Gostaria de ver o site em um idioma diferente?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Mudar idioma
Índice

Introdução

Com a transição para o trabalho híbrido e a crescente dependência do acesso remoto ao desktop, garantir sessões remotas seguras é fundamental. O Protocolo de Desktop Remoto (RDP), embora conveniente, também é um alvo frequente para ciberataques. Uma das proteções básicas do seu RDP é o NLA. Saiba mais sobre isso, como ativar e, mais importante, como a Autenticação de Nível de Rede RDP (NLA) melhora. acesso remoto segurança.

O que é Autenticação de Nível de Rede?

Esta seção abordará os fundamentos:

  • Definição de NLA
  • Diferença entre RDP Tradicional e NLA

Definição de NLA

A Autenticação a Nível de Rede (NLA) é uma melhoria de segurança para os Serviços de Área de Trabalho Remota (RDS). Exige que os utilizadores se autentiquem antes de uma sessão de área de trabalho remota ser criada. O RDP tradicional permitia que a tela de login fosse carregada antes de verificar as credenciais, expondo assim o servidor a tentativas de força bruta. A NLA desloca essa validação para o início do processo de negociação da sessão.

Diferença entre RDP Tradicional e NLA

Recurso RDP simples, sem NLA RDP com NLA Ativado
A autenticação ocorre Após o início da sessão Antes do início da sessão
Exposição do Servidor Alto (Total) Mínimo
Proteção Contra Força Bruta Limitado Forte
Suporte SSO Não Sim

Como Funciona o NLA

A NLA utiliza protocolos seguros e validação em camadas para proteger o seu servidor ao alterar quando e como A autenticação ocorre. Aqui está a descrição do processo de conexão:

  1. Pedido Inicial: O utilizador inicia uma conexão através do cliente RDP.
  2. Validação de Credenciais: Antes do início da sessão, o cliente utiliza o Credential Security Support Provider (CredSSP) para transmitir credenciais de forma segura.
  3. Estabelecimento de Sessão Segura: Se as credenciais forem válidas, uma sessão segura é criada usando TLS ou SSL, criptografando toda a comunicação.
  4. Início da Sessão de Área de Trabalho: Apenas após o usuário ser autenticado é que a sessão RDP completa começa.

Que diferença fez o NLA aqui?

Vamos analisar o que a ativação do NLA altera nas solicitações de conexão RDP.

Conexões Inseguras Começam Sem NLA:

  • O servidor RDP carrega a tela de login antes verificando credenciais.
  • Isto significa qualquer pessoa pode abrir uma janela de sessão, mesmo atacantes.
  • O servidor utiliza os seus recursos para exibir a interface de login, mesmo para utilizadores não autorizados.

Conexões Seguras Começam Com NLA:

Com o NLA, o passo 2 acima tornou-se crítico.

  • Antes de uma sessão, mesmo antes de a tela de login gráfica aparecer, o cliente RDP deve fornecer credenciais válidas através de CredSSP (leia mais para detalhes).
  • Se as credenciais forem inválidas, a conexão é recusada imediatamente, de modo que o servidor nunca carrega a interface da sessão.

Consequentemente, o NLA efetivamente "transfere" a etapa de autenticação para o camada de rede (daí o nome) antes O RDP inicializa o ambiente de área de trabalho remota. Por sua vez, o NLA utiliza Interface de Suporte de Segurança do Windows (SSPI) , incluindo CredSSP, para integrar-se perfeitamente com a autenticação de domínio.

Por que a Autenticação em Nível de Rede é Importante?

O RDP tem sido um vetor em vários ataques de ransomware de alto perfil. O NLA é vital para protegendo ambientes de desktop remoto de várias ameaças de segurança. Impede que usuários não autorizados iniciem uma sessão remota, mitigando assim riscos como ataques de força bruta, ataques de negação de serviço e execução remota de código.

