)
)
)
如何在 Windows 10 上通過遠程註冊表啟用 RDP
在這篇技術文章中,我們將介紹如何通過 Windows 註冊表配置 RDP——無論是本地還是遠程。我們還將涵蓋 PowerShell 替代方案、防火牆配置和安全考量。
)
)
介紹
隨著混合工作模式的轉變和對遠端桌面訪問的依賴增加,確保安全的遠端會話至關重要。遠端桌面協議(RDP)雖然方便,但也是網絡攻擊的常見目標。您RDP的基本保護之一是NLA。了解它、如何啟用,以及最重要的是RDP網絡級身份驗證(NLA)如何增強安全性。 遠端存取 安全性。
什麼是網路層級驗證?
本節將涵蓋基礎知識:
- NLA的定義
- 傳統RDP和NLA之間的差異
NLA的定義
網路層級驗證(NLA)是遠端桌面服務(RDS)的安全增強功能。它要求使用者在建立遠端桌面會話之前進行身份驗證。傳統的 RDP 允許在驗證憑證之前加載登錄畫面,因此使伺服器暴露於暴力破解嘗試中。NLA 將該驗證移至會話協商過程的最開始。
傳統RDP和NLA之間的差異
| 功能 | 裸 RDP,無 NLA | 啟用 NLA 的 RDP |
|---|---|---|
| 身份驗證進行中 | 會話開始後 | 會議開始前 |
| 伺服器暴露 | 高(總計) | 最小 |
| 防止暴力破解 | 有限 | 強大 |
| SSO 支援 | 不 | 是 |
NLA 如何運作
NLA 利用安全協議和分層驗證來保護您的伺服器,通過更改 當 和 如何 身份驗證發生。以下是連接過程的詳細說明:
- 初始請求: 用戶通過 RDP 客戶端發起連接。
- 憑證驗證: 在會話開始之前,客戶使用憑證安全支援提供者(CredSSP)安全地傳遞憑證。
- 安全會話建立: 如果憑證有效,則會使用 TLS 或 SSL 創建安全會話,對所有通信進行加密。
- 桌面會話開始: 只有在用戶身份驗證後,完整的 RDP 會話才會開始。
NLA 在這裡帶來了什麼不同?
讓我們來分析NLA的啟用對RDP連接請求的變更。
不安全的連接在沒有 NLA 的情況下開始:
- RDP 伺服器載入登錄畫面 之前 檢查憑證。
- 這意味著 任何人 可以打開會話窗口,即使是攻擊者。
- 伺服器使用其資源來顯示登錄介面,即使對於未經授權的用戶。
安全連接從 NLA 開始:
有了 NLA,以上第 2 步變得至關重要。
- 在會話之前,即使圖形登錄屏幕尚未出現,RDP 客戶端必須通過提供有效的憑據來進行身份驗證。 CredSSP (閱讀以獲取詳細信息。)
- 如果憑證無效,連接將立即被拒絕,因此伺服器永遠不會加載會話介面。
因此,NLA 有效地將身份驗證步驟「轉移」到 網絡層 (因此得名) 之前 RDP 初始化遠端桌面環境。反過來,NLA 使用 Windows 安全性支援提供者介面 (SSPI) ,包括 CredSSP,以無縫整合域身份驗證。
為什麼網路層級驗證很重要?
RDP 在幾起高調的勒索病毒攻擊中一直是一個攻擊向量。NLA 對於 保護遠端桌面環境 來自各種安全威脅。它防止未經授權的用戶甚至啟動遠程會話,從而減少暴力破解攻擊、拒絕服務攻擊和遠程代碼執行等風險。
這裡是沒有 NLA 的 RDP 安全風險的簡要總結:
- 暴力攻擊暴露的登錄畫面
- 未經身份驗證的連接洪水攻擊(DoS)
- 遠端代碼執行 (RCE) 漏洞
- 使用洩露的用戶名/密碼進行憑證填充
啟用 NLA 是一種簡單但有效的方式來減少這些威脅。
啟用 NLA 的好處是什麼?
網路層級驗證提供安全性和性能上的優勢。以下是您所獲得的:
- 更強的身份驗證
- 什麼是 CredSSP?
