Використання перевірки автентичності на рівні мережі замість служб терміналів дозволяє прискорити роботу і зробити її безпечнішою.
Крістін Гріффін
Що таке NLA
Так чому ж так добре надання облікових даних до створення сеансу? Є два позитивних моменти в створенні сеансу тільки після того, як ви переконаєтеся, що користувач є саме тим, за кого себе видає: це дозволяє створити додатковий рівень захисту від DoS-атак, а також прискорює процес посередництва.
При створенні сеансу, навіть просто для того, щоб відобразити вікно входу, вимагає від сервера створення багатьох процесів, необхідних для підтримки такого сеансу, таких як Csrss.exe і Winlogon.exe. З цієї причини створення сеансу є дорогою і займає чимало часу операцією. Якщо кілька сторонніх користувачів спробують підключитися до сеансу одночасно, вони можуть заблокувати іншим, можливо легальним користувачам, можливість створення сеансів.
У NLA використовується CredSSP для подання облікових даних сервера для перевірки автентичності перед створенням сеансу. Цей процес дозволяє уникнути обох цих проблем. У використання CredSSP є й інші переваги. CredSSP дозволяє знизити кількість операцій вхід, що виконуються, за рахунок зберігання облікових даних підключення.
При першому підключенні до нового сервера, віртуальній машині або навіть іншого комп'ютера користувачі повинні надати свої облікові дані. Разом з тим, у них є можливість зберегти їх. В цьому випадку при підключенні не доведеться знову надавати облікові дані, поки не зміниться пароль.
Як CredSSP підтримує NLA
Протокол CredSSP дозволяє додаткам безпечно делегувати облікові дані користувача від клієнта до цільового сервера. Цей протокол спочатку створює зашифрований канал між клієнтом і сервером із застосуванням протоколу TLS (Transport Layer Security) (відповідно до специфікації RFC2246).
Ви напевно помітили, що при підключенні клієнта RDC 6.x або більш пізньої версії до сервера вузла сеансів віддалених робочих столів при наданні облікових даних ви не підключаєтеся безпосередньо до вікна входу вузла сеансів віддалених робочих столів. Замість цього діалогове вікно для введення облікових даних відкривається на клієнті. Це діалогове вікно є «обличчям» CredSSP.
При введенні облікових даних в це вікно, навіть якщо ви вирішите їх не зберігати, вони надходять в CredSSP. Потім облікові дані передаються на сервер вузла сеансів віддалених робочих столів з безпечного каналу. Цей сервер почне створення призначеного для користувача сеансу, тільки отримавши ці облікові дані.
Клієнти, які підтримують CredSSP і RDP 6.x і пізніших версій, завжди використовують NLA, якщо цей протокол доступний. Так як CredSSP (технологія, що підтримує NLA) є частиною ОС, а не протоколу RDP, для нормальної роботи NLA клієнтська операційна система повинна підтримувати CredSSP.
Тому хоча в Windows XP SP2 і є клієнт RDC 6.0, використання NLA в цій ОС неможливо. Клієнти під управлінням Windows XP SP3, Windows Vista і Windows 7 підтримують CredSSP. Крім того, у вікні About (Про програму) вікна підключення до віддаленого робочого столу зазначено, чи підтримується NLA. Щоб відкрити це вікно, у вікні підключення до віддаленого робочого столу клацніть в лівому верхньому кутку значок комп'ютера і виберіть About (Про програму). У вікні буде вказано, чи підтримується перевірка справжності на рівні мережі.
Якщо ваша клієнтська машина не налаштована належним чином для підтримки NLA, ви побачите відповідне повідомлення при спробі віддалено підключитися до машини, яка вимагає підтримку NLA. Наприклад, якщо на вашому клієнті з Windows XP SP3 не включений CredSSP, при спробі підключитися до сервера вузла сеансів віддалених робочих столів, який вимагає NLA, ви отримаєте наступне повідомлення про помилку: «The remote computer requires Network Level Authentication, which your computer does not support »(Віддалений комп'ютер вимагає перевірки автентичності на рівні мережі, яку даний комп'ютер не підтримує).
