RDP sieťová úroveň autentifikácie: Nastavenie, bezpečnosť a prípady použitia

Úvod

S prechodom na hybridnú prácu a zvýšenou závislosťou na prístupe k vzdialenému desktopu je zabezpečenie bezpečných vzdialených relácií kľúčové. Protokol vzdialeného desktopu (RDP), hoci je pohodlný, je tiež častým cieľom kybernetických útokov. Jednou zo základných ochrán vášho RDP je NLA. Zistite viac o ňom, ako ho povoliť a najdôležitejšie, ako RDP Network Level Authentication (NLA) zlepšuje. vzdialený prístup bezpečnosť.

Čo je autentifikácia na úrovni siete?

Táto sekcia sa bude zaoberať základmi:

• Definícia NLA
• Rozdiel medzi tradičným RDP a NLA

Definícia NLA

Autentifikácia na úrovni siete (NLA) je bezpečnostné vylepšenie pre služby vzdialenej plochy (RDS). Vyžaduje, aby sa používatelia autentifikovali pred vytvorením relácie vzdialenej plochy. Tradičný RDP umožnil načítanie prihlasovacej obrazovky pred overením poverení, čím sa server vystavil pokusom o hrubú silu. NLA presúva túto validáciu na samý začiatok procesu vyjednávania relácie.

Rozdiel medzi tradičným RDP a NLA

Funkcia	Bare RDP, without NLA	RDP s povoleným NLA
Overenie prebieha	Po začatí relácie	Pred začiatím relácie
Expozícia servera	Vysoký (Celkový)	Minimálny
Ochrana proti hrubej sile	Obmedzený	Silný
Podpora SSO	Nie	Áno

Ako funguje NLA

NLA využíva bezpečné protokoly a vrstvenú validáciu na ochranu vášho servera zmenou keď a ako autentifikácia prebieha. Tu je rozpis procesu pripojenia:

1. Počiatočná žiadosť: Používateľ iniciuje pripojenie prostredníctvom RDP klienta.
2. Overenie poverení: Pred začiatkom relácie klient používa poskytovateľa podpory zabezpečenia poverení (CredSSP) na bezpečné odovzdanie poverení.
3. Zabezpečené nadviazanie relácie: Ak sú poverenia platné, vytvorí sa zabezpečená relácia pomocou TLS alebo SSL, ktorá šifruje všetku komunikáciu.
4. Štart relácie na pracovnej ploche: Až po overení používateľa sa spustí plná relácia RDP.

Aký rozdiel urobil NLA tu?

Rozoberme, čo aktivácia NLA mení na požiadavky na pripojenie RDP.

Nesprávne pripojenia začínajú bez NLA:

• RDP server načíta prihlasovaciu obrazovku predtým kontrola poverení.
• To znamená ktokoľvek môže otvoriť okno relácie, dokonca aj útočníci.
• Server využíva svoje zdroje na zobrazenie prihlasovacieho rozhrania, aj pre neoprávnených používateľov.

Bezpečné pripojenia začínajú s NLA:

S NLA sa krok 2 vyššie stal kritickým.

• Pred začiatkom relácie, ešte predtým, ako sa zobrazí grafická prihlasovacia obrazovka, musí RDP klient poskytnúť platné poverenia prostredníctvom CredSSP (čítajte ďalej pre podrobnosti).
• Ak sú poverenia neplatné, pripojenie je okamžite odmietnuté, takže server nikdy nenačíta rozhranie relácie.

NLA efektívne "presúva" krok autentifikácie na sieťová vrstva (takže názov) predtým RDP inicializuje prostredie vzdialenej plochy. Na oplátku NLA používa Podpora rozhrania poskytovateľa zabezpečenia systému Windows (SSPI) vrátane CredSSP, aby sa bezproblémovo integroval s autentifikáciou domény.

Prečo je autentifikácia na úrovni siete dôležitá?