- 減少攻擊面
- 暴力破解防護
- SSO 相容性
- 更好的伺服器性能
- 合規準備
更強的身份驗證
網路層級驗證要求使用者在任何遠端桌面會話開始之前驗證其身份。這一前線驗證是使用安全協議如 CredSSP 和 TLS 進行的,確保只有授權使用者才能到達登錄提示。通過強制執行這一早期步驟,NLA 大幅降低了通過被盜或猜測的憑證進行入侵的風險。
什麼是 CredSSP?
作為安全支援提供者,憑證安全支援提供者協議(CredSSP)允許應用程式將用戶的憑證從客戶端委派到目標伺服器以進行遠端身份驗證。
這種類型的早期驗證符合微軟和NIST等組織推薦的網絡安全最佳實踐,特別是在涉及敏感數據或基礎設施的環境中。
減少攻擊面
沒有 NLA,RDP 登入介面是公開可訪問的,這使其成為自動掃描和利用工具的易攻擊目標。當 NLA 啟用時,該介面隱藏在身份驗證層之後,顯著降低了您 RDP 伺服器在網絡或互聯網上的可見性。
這種「默認隱形」的行為符合最小暴露原則,這在防禦零日漏洞或憑證填充攻擊中至關重要。
暴力破解防護
暴力攻擊透過不斷猜測用戶名和密碼組合來運作。如果 RDP 在沒有 NLA 的情況下暴露,攻擊者可以無限期地嘗試,使用工具自動化數千次登錄嘗試。NLA 通過要求有效的憑證來阻止這一點,因此未經身份驗證的會話永遠不會被允許進行。
這不僅中和了一種常見的攻擊方法,還有助於防止帳戶鎖定或對身份驗證系統造成過度負載。
SSO 相容性
NLA 支援在 Active Directory 環境中的 NT 單一登入 (SSO)。 SSO 簡化工作流程 並減少最終用戶的摩擦 允許他們使用一次性身份驗證登錄多個應用程序和網站。
對於IT管理員來說,SSO整合簡化了身份管理,並減少了與忘記密碼或重複登錄相關的幫助台票證,特別是在具有嚴格訪問政策的企業環境中。
更好的伺服器性能
在沒有 NLA 的情況下,每次連接嘗試(即使來自未經身份驗證的用戶)都可以加載圖形登錄界面,消耗系統內存、CPU 和帶寬。NLA 通過要求有效的憑證來初始化會話,消除了這種開銷。
因此,伺服器運行更有效率,會話加載更快,合法用戶的響應速度更好,特別是在有許多同時 RDP 連接的環境中。
合規準備
現代合規框架(如GDPR、HIPAA、ISO 27001等)要求安全的用戶身份驗證和對敏感系統的受控訪問。NLA通過強制早期憑證驗證和最小化威脅暴露來幫助滿足這些要求。
透過實施 NLA,組織展示了對訪問控制、數據保護和審計準備的主動方法,這在監管審查或安全審計期間可能至關重要。
如何啟用網路層級驗證?
啟用 NLA 是一個簡單的過程,可以通過各種方法完成。在這裡,我們概述了通過遠程桌面設置和系統和安全設置啟用 NLA 的步驟。
- Windows 設定
- 控制面板
- 群組原則編輯器
方法 1:透過 Windows 設定啟用 NLA
1. 按下 Win + I 打開設定
2. 前往系統 > 遠端桌面
3. 切換啟用遠端桌面
4. 點擊進階設定
5. 檢查「要求電腦使用網路層級驗證」
方法 2:通過控制面板啟用 NLA
1. 打開控制面板 > 系統和安全 > 系統
2. 點擊允許遠端存取
3. 在「遠端」標籤下,檢查:
“僅允許來自運行 NLA(建議)的計算機的遠程連接”
方法 3:群組原則編輯器
1. 按下 Win + R,輸入 gpedit.msc
2. 前往:
電腦配置 > 管理範本 > Windows 元件 > 遠端桌面服務 > RDSH > 安全性
將「要求使用 NLA 進行遠程連接的用戶身份驗證」設置為啟用
如何禁用網絡級身份驗證?