Aqui está um resumo rápido dos riscos de segurança do RDP sem NLA:

  • Ataques de força bruta em telas de login expostas
  • Negação de Serviço (DoS) de inundações de conexões não autenticadas
  • Vulnerabilidades de Execução Remota de Código (RCE)
  • Uso de credenciais roubadas com nomes de utilizador/senhas vazados

Ativar o NLA é uma maneira simples, mas eficaz, de minimizar essas ameaças.

Quais são os benefícios de ativar o NLA?

A Autenticação a Nível de Rede oferece vantagens de segurança e desempenho. Aqui está o que você ganha:

  • Autenticação Mais Forte
  • O que é CredSSP?
  • Superfície de Ataque Reduzida
  • Defesa contra Força Bruta
  • Compatibilidade SSO
  • Melhor Desempenho do Servidor
  • Pronto para conformidade

Autenticação Mais Forte

A Autenticação em Nível de Rede requer que os usuários verifiquem sua identidade antes que qualquer sessão de área de trabalho remota comece. Esta validação de primeira linha é feita usando protocolos seguros como CredSSP e TLS, garantindo que apenas usuários autorizados cheguem ao prompt de login. Ao impor esta etapa inicial, a NLA reduz drasticamente o risco de intrusão por meio de credenciais roubadas ou adivinhadas.

O que é CredSSP?

Como um Provedor de Suporte de Segurança, o protocolo de Provedor de Suporte de Segurança de Credenciais (CredSSP) permite que uma aplicação delegue as credenciais do usuário do cliente para o servidor de destino para autenticação remota.

Este tipo de verificação antecipada está alinhado com as melhores práticas de cibersegurança recomendadas por organizações como a Microsoft e o NIST, especialmente em ambientes onde dados sensíveis ou infraestrutura estão envolvidos.

Superfície de Ataque Reduzida

Sem NLA, a interface de login RDP é acessível publicamente, tornando-se um alvo fácil para varreduras automatizadas e ferramentas de exploração. Quando o NLA está ativado, essa interface fica oculta atrás da camada de autenticação, reduzindo significativamente a visibilidade do seu servidor RDP na rede ou na internet.

Este comportamento "invisível por padrão" está alinhado com o princípio da menor exposição, que é crucial na defesa contra vulnerabilidades de dia zero ou ataques de preenchimento de credenciais.

Defesa contra Força Bruta

Ataques de força bruta funcionam adivinhando repetidamente combinações de nome de usuário e senha. Se o RDP estiver exposto sem NLA, os atacantes podem continuar tentando indefinidamente, usando ferramentas para automatizar milhares de tentativas de login. O NLA bloqueia isso exigindo credenciais válidas desde o início, de modo que sessões não autenticadas nunca são autorizadas a progredir.

Isto não só neutraliza um método de ataque comum, mas também ajuda a prevenir bloqueios de conta ou carga excessiva nos sistemas de autenticação.

Compatibilidade SSO

A NLA suporta o NT Single Sign-On (SSO) em ambientes do Active Directory. SSO otimiza fluxos de trabalho e reduz a fricção para os utilizadores finais ao permitindo que façam login em várias aplicações e websites com autenticação única.

Para administradores de TI, a integração SSO simplifica a gestão de identidades e reduz os tickets de suporte relacionados a senhas esquecidas ou logins repetidos, especialmente em ambientes empresariais com políticas de acesso rigorosas.

Melhor Desempenho do Servidor

Sem NLA, cada tentativa de conexão (mesmo de um utilizador não autenticado) pode carregar a interface gráfica de login, consumindo memória do sistema, CPU e largura de banda. O NLA elimina esta sobrecarga ao exigir credenciais válidas antes de inicializar a sessão.

Como resultado, os servidores funcionam de forma mais eficiente, as sessões carregam mais rapidamente e os usuários legítimos experimentam uma melhor capacidade de resposta, especialmente em ambientes com muitas conexões RDP simultâneas.

