu zdalnego. Z kolei NLA używa Interfejs dostawcy wsparcia zabezpieczeń systemu Windows (SSPI) w tym CredSSP, aby bezproblemowo integrować się z uwierzytelnianiem domeny.

Dlaczego uwierzytelnianie na poziomie sieci ma znaczenie?

RDP był wektorem w kilku głośnych atakach ransomware. NLA jest kluczowe dla ochrona środowisk pulpitu zdalnego z różnych zagrożeń bezpieczeństwa. Zapobiega to nieautoryzowanym użytkownikom nawet do rozpoczęcia sesji zdalnej, co zmniejsza ryzyko takie jak ataki typu brute force, ataki typu denial-of-service oraz zdalne wykonywanie kodu.

Oto szybkie podsumowanie ryzyk związanych z bezpieczeństwem RDP bez NLA:

• Ataki siłowe na wystawione ekrany logowania
• Atak typu Denial-of-Service (DoS) z nieautoryzowanych połączeń
• Luki w zdalnym wykonywaniu kodu (RCE)
• Wykorzystywanie danych uwierzytelniających z wyciekłych nazw użytkowników/hasła

Włączenie NLA to prosty, ale skuteczny sposób na zminimalizowanie tych zagrożeń.

Jakie są korzyści z włączenia NLA?

Uwierzytelnianie na poziomie sieci oferuje zarówno zalety w zakresie bezpieczeństwa, jak i wydajności. Oto co zyskujesz:

• Silniejsza autoryzacja
• Co to jest CredSSP?
• Zredukowana powierzchnia ataku
• Ochrona przed atakami siłowymi
• Kompatybilność SSO
• Lepsza wydajność serwera
• Gotowy do zgodności

Silniejsza autoryzacja

Uwierzytelnianie na poziomie sieci wymaga od użytkowników potwierdzenia swojej tożsamości przed rozpoczęciem jakiejkolwiek sesji pulpitu zdalnego. Ta weryfikacja na pierwszej linii odbywa się za pomocą bezpiecznych protokołów, takich jak CredSSP i TLS, co zapewnia, że tylko uprawnieni użytkownicy docierają do ekranu logowania. Wprowadzając ten wczesny krok, NLA drastycznie zmniejsza ryzyko intruzji za pomocą skradzionych lub odgadniętych poświadczeń.

Co to jest CredSSP?

Jako dostawca wsparcia w zakresie bezpieczeństwa, protokół Credential Security Support Provider (CredSSP) pozwala aplikacji na delegowanie poświadczeń użytkownika z klienta do docelowego serwera w celu zdalnej autoryzacji.

Ten typ wczesnej weryfikacji jest zgodny z najlepszymi praktykami w zakresie cyberbezpieczeństwa zalecanymi przez organizacje takie jak Microsoft i NIST, szczególnie w środowiskach, w których zaangażowane są wrażliwe dane lub infrastruktura.

Zredukowana powierzchnia ataku

Bez NLA interfejs logowania RDP jest publicznie dostępny, co czyni go łatwym celem dla automatycznych skanów i narzędzi exploitacyjnych. Gdy NLA jest włączone, ten interfejs jest ukryty za warstwą uwierzytelniania, co znacznie zmniejsza widoczność twojego serwera RDP w sieci lub internecie.

To zachowanie „niewidoczne domyślnie” jest zgodne z zasadą minimalnej ekspozycji, co jest kluczowe w obronie przed lukami zero-day lub atakami polegającymi na wstrzykiwaniu poświadczeń.

Ochrona przed atakami siłowymi

Ataki typu brute-force polegają na wielokrotnym zgadywaniu kombinacji nazwy użytkownika i hasła. Jeśli RDP jest wystawione bez NLA, napastnicy mogą próbować w nieskończoność, używając narzędzi do automatyzacji tysięcy prób logowania. NLA blokuje to, wymagając ważnych poświadczeń na początku, dzięki czemu nieautoryzowane sesje nigdy nie mogą postępować.

To nie tylko neutralizuje powszechny sposób ataku, ale także pomaga zapobiegać zablokowaniu konta lub nadmiernemu obciążeniu systemów uwierzytelniania.

Kompatybilność SSO

NLA obsługuje NT Single Sign-On (SSO) w środowiskach Active Directory. SSO usprawnia przepływy pracy i zmniejsza tarcia dla użytkowników końcowych poprzez pozwalając im na logowanie się do wielu aplikacji i stron internetowych za pomocą jednorazowej autoryzacji.