RDP bol vektorom v niekoľkých vysoko profilovaných útokoch ransomvérom. NLA je nevyhnutná pre ochrana vzdialených desktopových prostredí z rôznych bezpečnostných hrozieb. Zabraňuje neoprávneným používateľom dokonca aj v iniciovaní vzdialenej relácie, čím zmierňuje riziká, ako sú útoky hrubou silou, útoky typu denial-of-service a vzdialené vykonávanie kódu.

Tu je rýchly prehľad bezpečnostných rizík RDP bez NLA:

• Útoky hrubou silou na vystavené prihlasovacie obrazovky
• Zamietnutie služby (DoS) z neautentifikovaných pripojení.
• Zraniteľnosti vzdialeného spúšťania kódu (RCE)
• Zneužívanie poverení pomocou uniknutých používateľských mien/hesiel

Povolenie NLA je jednoduchý, ale účinný spôsob, ako minimalizovať tieto hrozby.

Aké sú výhody povolenia NLA?

Autentifikácia na úrovni siete ponúka výhody v oblasti bezpečnosti a výkonu. Tu je to, čo získate:

• Silnejšia autentifikácia
• Čo je CredSSP?
• Znížený útočný povrch
• Obrana proti hrubej sile
• Kompatibilita SSO
• Lepší výkon servera
• Pripravené na súlad

Silnejšia autentifikácia

Autentifikácia na úrovni siete vyžaduje, aby používatelia overili svoju identitu pred začiatkom akejkoľvek relácie vzdialenej plochy. Táto predbežná validácia sa vykonáva pomocou zabezpečených protokolov ako CredSSP a TLS, čím sa zabezpečuje, že sa k výzve na prihlásenie dostanú iba autorizovaní používatelia. Vynútením tohto skorého kroku NLA drasticky znižuje riziko narušenia prostredníctvom ukradnutých alebo uhádnutých poverení.

Čo je CredSSP?

Ako poskytovateľ bezpečnostnej podpory, protokol Credential Security Support Provider (CredSSP) umožňuje aplikácii delegovať používateľské poverenia z klienta na cieľový server pre vzdialenú autentifikáciu.

Tento typ skorého overovania je v súlade s najlepšími praktikami kybernetickej bezpečnosti odporúčanými organizáciami ako Microsoft a NIST, najmä v prostrediach, kde sú zapojené citlivé údaje alebo infraštruktúra.

Znížený útočný povrch

Bez NLA je rozhranie na prihlásenie RDP verejne prístupné, čo z neho robí ľahký cieľ pre automatizované skenovanie a nástroje na zneužitie. Keď je NLA povolené, toto rozhranie je skryté za autentifikačnou vrstvou, čo výrazne znižuje viditeľnosť vášho RDP servera v sieti alebo na internete.

Toto "neviditeľné-predvolené" správanie je v súlade s princípom minimálnej expozície, ktorý je kľúčový pri obrane proti zraniteľnostiam typu zero-day alebo útokom na vkladanie poverení.

Obrana proti hrubej sile

Útoky hrubou silou fungujú tak, že opakovane hádajú kombinácie používateľských mien a hesiel. Ak je RDP vystavené bez NLA, útočníci môžu neustále skúšať, pričom používajú nástroje na automatizáciu tisícok pokusov o prihlásenie. NLA to blokuje tým, že vyžaduje platné poverenia vopred, takže neautentifikované relácie nikdy nemôžu pokračovať.

Toto nielenže neutralizuje bežnú metódu útoku, ale tiež pomáha predchádzať zablokovaniu účtov alebo nadmernému zaťaženiu autentifikačných systémov.

Kompatibilita SSO

NLA podporuje NT Single Sign-On (SSO) v prostrediach Active Directory. SSO zjednodušuje pracovné postupy a znižuje trenie pre koncových používateľov tým, že umožňujúc im prihlásiť sa do viacerých aplikácií a webových stránok s jednorazovou autentifikáciou.

Pre IT administrátorov integrácia SSO zjednodušuje správu identity a znižuje počet tiketov na helpdesku súvisiacich so zabudnutými heslami alebo opakovanými prihláseniami, najmä v podnikových prostrediach s prísnymi prístupovými politikami.

