Čo je VDI? Pochopenie virtuálnej desktopovej infraštruktúry pre moderné IT
Čo je VDI? Zistite, ako funguje virtuálna infraštruktúra desktopov, jej výhody, výzvy a budúce trendy v podnikovej IT.
Chceli by ste vidieť stránku v inom jazyku?
TSPLUS BLOG
Autentifikácia na úrovni siete (NLA) je kľúčová bezpečnostná funkcia RDP, ktorá vyžaduje, aby sa používatelia autentifikovali pred začiatkom vzdialenej relácie. Chráni pred neoprávneným prístupom, útokmi hrubou silou a zneužitím tým, že overuje poverenia už na začiatku procesu pripojenia. Tento článok sa zaoberá tým, ako NLA funguje, jeho výhodami, kedy ho povoliť alebo zakázať a ako TSplus posilňuje prostredia RDP integráciou NLA s ďalšími ochrannými vrstvami, ako sú 2FA, filtrovanie IP a centralizovaná kontrola prístupu.
S prechodom na hybridnú prácu a zvýšenou závislosťou na prístupe k vzdialenému desktopu je zabezpečenie bezpečných vzdialených relácií kľúčové. Protokol vzdialeného desktopu (RDP), hoci je pohodlný, je tiež častým cieľom kybernetických útokov. Jednou zo základných ochrán vášho RDP je NLA. Zistite viac o ňom, ako ho povoliť a najdôležitejšie, ako RDP Network Level Authentication (NLA) zlepšuje. vzdialený prístup bezpečnosť.
Táto sekcia sa bude zaoberať základmi:
Autentifikácia na úrovni siete (NLA) je bezpečnostné vylepšenie pre služby vzdialenej plochy (RDS). Vyžaduje, aby sa používatelia autentifikovali pred vytvorením relácie vzdialenej plochy. Tradičný RDP umožnil načítanie prihlasovacej obrazovky pred overením poverení, čím sa server vystavil pokusom o hrubú silu. NLA presúva túto validáciu na samý začiatok procesu vyjednávania relácie.
Funkcia | Bare RDP, without NLA | RDP s povoleným NLA |
---|---|---|
Overenie prebieha | Po začatí relácie | Pred začiatím relácie |
Expozícia servera | Vysoký (Celkový) | Minimálny |
Ochrana proti hrubej sile | Obmedzený | Silný |
Podpora SSO | Nie | Áno |
NLA využíva bezpečné protokoly a vrstvenú validáciu na ochranu vášho servera zmenou keď a ako autentifikácia prebieha. Tu je rozpis procesu pripojenia:
Rozoberme, čo aktivácia NLA mení na požiadavky na pripojenie RDP.
S NLA sa krok 2 vyššie stal kritickým.
NLA efektívne "presúva" krok autentifikácie na sieťová vrstva (takže názov) predtým RDP inicializuje prostredie vzdialenej plochy. Na oplátku NLA používa Podpora rozhrania poskytovateľa zabezpečenia systému Windows (SSPI) vrátane CredSSP, aby sa bezproblémovo integroval s autentifikáciou domény.
RDP bol vektorom v niekoľkých vysoko profilovaných útokoch ransomvérom. NLA je nevyhnutná pre ochrana vzdialených desktopových prostredí z rôznych bezpečnostných hrozieb. Zabraňuje neoprávneným používateľom dokonca aj v iniciovaní vzdialenej relácie, čím zmierňuje riziká, ako sú útoky hrubou silou, útoky typu denial-of-service a vzdialené vykonávanie kódu.
Tu je rýchly prehľad bezpečnostných rizík RDP bez NLA:
Povolenie NLA je jednoduchý, ale účinný spôsob, ako minimalizovať tieto hrozby.
Autentifikácia na úrovni siete ponúka výhody v oblasti bezpečnosti a výkonu. Tu je to, čo získate:
Autentifikácia na úrovni siete vyžaduje, aby používatelia overili svoju identitu pred začiatkom akejkoľvek relácie vzdialenej plochy. Táto predbežná validácia sa vykonáva pomocou zabezpečených protokolov ako CredSSP a TLS, čím sa zabezpečuje, že sa k výzve na prihlásenie dostanú iba autorizovaní používatelia. Vynútením tohto skorého kroku NLA drasticky znižuje riziko narušenia prostredníctvom ukradnutých alebo uhádnutých poverení.
Ako poskytovateľ bezpečnostnej podpory, protokol Credential Security Support Provider (CredSSP) umožňuje aplikácii delegovať používateľské poverenia z klienta na cieľový server pre vzdialenú autentifikáciu.