Dla administratorów IT integracja SSO upraszcza zarządzanie tożsamością i redukuje zgłoszenia do pomocy technicznej związane z zapomnianymi hasłami lub powtarzającymi się logowaniami, szczególnie w środowiskach korporacyjnych z rygorystycznymi politykami dostępu.

Lepsza wydajność serwera

Bez NLA każda próba połączenia (nawet od nieautoryzowanego użytkownika) może załadować graficzny interfejs logowania, zużywając pamięć systemową, CPU i przepustowość. NLA eliminuje ten narzut, wymagając ważnych poświadczeń przed zainicjowaniem sesji.

W rezultacie serwery działają wydajniej, sesje ładują się szybciej, a legalni użytkownicy doświadczają lepszej reakcji, szczególnie w środowiskach z wieloma równoczesnymi połączeniami RDP.

Gotowy do zgodności

Nowe ramy zgodności (takie jak RODO, HIPAA, ISO 27001, …) wymagają bezpiecznej autoryzacji użytkowników i kontrolowanego dostępu do wrażliwych systemów. NLA pomaga spełnić te wymagania, egzekwując wczesną walidację poświadczeń i minimalizując narażenie na zagrożenia.

Wdrażając NLA, organizacje wykazują proaktywne podejście do kontroli dostępu, ochrony danych i gotowości do audytu, co może być kluczowe podczas przeglądów regulacyjnych lub audytów bezpieczeństwa.

Jak włączyć uwierzytelnianie na poziomie sieci?

Włączenie NLA jest prostym procesem, który można osiągnąć za pomocą różnych metod. Tutaj przedstawiamy kroki do włączenia NLA za pomocą ustawień pulpitu zdalnego i ustawień systemowych i zabezpieczeń.

• Ustawienia systemu Windows
• Panel sterowania
• Edytor zasad grupy

Metoda 1: Włączanie NLA za pomocą ustawień systemu Windows

1. Naciśnij Win + I, aby otworzyć Ustawienia

2.        Przejdź do System > Remote Desktop

3.        Przełącz Włącz Zdalny Pulpit

4. Kliknij Ustawienia zaawansowane

5.        Zaznacz "Wymagaj, aby komputery korzystały z uwierzytelniania na poziomie sieciowym"

Metoda 2: Włączanie NLA za pomocą Panelu sterowania

1.        Otwórz Panel sterowania > System i zabezpieczenia > System

Kliknij Zezwól na Zdalny Dostęp

3.        W zakładce Zdalne, sprawdź:
Zezwól na zdalne połączenia tylko z komputerów działających na NLA (zalecane)

Metoda 3: Edytor zasad grupy

1. Naciśnij Win + R, wpisz gpedit.msc

2.        Przejdź do:
Konfiguracja komputera > Szablony administracyjne > Komponenty systemu Windows > Usługi pulpitu zdalnego > RDSH > Bezpieczeństwo

Ustaw "Wymagaj uwierzytelnienia użytkownika dla połączeń zdalnych przy użyciu NLA" na Włączone

Jak wyłączyć uwierzytelnianie na poziomie sieci?

Wyłączenie NLA nie jest ogólnie zalecane ze względu na ryzyko bezpieczeństwa, jednak mogą wystąpić konkretne scenariusze, w których jest to konieczne: systemy starsze bez wsparcia CredSSP, rozwiązywanie problemów z awariami RDP oraz niekompatybilności z klientami firm trzecich. Oto metody wyłączenia NLA:

• Właściwości systemu
• Edytor rejestru
• Edytor zasad grupy

Metoda 1: Użycie właściwości systemu

Wyłączenie NLA za pomocą Właściwości systemu to bezpośrednia metoda, która może być wykonana za pośrednictwem interfejsu systemu Windows.

Przewodnik krok po kroku w Syst Prop

1. Otwórz okno dialogowe Uruchom: Naciśnij Win + R Remote Desktop Services (RDS) is a secure and reliable way to access your software applications and data from anywhere. With TSplus vs RDS, you can choose the best solution for your business needs. sysdm.cpl Welcome to our website where you can find a wide range of software products for your business needs.
2. Dostęp do ustawień zdalnych: W oknie "Właściwości systemu" przejdź do karty "Zdalne".
3. Wyłącz NLA: Odznacz opcję "Zezwalaj tylko na połączenia z komputerów uruchamiających pulpity zdalne z uwierzytelnianiem na poziomie sieci (zalecane)".

Ryzyka i rozważania

Zwiększona podatność:

Wyłączenie NLA usuwa uwierzytelnianie przed sesją, narażając sieć na potencjalny nieautoryzowany dostęp i różne zagrożenia cybernetyczne .