Lepší výkon servera

Bez NLA môže každý pokus o pripojenie (aj od neautentifikovaného používateľa) načítať grafické prihlasovacie rozhranie, čím spotrebováva systémovú pamäť, CPU a šírku pásma. NLA eliminuje túto záťaž tým, že vyžaduje platné poverenia pred inicializáciou relácie.

Ako výsledok, servery fungujú efektívnejšie, relácie sa načítavajú rýchlejšie a legitímni používatelia zažívajú lepšiu reakčnosť, najmä v prostrediach s mnohými súbežnými RDP pripojeniami.

Pripravené na súlad

Moderné rámce súladu (ako GDPR, HIPAA, ISO 27001, …) vyžadujú bezpečnú autentifikáciu používateľov a kontrolovaný prístup k citlivým systémom. NLA pomáha splniť tieto požiadavky presadzovaním validácie poverení v počiatočnej fáze a minimalizovaním vystavenia hrozbám.

Implementovaním NLA organizácie preukazujú proaktívny prístup k riadeniu prístupu, ochrane údajov a pripravenosti na audity, čo môže byť kľúčové počas regulačných kontrol alebo bezpečnostných auditov.

Ako povoliť autentifikáciu na úrovni siete?

Povolenie NLA je jednoduchý proces, ktorý možno dosiahnuť rôznymi spôsobmi. Tu vymedzujeme kroky na povolenie NLA prostredníctvom nastavení vzdialeného pripojenia a nastavení systému a zabezpečenia.

• Nastavenia systému Windows
• Ovládací panel
• Editor skupinovej politiky

Metóda 1: Povolenie NLA cez nastavenia systému Windows

1.        Stlačte Win + I na otvorenie Nastavení

2.        Prejdite na Systém > Remote Desktop

3.        Prepnúť povoliť vzdialenú plochu

4.        Kliknite na Rozšírené nastavenia

5.        Skontrolujte "Vyžadovať, aby počítače používali autentifikáciu na úrovni siete"

Metóda 2: Povolenie NLA cez Ovládací panel

1.        Otvorte Ovládací panel > Systém a zabezpečenie > Systém

2.        Kliknite na Povoliť vzdialený prístup

3.        Na karte Remote skontrolujte:
Povoliť vzdialené pripojenia iba z počítačov s NLA (odporúčané)

Metóda 3: Editor skupinovej politiky

1.        Stlačte Win + R, zadajte gpedit.msc

2.        Prejdite na:
Konfigurácia počítača > Šablóny pre správu > Komponenty systému Windows > Služby vzdialeného pracovného stola > RDSH > Bezpečnosť

Nastavte "Vyžadovať overenie používateľa pre vzdialené pripojenia pomocou NLA" na Povolené

Ako zakázať overenie na úrovni siete?

Zatiaľ čo zakázanie NLA sa vo všeobecnosti neodporúča kvôli bezpečnostným rizikám, môžu existovať konkrétne scenáre, kde je to nevyhnutné: staršie systémy bez podpory CredSSP, riešenie problémov s RDP a nekompatibilita s klientmi tretích strán. Tu sú metódy na zakázanie NLA:

• Systémové vlastnosti
• Editor registru
• Editor skupinovej politiky

Metóda 1: Použitie systémových vlastností

Vypnutie NLA cez vlastnosti systému je priamy spôsob, ktorý možno vykonať cez rozhranie systému Windows.

Návod krok za krokom v Syst Prop

1. Otvorte dialógové okno Spustiť: Stlačte Win + R remote access solution [, riešenie pre vzdialený prístup] sysdm.cpl Welcome to our website where you can find a wide range of software products for your business needs.
2. Prístup k vzdialeným nastaveniam: V okne "Vlastnosti systému" prejdite na kartu "Vzdialené".
3. Zakázať NLA: Zrušte zaškrtnutie možnosti "Povoliť pripojenia len z počítačov s vzdialeným plochou s sieťovou úrovňou overenia (odporúčané)".

Riziká a úvahy

Zvýšená zraniteľnosť:

Deaktivácia NLA odstraňuje predsession autentifikáciu, čím vystavuje sieť potenciálnemu neoprávnenému prístupu a rôznym kybernetické hrozby .