Pronto para conformidade

Os modernos frameworks de conformidade (como o GDPR, HIPAA, ISO 27001, …) exigem autenticação segura de usuários e acesso controlado a sistemas sensíveis. O NLA ajuda a atender a esses requisitos, aplicando a validação de credenciais em estágio inicial e minimizando a exposição a ameaças.

Ao implementar o NLA, as organizações demonstram uma abordagem proativa em relação ao controle de acesso, proteção de dados e prontidão para auditorias, o que pode ser crucial durante revisões regulatórias ou auditorias de segurança.

Como ativar a autenticação em nível de rede?

Ativar NLA é um processo simples que pode ser realizado através de vários métodos. Aqui, delineamos os passos para ativar NLA através das configurações do Remote Desktop e das configurações do Sistema e Segurança.

  • Configurações do Windows
  • Painel de Controlo
  • Editor de Política de Grupo

Método 1: Ativando NLA através das Configurações do Windows

1. Pressione Win + I para abrir as Configurações

2. Vá para Sistema > Acesso Remoto

3.        Ativar Área de Trabalho Remota

4. Clique em Configurações Avançadas

5.        Marque "Exigir que os computadores utilizem a Autenticação de Nível de Rede"

Método 2: Ativando NLA através do Painel de Controle

1. Abra o Painel de Controle > Sistema e Segurança > Sistema

2. Clique em Permitir Acesso Remoto

3.        Sob a guia Remota, verifique:
Permitir conexões remotas apenas de computadores que executam NLA (recomendado)

Método 3: Editor de Política de Grupo

1. Pressione Win + R, digite gpedit.msc

2. Navegue até:
Configuração do Computador > Modelos de Administração > Componentes do Windows > Serviços de Área de Trabalho Remota > RDSH > Segurança

3. Defina "Exigir autenticação do usuário para conexões remotas usando NLA" como Ativado

Como desativar a autenticação de nível de rede?

Embora desativar o NLA não seja geralmente recomendado devido aos riscos de segurança, pode haver cenários específicos em que isso é necessário: sistemas legados sem suporte a CredSSP, solução de problemas de falhas no RDP e incompatibilidades com clientes de terceiros. Aqui estão métodos para desativar o NLA:

  • Propriedades do Sistema
  • Editor do Registro
  • Editor de Política de Grupo

Método 1: Usando Propriedades do Sistema

Desativar a NLA através das Propriedades do Sistema é um método direto que pode ser feito através da interface do Windows.

Guia Passo a Passo em Propriedades do Sistema

  1. Abrir a caixa de diálogo Executar: Pressione Win + R Remote Desktop Services (RDS) is a secure and reliable way to access your software applications and data from anywhere. With TSplus, you can easily set up and manage your remote access solution. Try TSplus today and experience seamless remote access to your software products. sysdm.cpl [Welcome to our website where you can find a wide range of software products for your business needs.] , and hit Enter.
  2. Aceder às Definições Remotas: Na janela "Propriedades do Sistema", vá para o separador "Remoto".
  3. Desativar NLA: Desmarque a opção "Permitir apenas conexões de computadores que executam o Remote Desktop com Autenticação de Nível de Rede (recomendado)".

Riscos e Considerações

Vulnerabilidade Aumentada:

Desativar o NLA remove a autenticação pré-sessão, expondo a rede a um potencial acesso não autorizado e a várias ameaças cibernéticas .

Recomendação:

Recomenda-se desativar o NLA apenas quando absolutamente necessário e implementar medidas de segurança adicionais para compensar a proteção reduzida.

Método 2: Usando o Editor de Registo

Desative o NLA através do Editor do Registro, para fornecer uma abordagem mais avançada e manual.

Guia Passo a Passo no RegEdit

  1. Abrir Editor de Registo: Pressione Win + R Remote Desktop Services (RDS) is a secure and reliable way to access your software applications and data from anywhere. With TSplus, you can easily set up and manage your remote access solution. Try TSplus today and experience seamless remote access to your software products. regedit [Welcome to our website where you can find a wide range of software products for your business needs.] , and hit Enter.
  2. Navegue até a chave: Vá para HKEY_LOCAL_MACHINE\SISTEMA\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
  3. Modificar Valores: Alterar os valores de "Camada de Segurança" e "Autenticação de Usuário" para 0 desativar NLA.
  4. Reiniciar o sistema: Reinicie o seu sistema para que as alterações tenham efeito.

