Хотите увидеть сайт на другом языке?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Сменить язык
Содержание

Введение

Сетевой уровень аутентификации (NLA) является основным контролем безопасности для протокола удаленного рабочего стола, предотвращая доступ неаутентифицированных пользователей до создания полной сессии. Однако, когда NLA не срабатывает, ИТ-команды сталкиваются с заблокированными входами, неясными сообщениями об ошибках и разочарованными конечными пользователями, которые не могут получить доступ к критически важным серверам. Этот справочник объясняет, что такое NLA, почему возникают эти ошибки и как систематически устранять и решать проблемы с NLA, не ослабляя вашу безопасность RDP.

Что такое NLA в RDP?

Аутентификация на уровне сети является улучшением безопасности RDP, введенным с Windows Vista и Windows Server 2008. Вместо того чтобы создавать полную сессию удаленного рабочего стола и затем запрашивать учетные данные, NLA требует от пользователей сначала пройти аутентификацию. Только после успешной аутентификации стек RDP создает графическую сессию.

NLA полагается на CredSSP (Поставщик поддержки безопасности учетных данных) для безопасной передачи учетных данных пользователя на целевую систему. В средах с присоединением к домену CredSSP взаимодействует с Active Directory для проверки учетной записи перед установлением сеанса. На автономных или рабочих группах хостов CredSSP проверяет локальные учетные записи, настроенные для удаленного входа.

Ключевые преимущества NLA включают:

  • Сокращение окна для атак грубой силы и отказа в обслуживании на открытых RDP конечных точках
  • Включение единственный вход (SSO) для пользователей домена, улучшая пользовательский опыт
  • Улучшение производительности за счет выполнения аутентификации перед созданием сеанса

Однако NLA чувствителен к версиям ОС, патчам, TLS конфигурация и состояние домена. Когда любое из этих предварительных условий не выполняется, NLA может полностью блокировать действительные подключения.

Каковы общие симптомы ошибок NLA в RDP?

Проблемы, связанные с NLA, обычно проявляются с похожими сообщениями, независимо от основной причины. Вы, вероятно, сталкиваетесь с проблемой NLA, если вы видите:

  • Удаленный компьютер требует аутентификации на уровне сети (NLA), но ваш компьютер не поддерживает эту функцию.
  • Произошла ошибка аутентификации. Запрашиваемая функция не поддерживается.
  • Ошибка устранения уязвимости шифрования CredSSP.
  • Ваши учетные данные не сработали, хотя пароль известен как правильный.
  • Тайм-ауты или резкие отключения во время начального RDP рукопожатия или сразу после ввода учетных данных

Эти симптомы могут затрагивать как присоединенные к домену, так и автономные хосты. На практике они часто связаны с несовпадающими политиками безопасности, заблокированным доступом к контроллеру домена или устаревшими компонентами RDP с любой стороны.

Каковы причины ошибок NLA в RDP?

Понимание общих коренных причин помогает вам быстро устранять неполадки и избегать рискованных обходных путей, таких как постоянное отключение NLA.

  • Несовместимость клиентской или серверной ОС
  • Контроллер домена недоступен
  • Несоответствие патча CredSSP
  • Неправильная конфигурация шифрования TLS или RDP
  • Конфликты групповой политики или реестра
  • Поврежденные профили пользователей или учетные данные
  • Рабочая группа и сценарии вне домена

Несовместимость клиентской или серверной ОС

Старые версии Windows или сторонние RDP-клиенты могут не полностью поддерживать NLA или современное поведение CredSSP. Например, устаревшие версии Windows XP или ранние сборки Vista не могут подключаться к серверам с принудительным NLA без конкретных обновлений. Даже на поддерживаемых системах устаревшие бинарные файлы RDP-клиента могут вызывать ошибки «ваш компьютер не поддерживает NLA», несмотря на то, что операционная система номинально поддерживает его.

Контроллер домена недоступен

В среде, присоединенной к домену, NLA зависит от доступа к контроллеру домена для проверки учетных данных и поддержания защищенного канала машины. Если контроллер домена отключен, заблокирован... фаервол или существует проблема доверия, аутентификация NLA может не сработать, даже если сам сервер работает. Вы часто будете видеть ошибки, упоминающие о подключении к контроллеру домена или общие сообщения "произошла ошибка аутентификации".