Rekomendacja:

Zaleca się wyłączenie NLA tylko wtedy, gdy jest to absolutnie konieczne, oraz wdrożenie dodatkowych środków bezpieczeństwa w celu zrekompensowania zmniejszonej ochrony.

Metoda 2: Korzystanie z Edytora Rejestru

Wyłącz NLA za pomocą Edytora rejestru, aby zapewnić bardziej zaawansowane i ręczne podejście.

Przewodnik krok po kroku w RegEdit

1. Otwórz Edytor Rejestru: Naciśnij Win + R Remote Desktop Services (RDS) is a secure and reliable way to access your software applications and data from anywhere. With TSplus vs RDS, you can choose the best solution for your business needs. regedit Welcome to our website where you can find a wide range of software products for your business needs.
2. Przejdź do klucza: Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
3. Zmień wartości warstwy zabezpieczeń i uwierzytelniania użytkownika. 0 wyłączyć NLA.
4. Uruchom ponownie system: Uruchom ponownie system, aby zmiany zaczęły obowiązywać.

Ryzyka i rozważania

Konfiguracja ręczna:

Edycja rejestru wymaga ostrożności, ponieważ nieprawidłowe zmiany mogą prowadzić do niestabilności systemu lub luk w zabezpieczeniach.

Kopia zapasowa:

Zawsze wykonuj kopię zapasową rejestru przed wprowadzeniem zmian, aby mieć możliwość przywrócenia systemu do poprzedniego stanu w razie potrzeby.

Metoda 3: Korzystanie z Edytora zasad grupy

Dla środowisk zarządzanych za pomocą zasad grupy, wyłączenie NLA można kontrolować centralnie za pomocą Edytora zasad grupy.

Przewodnik krok po kroku w GPEdit

1. Otwórz Edytor Zasad Grupy: Naciśnij Win + R Remote Desktop Services (RDS) is a secure and reliable way to access your software applications and data from anywhere. With TSplus vs RDS, you can choose the best solution for your business needs. gpedit.msc Welcome to our website where you can find a wide range of software products for your business needs.

2.        Przejdź do Ustawień zabezpieczeń: Przejdź do Konfiguracji komputera -> Szablony administracyjne -> Składniki systemu Windows -> Usługi pulpitu zdalnego -> Host sesji pulpitu zdalnego -> Zabezpieczenia.

3.        Wyłącz NLA: Znajdź politykę o nazwie "Wymagaj uwierzytelnienia użytkownika dla połączeń zdalnych przy użyciu uwierzytelniania na poziomie sieci" i ustaw ją na "Wyłączone".

Ryzyka i rozważania

Centralizowane zarządzanie: Wyłączenie NLA za pomocą zasad grupowych wpływa na wszystkie zarządzane systemy, potencjalnie zwiększając ryzyko bezpieczeństwa w sieci.

Konsekwencje polityki: Upewnij się, że wyłączenie NLA jest zgodne z politykami bezpieczeństwa organizacyjnego i że istnieją alternatywne środki bezpieczeństwa.

Jak poprawić swoje bezpieczeństwo z TSplus

TSplus w pełni obsługuje NLA Uwierzytelnianie na poziomie sieci (Network Level Authentication) w celu zabezpieczenia dostępu do pulpitu zdalnego od początku każdej sesji. Zwiększa natywną bezpieczeństwo RDP dzięki zaawansowanym funkcjom, takim jak uwierzytelnianie dwuskładnikowe (Two-Factor Authentication, 2FA), filtrowanie IP, ochrona przed atakami siłowymi oraz kontrola dostępu do aplikacji, tworząc solidny, wielowarstwowy system obrony.

Z TSplus administratorzy zyskują scentralizowaną kontrolę za pomocą prostej konsoli internetowej, zapewniając bezpieczny, wydajny i skalowalny dostęp zdalny. To idealne rozwiązanie dla organizacji, które chcą wyjść poza standardowe zabezpieczenia RDP bez dodatkowej złożoności lub kosztów licencyjnych.

Wniosek

Uwierzytelnianie na poziomie sieci to sprawdzony sposób zabezpieczania połączeń RDP dla zdalnego dostępu poprzez wymuszenie weryfikacji użytkownika przed sesją. W dzisiejszym krajobrazie zdalnym, włączenie NLA powinno być domyślnym krokiem dla wszystkich organizacji korzystających z RDP. W połączeniu z rozszerzonymi funkcjami oferowanymi przez narzędzia takie jak TSplus, zapewnia niezawodną podstawę dla bezpiecznej i efektywnej publikacji aplikacji.