Як забезпечити примусове використання NLA
За замовчуванням сервери вузла сеансів віддалених робочих столів не вимагають NLA. Але їх можна налаштувати на підтримку підключень тільки з комп'ютерів, що підтримують NLA - засобами групової політики або, для конкретних комп'ютерів, в конфігурації вузла сеансів віддалених робочих столів.
Щоб вимагати NLA при підключенні до сервера вузла сеансів віддалених робочих столів, відкрийте вікно конфігурації вузла сеансів віддалених робочих столів. Двічі клацніть RDP-Tcp (в розділі Connections) і на вкладці General відзначте прапорцем Allow Connections Only From Computers Running Remote Desktop with Network Level Authentication (Дозволяти підключення тільки від комп'ютерів з віддаленим робочим столом з мережевою перевіркою достовірності). Це не дозволить підключитися до сервера клієнтам, що не підтримують NLA (а саме клієнтам з RDC версії більш ранньої, ніж 6.x, і під управлінням ОС, що не підтримує CredSSP).
Щоб включити NLA засобами групової політики, включіть наступну політику і застосуєте її до підрозділу, в якому знаходиться сервер вузла сеансів віддалених робочих столів: Computer Configuration / Policies / Administrative Templates / Windows Components / Remote Desktop Services / Remote Desktop Session Host / Security / Require User Authentication For Remote Connections By Using Network Level Authentication (Конфігурація комп'ютера / Політики / Адміністративні шаблони / Компоненти Windows / Служби віддалених робочих столів / Вузол сеансів віддалених робочих столів / Безпека / Вимагати перевірку автентичності користувача для віддалених підключень шляхом прове РСІ автентичності на рівні мережі).
Якщо вимкнути або не конфігурувати цю політику, підтримка NLA турбуватися не буде.
VDI-запити
У середовищах віртуалізації настільних комп'ютерів (VDI) можна змусити Windows Vista і Windows 7 приймати підключення тільки від клієнтів, що підтримують NLA. Виберіть аплет Control Panel / System / Remote Settings (Панель управління / Система / Налаштування віддаленого доступу). На вкладці Remote (Віддалений доступ) вікна властивостей системи встановіть прапорець Allow Connections Only From Computers Running Remote Desktop With Network Level Authentication (More Secure) [Дозволяти підключення тільки від комп'ютерів з віддаленим робочим столом з мережевою перевіркою достовірності (безпечніше)].
У цій статті розказано, чому так важливо включати NLA на серверах вузла сеансів віддалених робочих столів і в середовищах віртуалізації настільних комп'ютерів. Ви повинні розуміти, як вимагати використання NLA на серверах і на віртуальних машинах середовища VDI, а також як налаштовувати клієнтські комп'ютери для підтримки NLA.
Питання та відповіді про NLA
Питання У мене комп'ютер під управлінням Windows XP SP3. Я включив CredSSP, але при спробі підключення до сервера вузла сеансів віддалених робочих столів, що вимагає NLA, отримую помилку: «An authentication error has occurred» (Помилка перевірки автентичності).
Відповідь На нашому порталі є виправлення, що дозволяє усунути цю проблему.
Ця помилка спостерігається при наявності наступних умов:
- Клієнт працює під управлінням Windows XP SP3, і на ньому включений CredSSP.
- Ви сконфигурировали сервер на використання реального SSL-сертифіката при ідентифікації (а не автоматично згенерованого сертифіката, який є за замовчуванням).
- Клієнт не довіряє центру сертифікації, який підписав цей SSL-сертифікат.
NLA потрібно безпечний канал, по якому він отримує облікові дані, але він не може створити тунель, якщо не довіряє сертифікату. Тому NLA не працює. Для виправлення ситуації треба подбати, щоб на клієнтській машині з Windows XP сертифікат, використаний для підписання SSL-сертифіката сервера вузла сеансів віддалених робочих столів, був поміщений в сховище сертифікатів Trusted Root Certification Authorities (Довірені кореневі центри сертифікації).
Примітка У різних версіях - від RDC 6.x до RDC 7.0 - текст помилки різний. У RDC 7.0 ви можете побачити таке повідомлення: «The connection has been terminated because an unexpected server authentication certificate was received from the remote computer» (Підключення було розірвано, оскільки було отримано непередбачений сертифікат перевірки автентичності сервера від віддаленого комп'ютера).