Несоответствие патча CredSSP

Начиная с обновлений 2018 года "Исправление шифрования Oracle", CredSSP стал более строгим в отношении защиты учетных данных. Если у клиента есть обновление, но у сервера его нет (или наоборот), два конечных устройства могут не согласовывать безопасную конфигурацию. Это несоответствие может вызвать ошибки "исправления шифрования CredSSP" и предотвратить входы NLA, пока обе стороны не будут обновлены или не будет изменена групповая политика.

Неправильная конфигурация шифрования TLS или RDP

NLA полагается на безопасность транспортного уровня (TLS) для защиты обмена учетными данными. Если TLS 1.0/1.1 отключен без правильного включения TLS 1.2, или если применяются слабые шифры, рукопожатие между клиентом и сервером может завершиться неудачей до завершения NLA. Пользовательская настройка безопасности, режим FIPS или неправильно настроенные сертификаты могут нарушить работу NLA, даже если стандартный RDP без NLA может работать в некоторых условиях.

Конфликты групповой политики или реестра

Объекты групповой политики (GPO) и локальные политики безопасности контролируют, как работают RDP, CredSSP и шифрование. Конфликтующие или чрезмерно строгие политики могут заставить применять NLA в сценариях, где клиенты его не поддерживают, или требовать алгоритмы, соответствующие FIPS, которые ваши клиенты не могут использовать. Переопределения реестра для SCHANNEL или CredSSP могут привести к аналогичным несоответствиям, что приведет к ошибкам "запрашиваемая функция не поддерживается" и другим общим ошибкам.

Поврежденные профили пользователей или учетные данные

Иногда проблема ограничивается одним пользователем или машиной. Поврежденные кэшированные учетные данные, неправильно выровненные Идентификатор безопасности (SID) или поврежденный файл Default.rdp могут мешать аутентификации NLA. В этих случаях вы можете обнаружить, что другой пользователь может войти с того же устройства, или тот же пользователь может войти с другого клиента, но не оба одновременно.

Рабочая группа и сценарии вне домена

NLA предполагает среду, в которой идентичности пользователей могут быть надежно аутентифицированы, обычно через Active Directory. В системах рабочей группы локальные учетные записи должны быть настроены тщательно и должны иметь разрешение на вход через Remote Desktop. Если NLA применяется, но контроллер домена недоступен или настройки локальной учетной записи неверны, вы, вероятно, увидите ошибки, связанные с NLA, даже если сервер кажется доступным.

Как исправить ошибки NLA в RDP?

Используйте следующие шаги в порядке, от наименее инвазивного к наиболее инвазивному. Этот подход помогает восстановить доступ, сохраняя безопасность, где это возможно.

  • Подтвердите поддержку NLA на клиенте и сервере
  • Проверьте подключение к контроллеру домена (если применимо)
  • Согласовать уровни и политики патча CredSSP
  • Включить и подтвердить необходимые протоколы TLS
  • Просмотр и настройка групповой политики
  • Временно отключите NLA, чтобы восстановить доступ
  • Сбросить конфигурацию RDP-клиента и сети

Подтвердите поддержку NLA на клиенте и сервере

Сначала убедитесь, что оба конечных устройства поддерживают NLA.

  • Запуск winver на обоих клиенте и сервере, чтобы подтвердить, что они Windows Vista / Windows Server 2008 или более поздние версии.
  • Убедитесь, что установлены последние обновления клиента удаленного рабочего стола (через Windows Update или приложение Microsoft Remote Desktop на платформах, отличных от Windows).
  • Если вы используете сторонние RDP-клиенты, убедитесь, что поддержка NLA явно задокументирована и включена в настройках клиента.

Если одна из сторон не поддерживает NLA, планируйте обновление или замену этого компонента, а не ослабление безопасности в глобальном масштабе.

Проверьте подключение к контроллеру домена (если применимо)

На машинах, присоединенных к домену, проверьте подключение к домену перед изменением настроек RDP.

  • Проверьте базовую доступность сети к контроллерам домена (например, пинг dc01.yourdomain.com ).
  • Используйте nltest /dsgetdc:yourdomain.com чтобы подтвердить, что клиент может найти контроллер домена.
  • В PowerShell выполните Проверка-КомпьютерБезопасногоКанала проверить защищенный канал машины к домену.