雖然一般不建議禁用 NLA,因為存在安全風險,但在某些特定情況下可能是必要的:不支持 CredSSP 的舊系統、故障排除 RDP 失敗和第三方客戶端不兼容。以下是禁用 NLA 的方法:
- 系統屬性
- 登錄編輯器
- 群組原則編輯器
方法 1:使用系統屬性
通過系統屬性禁用NLA是一種可以通過Windows界面直接完成的方法。
系統屬性逐步指南
-
打開執行對話方塊:按下
Win + R歡迎來到我們的軟體產品頁面。探索我們豐富的解決方案,滿足您的業務需求。sysdm.cpl[Welcome to our software products page. Here you can find a wide range of solutions for your business needs. Explore our latest offerings and take your business to the next level with our innovative software.] , and hit Enter. - 訪問遠程設置:在“系統屬性”窗口中,轉到“遠程”選項卡。
- 取消 NLA:取消選項"僅允許從運行具有網絡級別驗證的遠程桌面的計算機進行連接(建議)。"
風險和考慮
增加的脆弱性:
禁用 NLA 會移除預會話身份驗證,將網絡暴露於潛在的未經授權訪問和各種風險。 網絡威脅 .
建議:
建議僅在絕對必要時禁用 NLA,並實施額外的安全措施以彌補降低的保護。
方法2:使用註冊表編輯器
通過註冊表編輯器禁用 NLA,以提供更高級和手動的方法。
在 RegEdit 中的逐步指南
-
打開註冊表編輯器:按下
Win + R歡迎來到我們的軟體產品頁面。探索我們豐富的解決方案,滿足您的業務需求。regedit[Welcome to our software products page. Here you can find a wide range of solutions for your business needs. Explore our latest offerings and take your business to the next level with our innovative software.] , and hit Enter. - 前往金鑰:前往HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp。
-
修改值:將"安全層"和"使用者驗證"的值更改為
0禁用 NLA。 - 重新啟動系統:重新啟動您的系統以使更改生效。
風險和考慮
手動配置:
編輯註冊表需要謹慎注意,因為不正確的更改可能導致系統不穩定或安全漏洞。
備份:
在進行更改之前,請始終備份登錄檔,以確保在需要時可以將系統恢復到先前的狀態。
使用方法3:使用群組原則編輯器
通過群組政策管理的環境,可以通過群組政策編輯器集中控制禁用NLA。
GPEdit中的逐步指南
1. 打開群組政策編輯器:按
Win + R
歡迎來到我們的軟體產品頁面。探索我們豐富的解決方案,滿足您的業務需求。
gpedit.msc
[Welcome to our software products page. Here you can find a wide range of solutions for your business needs. Explore our latest offerings and take your business to the next level with our innovative software.] , and hit Enter.
2. 前往安全設定:進入電腦配置 -> 管理範本 -> Windows 元件 -> 遠端桌面服務 -> 遠端桌面會話主機 -> 安全性。
3. 禁用 NLA:找到名為「要求使用網路層身份驗證的遠端連接用戶身份驗證」的政策,並將其設置為「禁用」。
風險和考慮
集中管理:通過群組政策禁用NLA會影響所有受管理的系統,可能增加整個網絡的安全風險。
政策影響:確保停用NLA符合組織安全政策並設置替代安全措施。
如何使用TSplus增強您的安全性
TSplus 完全支持 NLA (網路層級驗證) 以確保每個會話開始時的遠端桌面存取安全。它透過進階功能如雙重身份驗證 (2FA)、IP 過濾、暴力破解保護和應用程式存取控制來增強原生 RDP 安全性,創建一個強大且多層次的防禦系統。
與 TSplus 管理員通過簡單的網頁控制台獲得集中控制,確保安全、高效和可擴展的遠程訪問。這是尋求超越標準RDP安全性而不增加複雜性或許可成本的組織的理想解決方案。
結論
網路層級驗證是一種經過驗證的方法,用於通過強制執行會話前用戶驗證來保護 RDP 連接以進行遠端存取。在當今以遠端為主的環境中,啟用 NLA 應該是所有使用 RDP 的組織的預設步驟。當與像 TSplus 這樣的工具提供的擴展功能結合時,它為安全、高效的應用程式發布提供了可靠的基礎。
TSplus 遠端存取免費試用
Ultimate Citrix/RDS 替代方案,用於桌面/應用訪問。安全、具成本效益,可在本地/雲端使用。