Tento typ skorého overovania je v súlade s najlepšími praktikami kybernetickej bezpečnosti odporúčanými organizáciami ako Microsoft a NIST, najmä v prostrediach, kde sú zapojené citlivé údaje alebo infraštruktúra.
Bez NLA je rozhranie na prihlásenie RDP verejne prístupné, čo z neho robí ľahký cieľ pre automatizované skenovanie a nástroje na zneužitie. Keď je NLA povolené, toto rozhranie je skryté za autentifikačnou vrstvou, čo výrazne znižuje viditeľnosť vášho RDP servera v sieti alebo na internete.
Toto "neviditeľné-predvolené" správanie je v súlade s princípom minimálnej expozície, ktorý je kľúčový pri obrane proti zraniteľnostiam typu zero-day alebo útokom na vkladanie poverení.
Útoky hrubou silou fungujú tak, že opakovane hádajú kombinácie používateľských mien a hesiel. Ak je RDP vystavené bez NLA, útočníci môžu neustále skúšať, pričom používajú nástroje na automatizáciu tisícok pokusov o prihlásenie. NLA to blokuje tým, že vyžaduje platné poverenia vopred, takže neautentifikované relácie nikdy nemôžu pokračovať.
Toto nielenže neutralizuje bežnú metódu útoku, ale tiež pomáha predchádzať zablokovaniu účtov alebo nadmernému zaťaženiu autentifikačných systémov.
NLA podporuje NT Single Sign-On (SSO) v prostrediach Active Directory. SSO zjednodušuje pracovné postupy a znižuje trenie pre koncových používateľov tým, že umožňujúc im prihlásiť sa do viacerých aplikácií a webových stránok s jednorazovou autentifikáciou.
Pre IT administrátorov integrácia SSO zjednodušuje správu identity a znižuje počet tiketov na helpdesku súvisiacich so zabudnutými heslami alebo opakovanými prihláseniami, najmä v podnikových prostrediach s prísnymi prístupovými politikami.
Bez NLA môže každý pokus o pripojenie (aj od neautentifikovaného používateľa) načítať grafické prihlasovacie rozhranie, čím spotrebováva systémovú pamäť, CPU a šírku pásma. NLA eliminuje túto záťaž tým, že vyžaduje platné poverenia pred inicializáciou relácie.
Ako výsledok, servery fungujú efektívnejšie, relácie sa načítavajú rýchlejšie a legitímni používatelia zažívajú lepšiu reakčnosť, najmä v prostrediach s mnohými súbežnými RDP pripojeniami.
Moderné rámce súladu (ako GDPR, HIPAA, ISO 27001, …) vyžadujú bezpečnú autentifikáciu používateľov a kontrolovaný prístup k citlivým systémom. NLA pomáha splniť tieto požiadavky presadzovaním validácie poverení v počiatočnej fáze a minimalizovaním vystavenia hrozbám.
Implementovaním NLA organizácie preukazujú proaktívny prístup k riadeniu prístupu, ochrane údajov a pripravenosti na audity, čo môže byť kľúčové počas regulačných kontrol alebo bezpečnostných auditov.
Povolenie NLA je jednoduchý proces, ktorý možno dosiahnuť rôznymi spôsobmi. Tu vymedzujeme kroky na povolenie NLA prostredníctvom nastavení vzdialeného pripojenia a nastavení systému a zabezpečenia.
1. Stlačte Win + I na otvorenie Nastavení
2. Prejdite na Systém > Remote Desktop
3. Prepnúť povoliť vzdialenú plochu
4. Kliknite na Rozšírené nastavenia
5. Skontrolujte "Vyžadovať, aby počítače používali autentifikáciu na úrovni siete"
1. Otvorte Ovládací panel > Systém a zabezpečenie > Systém
2. Kliknite na Povoliť vzdialený prístup
3. Na karte Remote skontrolujte:
Povoliť vzdialené pripojenia iba z počítačov s NLA (odporúčané)
1. Stlačte Win + R, zadajte gpedit.msc
2. Prejdite na:
Konfigurácia počítača > Šablóny pre správu > Komponenty systému Windows > Služby vzdialeného pracovného stola > RDSH > Bezpečnosť
Nastavte "Vyžadovať overenie používateľa pre vzdialené pripojenia pomocou NLA" na Povolené
Zatiaľ čo zakázanie NLA sa vo všeobecnosti neodporúča kvôli bezpečnostným rizikám, môžu existovať konkrétne scenáre, kde je to nevyhnutné: staršie systémy bez podpory CredSSP, riešenie problémov s RDP a nekompatibilita s klientmi tretích strán. Tu sú metódy na zakázanie NLA:
Vypnutie NLA cez vlastnosti systému je priamy spôsob, ktorý možno vykonať cez rozhranie systému Windows.