Если защищенный канал нарушен, восстановите его с помощью: 

Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

После ремонта перезагрузите машину, если будет предложено, затем снова проверьте NLA. Устраните ошибки конфигурации DNS, правила брандмауэра или проблемы с VPN, которые могут периодически блокировать доступ к домену.

Согласовать уровни и политики патча CredSSP

Затем подтвердите, что как клиент, так и сервер имеют актуальные обновления безопасности, особенно те, которые связаны с CredSSP.

  • Установите все важные и безопасные обновления на обоих конечных устройствах.
  • Проверьте, использовалась ли групповая политика для настройки "Устранение проблем с шифрованием Oracle" в разделе:
    Конфигурация компьютера → Административные шаблоны → Система → Делегирование учетных данных .

В тестовой среде на временной основе вы можете установить политику на более разрешительное значение, чтобы подтвердить, что строгая настройка вызывает сбой. В производственной среде долгосрочным решением должно быть приведение всех систем к согласованному уровню патчей, а не постоянное ослабление политики.

Включить и подтвердить необходимые протоколы TLS

Убедитесь, что поддерживается и включен TLS 1.2, так как многие среды теперь отключают более старые версии TLS.

На Windows Server проверьте настройки SCHANNEL в реестре по адресу: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Для поддержки клиента TLS 1.2 подтвердите, что: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

"Enabled"=dword:00000001

Вам может потребоваться также настроить ключи TLS 1.2 на стороне сервера, а затем перезапустить сервер или, по крайней мере, службы удаленного рабочего стола. Также подтвердите, что сертификат RDP действителен, доверен и не использует устаревшие подписи.

Просмотр и настройка групповой политики

Групповая политика часто является местом, где определяются принудительное применение NLA и конфигурация безопасности RDP.

Открыть gpedit.msc (или эквивалентный объект GPMC) и перейдите к:

Конфигурация компьютера → Параметры Windows → Параметры безопасности → Локальные политики → Параметры безопасности

Проверьте в частности:

  • Требовать аутентификацию пользователя для удаленных подключений с использованием аутентификации уровня сети
  • Любые политики, которые требуют соблюдения алгоритмов, соответствующих стандартам FIPS, или ограничивают типы шифрования

Убедитесь, что применение NLA соответствует тому, что могут выдержать ваши клиенты. Если вы смягчаете политику для восстановления доступа, задокументируйте изменение и запланируйте время для исправления основных проблем клиентов, вместо того чтобы оставлять более слабые настройки на неопределенный срок.

Временно отключите NLA, чтобы восстановить доступ

Если вы потеряли весь удаленный доступ к критическому серверу, временное отключение NLA может быть необходимой последней мерой.

Вы можете:

  • Загрузитесь в безопасном режиме с сетевыми возможностями и настройте параметры удаленного рабочего стола, или
  • Загрузите с помощью носителя восстановления, загрузите системный хив и отредактируйте ключ RDP-Tcp в реестре.

Настройки: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

"UserAuthentication"=dword:00000000

Это отключает NLA для слушателя RDP. Как только вы восстановите доступ, исправьте основную причину (связь с доменом, патчи, TLS или политики), затем повторно включите NLA, восстановив значение на 1. Долгосрочное отключение NLA значительно увеличивает подверженность попыткам грубой силы и эксплуатации.

Сбросить конфигурацию RDP-клиента и сети

Если проблемы с NLA, похоже, ограничены конкретным клиентским устройством, выполните локальный сброс перед изменением политики сервера.

  • Удалите Default.rdp файл в %userprofile%\Documents очистить кэшированные настройки.
  • Удалите и добавьте заново любые сохраненные учетные данные в Диспетчере учетных данных Windows.
  • Подтвердите, что TCP 3389 (или ваш пользовательский порт RDP) разрешен через локальные брандмауэры и промежуточные сетевые устройства.
  • Тест с другого клиента в той же сети, чтобы определить, является ли проблема специфической для клиента или более глобальной.

Этот простой шаг гигиены часто решает проблемы с поврежденными кэшированными учетными данными или неправильно примененными параметрами отображения и безопасности в клиенте RDP.

Каковы лучшие практики для предотвращения ошибок NLA в будущем?

Как только непосредственная проблема будет решена, укрепите вашу среду, чтобы NLA оставалась как безопасной, так и надежной.