Odporúčanie:

Odporúča sa deaktivovať NLA iba v prípade absolútnej nevyhnutnosti a implementovať ďalšie bezpečnostné opatrenia na kompenzáciu zníženej ochrany.

Metóda 2: Použitie Editora registra

Deaktivujte NLA prostredníctvom Editoru registra, aby ste poskytli pokročilejší a manuálny prístup.

Návod krok za krokom v RegEdit

1. Otvorte Editor registra: Stlačte Win + R remote access solution [, riešenie pre vzdialený prístup] regedit Welcome to our website where you can find a wide range of software products for your business needs.
2. Prejdite na kľúč: Choďte na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
3. Upraviť hodnoty: Zmeňte hodnoty "Bezpečnostná vrstva" a "Používateľská autentifikácia" na 0 deaktivovať NLA.
4. Reštartujte systém: Reštartujte váš systém, aby sa zmeny prejavili.

Riziká a úvahy

Manuálna konfigurácia:

Úprava registra si vyžaduje starostlivú pozornosť, pretože nesprávne zmeny môžu viesť k nestabilite systému alebo bezpečnostným zraniteľnostiam.

Záloha:

Vždy zálohujte register pred vykonaním zmien, aby ste zabezpečili, že môžete obnoviť systém do jeho predchádzajúceho stavu, ak to bude potrebné.

Metóda 3: Použitie editora skupinovej politiky

Pre prostredia riadené cez skupinovú politiku je možné centrálnym spôsobom riadiť deaktiváciu NLA cez editor skupinovej politiky.

Návod krok za krokom v GPEdit

1. Otvorte Editor skupinovej politiky: Stlačte Win + R remote access solution [, riešenie pre vzdialený prístup] gpedit.msc Welcome to our website where you can find a wide range of software products for your business needs.

2.        Prejdite na nastavenia zabezpečenia: Choďte do konfigurácie počítača -> administratívne šablóny -> komponenty systému Windows -> služby vzdialenej plochy -> hostiteľ relácie vzdialenej plochy -> zabezpečenie.

3.        Zakázať NLA: Nájdite politiku s názvom "Vyžadovať autentifikáciu používateľa pre vzdialené pripojenia pomocou autentifikácie na úrovni siete" a nastavte ju na "Zakázané."

Riziká a úvahy

Centralizovaný manažment: Vypnutie NLA cez skupinovú politiku ovplyvňuje všetky spravované systémy, potenciálne zvyšujúc bezpečnostné riziko v celej sieti.

Dôsledky politiky: Uistite sa, že zakázanie NLA zodpovedá bezpečnostným politikám organizácie a že sú v mieste alternatívne bezpečnostné opatrenia.

Ako zlepšiť svoju bezpečnosť s TSplus

TSplus plne podporuje NLA Autentifikácia na úrovni siete na zabezpečenie vzdialeného prístupu k desktopu od začiatku každej relácie. Zlepšuje natívnu bezpečnosť RDP pokročilými funkciami, ako je dvojfaktorová autentifikácia (2FA), filtrovanie IP, ochrana proti hrubej sile a kontrola prístupu k aplikáciám, čím vytvára robustný, viacúrovňový obranný systém.

S s TSplus administrátori získavajú centralizovanú kontrolu prostredníctvom jednoduchého webového rozhrania, čo zabezpečuje bezpečný, efektívny a škálovateľný prístup na diaľku. Je to ideálne riešenie pre organizácie, ktoré sa snažia prekročiť štandardnú bezpečnosť RDP bez dodatočnej zložitosti alebo nákladov na licencie.

Záver

Autentifikácia na úrovni siete je osvedčený spôsob zabezpečenia RDP pripojení pre vzdialený prístup vynucovaním overenia používateľa pred reláciou. V dnešnom prostredí orientovanom na vzdialenú prácu by malo byť povolenie NLA štandardným krokom pre všetky organizácie používajúce RDP. V kombinácii s rozšírenými funkciami, ktoré ponúkajú nástroje ako TSplus, poskytuje spoľahlivý základ pre bezpečné a efektívne publikovanie aplikácií.