Riscos e Considerações

Configuração Manual:

Editar o registro requer atenção cuidadosa, pois alterações incorretas podem levar à instabilidade do sistema ou a vulnerabilidades de segurança.

Cópia de segurança:

Faça sempre uma cópia de segurança do registro antes de fazer alterações para garantir que você possa restaurar o sistema ao seu estado anterior, se necessário.

Método 3: Utilizando o Editor de Política de Grupo

Para ambientes geridos através da Política de Grupo, desativar a NLA pode ser controlado centralmente através do Editor de Política de Grupo.

Guia Passo a Passo no GPEdit

1. Abra o Editor de Política de Grupo: Pressione Win + R Remote Desktop Services (RDS) is a secure and reliable way to access your software applications and data from anywhere. With TSplus, you can easily set up and manage your remote access solution. Try TSplus today and experience seamless remote access to your software products. gpedit.msc [Welcome to our website where you can find a wide range of software products for your business needs.] , and hit Enter.

2. Navegue até Configurações de Segurança: Vá para Configuração do Computador -> Modelos Administrativos -> Componentes do Windows -> Serviços de Área de Trabalho Remota -> Host de Sessão de Área de Trabalho Remota -> Segurança.

3.        Desativar NLA: Encontre a política chamada "Exigir autenticação do usuário para conexões remotas usando Autenticação de Nível de Rede" e defina-a como "Desativado."

Riscos e Considerações

Gestão Centralizada: Desativar NLA através da Política de Grupo afeta todos os sistemas geridos, aumentando potencialmente o risco de segurança em toda a rede.

Implicações de Política: Garantir que a desativação do NLA esteja alinhada com as políticas de segurança organizacional e que medidas de segurança alternativas estejam em vigor.

Como Melhorar a Sua Segurança com TSplus

TSplus suporta totalmente NLA Autenticação a Nível de Rede para garantir o acesso remoto ao desktop desde o início de cada sessão. Melhora a segurança nativa do RDP com recursos avançados, como Autenticação de Dois Fatores (2FA), filtragem de IP, proteção contra força bruta e controle de acesso a aplicações, criando um sistema de defesa robusto e em múltiplas camadas.

Com TSplus os administradores ganham controle centralizado através de um console web simples, garantindo acesso remoto seguro, eficiente e escalável. É uma solução ideal para organizações que buscam ir além da segurança padrão do RDP sem complexidade ou custos de licenciamento adicionais.

Conclusão

A Autenticação a Nível de Rede é uma forma comprovada de proteger conexões RDP para acesso remoto, exigindo verificação do usuário antes da sessão. No cenário atual, que prioriza o remoto, ativar a NLA deve ser um passo padrão para todas as organizações que utilizam RDP. Quando combinada com recursos avançados oferecidos por ferramentas como TSplus, proporciona uma base confiável para a publicação segura e eficiente de aplicações.

TSplus Acesso Remoto Teste Gratuito

Alternativa final para Citrix/RDS para acesso a desktop/aplicativos. Seguro, econômico, local/cloud.

Iniciar uma Avaliação Gratuita

Partilhar:

Facebook Twitter LinkedIn

A sua equipa TSplus

Artigos Relacionados

TSplus Remote Desktop Access - Advanced Security Software

Como Alterar a Senha RDP

Este artigo oferece métodos completos e tecnicamente precisos para alterar ou redefinir senhas via Protocolo de Área de Trabalho Remota (RDP), garantindo compatibilidade com ambientes de domínio e locais, e acomodando fluxos de trabalho interativos e administrativos.

Ler artigo →
back to top of the page icon