  • Держите операционные системы и RDP-клиенты обновленными
  • Мониторинг состояния домена и идентичности
  • Стандартизировать политики RDP и NLA через GPO
  • Включить журнал событий и мониторинг безопасности
  • Изолируйте RDP за безопасными точками входа

Держите операционные системы и RDP-клиенты обновленными

Поддерживайте стандартный график обновлений как для серверов, так и для конечных устройств. Согласуйте поддерживаемые версии Windows и избегайте оставления устаревших, не обновленных клиентов в производственной среде. Последовательные базовые обновления уменьшают несоответствия CredSSP и TLS, которые часто нарушают NLA.

Мониторинг состояния домена и идентичности

Для систем, присоединенных к домену, рассматривайте состояние контроллера домена как часть вашего RDP-стека. Используйте такие инструменты, как додиагностика , репадмин и журналы событий контроллера домена для раннего выявления проблем с репликацией или DNS. Прерывистые сбои домена могут проявляться как проблемы с RDP и NLA задолго до того, как пользователи заметят другие симптомы.

Стандартизировать политики RDP и NLA через GPO

Определите ваш RDP шифрование, принудительное применение NLA и политики CredSSP централизованно. Применяйте их по OU или группе безопасности в зависимости от ролей устройств, таких как производственные серверы и тестовые лаборатории. Стандартизация снижает расхождение в конфигурации и значительно ускоряет устранение неполадок, когда возникают проблемы.

Включить журнал событий и мониторинг безопасности

Мониторинг Просмотра событий на хостах RDP, особенно:

  • Windows Журналы → Безопасность
  • Журналы Windows → Система
  • Приложения и журналы служб → Microsoft → Windows → TerminalServices

Сопоставьте повторяющиеся неудачные входы, сбои рукопожатия TLS или ошибки CredSSP с вашей SIEM, где это возможно. Этот мониторинг помогает различать проблемы конфигурации и активные атаки.

Изолируйте RDP за безопасными точками входа

Даже с NLA, прямое открытие RDP в интернет представляет собой высокий риск. Размещайте RDP за безопасным шлюзом, VPN или прокси в стиле ZTNA. Добавьте MFA, где это возможно. Инструменты, такие как TSplus Advanced Security, могут дополнительно ограничить, где, когда и как пользователи подключаются, снижая вероятность инцидентов, связанных с NLA, достигающих сервера.

Укрепите безопасность RDP с помощью TSplus Advanced Security

NLA решает только часть уравнения рисков RDP. TSplus Advanced Security добавляет дополнительные уровни защиты вокруг ваших серверов Windows и удаленных рабочих столов без сложности полнофункциональных стеков VDI. Такие функции, как динамическая защита от грубой силы, ограничения по IP и странам, политики рабочего времени и правила доступа на уровне приложений помогают не допустить злоумышленников, в то время как законные пользователи остаются продуктивными.

Для организаций, которые полагаются на RDP, но хотят более сильные и простые меры безопасности, сочетание NLA с TSplus Advanced Security предлагает практический способ усилить удаленный доступ и снизить нагрузку на реагирование на инциденты.

Заключение

Ошибки NLA в RDP вызывают разочарование, особенно когда они появляются без очевидных изменений в окружении. На самом деле, они почти всегда указывают на конкретные проблемы в версиях ОС, подключении к домену, патчах CredSSP, конфигурации TLS или политиках безопасности. Пройдя по структурированному контрольному списку, вы можете восстановить безопасный доступ, не прибегая к рискованным постоянным обходным путям.

Рассматривайте NLA как базовый контроль безопасности, а не как необязательную функцию. Держите его включенным, проверенным и контролируемым в рамках вашей общей стратегии удаленного доступа. Когда вам нужно его отключить, ограничьте радиус воздействия, устраните основную проблему и включите NLA обратно как можно скорее.

Поделиться:

Facebook Twitter LinkedIn

Ваша команда TSplus

Дальнейшее чтение

TSplus Remote Desktop Access - Advanced Security Software

Что такое Security Service Edge (SSE)? Как это работает, основные функции, преимущества и случаи использования

Узнайте, что такое Security Service Edge (SSE) и как ZTNA, SWG, CASB и FWaaS объединяются для обеспечения безопасности доступа к гибридной работе. Изучите преимущества, примеры использования, проблемы и то, как TSplus укрепляет SSE.

Читать статью →
back to top of the page icon