Win + R
remote access solution [, riešenie pre vzdialený prístup]
sysdm.cpl
Welcome to our website where you can find a wide range of software products for your business needs.
Zvýšená zraniteľnosť:
Deaktivácia NLA odstraňuje predsession autentifikáciu, čím vystavuje sieť potenciálnemu neoprávnenému prístupu a rôznym kybernetické hrozby .
Odporúčanie:
Odporúča sa deaktivovať NLA iba v prípade absolútnej nevyhnutnosti a implementovať ďalšie bezpečnostné opatrenia na kompenzáciu zníženej ochrany.
Deaktivujte NLA prostredníctvom Editoru registra, aby ste poskytli pokročilejší a manuálny prístup.
Win + R
remote access solution [, riešenie pre vzdialený prístup]
regedit
Welcome to our website where you can find a wide range of software products for your business needs.
0
deaktivovať NLA.
Manuálna konfigurácia:
Úprava registra si vyžaduje starostlivú pozornosť, pretože nesprávne zmeny môžu viesť k nestabilite systému alebo bezpečnostným zraniteľnostiam.
Záloha:
Vždy zálohujte register pred vykonaním zmien, aby ste zabezpečili, že môžete obnoviť systém do jeho predchádzajúceho stavu, ak to bude potrebné.
Pre prostredia riadené cez skupinovú politiku je možné centrálnym spôsobom riadiť deaktiváciu NLA cez editor skupinovej politiky.
1. Otvorte Editor skupinovej politiky: Stlačte
Win + R
remote access solution [, riešenie pre vzdialený prístup]
gpedit.msc
Welcome to our website where you can find a wide range of software products for your business needs.
2. Prejdite na nastavenia zabezpečenia: Choďte do konfigurácie počítača -> administratívne šablóny -> komponenty systému Windows -> služby vzdialenej plochy -> hostiteľ relácie vzdialenej plochy -> zabezpečenie.
3. Zakázať NLA: Nájdite politiku s názvom "Vyžadovať autentifikáciu používateľa pre vzdialené pripojenia pomocou autentifikácie na úrovni siete" a nastavte ju na "Zakázané."
Centralizovaný manažment: Vypnutie NLA cez skupinovú politiku ovplyvňuje všetky spravované systémy, potenciálne zvyšujúc bezpečnostné riziko v celej sieti.
Dôsledky politiky: Uistite sa, že zakázanie NLA zodpovedá bezpečnostným politikám organizácie a že sú v mieste alternatívne bezpečnostné opatrenia.
TSplus plne podporuje NLA Autentifikácia na úrovni siete na zabezpečenie vzdialeného prístupu k desktopu od začiatku každej relácie. Zlepšuje natívnu bezpečnosť RDP pokročilými funkciami, ako je dvojfaktorová autentifikácia (2FA), filtrovanie IP, ochrana proti hrubej sile a kontrola prístupu k aplikáciám, čím vytvára robustný, viacúrovňový obranný systém.
S s TSplus administrátori získavajú centralizovanú kontrolu prostredníctvom jednoduchého webového rozhrania, čo zabezpečuje bezpečný, efektívny a škálovateľný prístup na diaľku. Je to ideálne riešenie pre organizácie, ktoré sa snažia prekročiť štandardnú bezpečnosť RDP bez dodatočnej zložitosti alebo nákladov na licencie.
Autentifikácia na úrovni siete je osvedčený spôsob zabezpečenia RDP pripojení pre vzdialený prístup vynucovaním overenia používateľa pred reláciou. V dnešnom prostredí orientovanom na vzdialenú prácu by malo byť povolenie NLA štandardným krokom pre všetky organizácie používajúce RDP. V kombinácii s rozšírenými funkciami, ktoré ponúkajú nástroje ako TSplus, poskytuje spoľahlivý základ pre bezpečné a efektívne publikovanie aplikácií.
TSplus Bezplatná skúšobná verzia vzdialeného prístupu
Konečná alternatíva Citrix/RDS pre prístup k desktopu/aplikáciám. Bezpečné, nákladovo efektívne, na mieste/cloud
Jednoduchý prístup na diaľku
Ideálna alternatíva k Citrixu a Microsoft RDS pre vzdialený prístup k pracovnej ploche a doručovanie aplikácií pre systém Windows.
Vyskúšajte to zadarmoDÔVERUJÚ MU VIAC NEŽ 500 000 SPOLOČNOSTÍ