Utilizarea autentificării la nivel de rețea în loc de servicii terminale vă permite să vă grăbiți munca și să o faceți mai sigură.
Christine Griffin
Ce este NLA?
Deci, ce este atât de bun în ceea ce privește furnizarea acreditărilor înainte de a crea o sesiune? Există două momente pozitive în crearea unei sesiuni numai după ce vă asigurați că utilizatorul este exact cel pe care îl susține: acesta vă permite să creați un strat suplimentar de protecție împotriva atacurilor DoS și, de asemenea, să accelerați procesul de mediere.
Când creați o sesiune, chiar dacă doriți să afișați fereastra de conectare, serverul trebuie să creeze multe procese necesare pentru a susține o astfel de sesiune, cum ar fi Csrss.exe și Winlogon.exe. Din acest motiv, crearea unei sesiuni este costisitoare și consumatoare de timp. Dacă mai mulți utilizatori neautorizați încearcă să se conecteze la sesiune în același timp, aceștia pot bloca alți utilizatori, probabil legitimi, capacitatea de a crea sesiuni.
NLA utilizează credSSP pentru a prezenta acreditările serverului pentru autentificare înainte de a crea o sesiune. Acest proces evită ambele probleme. Există și alte avantaje pentru utilizarea CredSSP. CredSSP vă permite să reduceți numărul de operații de conectare efectuate de utilizator, stocând datele de conectare.
Când vă conectați mai întâi la un server nou, la o mașină virtuală sau chiar la alt computer, utilizatorii trebuie să furnizeze acreditările. În același timp, ei au posibilitatea de a le salva. În acest caz, când vă conectați, nu este necesar să furnizați din nou acreditări înainte de modificarea parolei.
Cum acceptă CredSSP NLA
CredSSP permite aplicațiilor să delege în mod sigur acreditările utilizatorilor de la client la serverul țintă. Acest protocol creează mai întâi un canal criptat între client și server utilizând protocolul de securitate Layer Security (TLS) (conform specificației RFC2246).
Probabil ați observat că atunci când conectați clientul RDC 6.x sau ulterior la serverul gazdei de sesiune RD atunci când oferiți acreditări, nu vă conectați direct la fereastra de conectare RD Session Host. În schimb, se deschide caseta de dialog pentru introducerea acreditărilor pe client. Această casetă de dialog este "fața" din CredSSP.
Când introduceți acreditările în această fereastră, chiar dacă decideți să nu le salvați, aceștia intră în CredSSP. Acreditările sunt apoi transferate către serverul RD Session Host printr-un canal securizat. Acest server va începe să creeze o sesiune personalizată numai după ce a obținut aceste acreditări.
Clienții care acceptă modelele CredSSP și RDP 6.x și versiunile ulterioare utilizează întotdeauna NLA dacă acest protocol este disponibil. Deoarece CredSSP (o tehnologie care suportă NLA) face parte din sistemul de operare și nu din protocolul RDP, sistemul de operare client trebuie să suporte CredSSP pentru ca NLA să funcționeze corect.
Prin urmare, deși există un client RDC 6.0 în Windows XP SP2, nu puteți utiliza NLA în acest sistem de operare. Clienții care rulează Windows XP SP3, Windows Vista și Windows 7 acceptă CredSSP. În plus, fereastra About a ferestrei Connection Desktop la distanță indică dacă NLA este acceptată. Pentru a deschide această fereastră, în fereastra Conexiune la distanță la distanță, faceți clic pe pictograma computerului din colțul din stânga sus și selectați Despre. Fereastra care apare va indica dacă autentificarea este acceptată la nivel de rețea.
Dacă mașina dvs. client nu este configurată corespunzător pentru a suporta NLA, veți vedea un mesaj corespunzător atunci când încercați să vă conectați de la distanță la o mașină care necesită suport pentru NLA. De exemplu, în cazul în care clientul dvs. cu Windows XP SP3 nu include CredSSP, atunci când încercați să vă conectați la serverul gazdă RD sesiune, Remote Desktop, care necesită NLA, primiți următorul mesaj de eroare: «Computerul la distanță necesită rețea la nivel de autentificare, care computerul nu suport "(Computerul la distanță necesită autentificare la nivel de rețea, pe care computerul nu îl suportă).
Cum se impune aplicarea NLA
În mod implicit, serverele gazdă pentru Sesiuni de desktop la distanță nu necesită NLA. Dar ele pot fi configurate să suporte conexiuni numai de la computerele care acceptă instrumentele NLA - Policy Group sau, pentru anumite computere, în configurația Host Session Host.
Pentru a solicita NLA atunci când vă conectați la un server RD Session Host, deschideți fereastra Configurare Host Session RD. Faceți dublu clic pe PDR-tcp (în secțiunea Conexiuni) și pe fila General, bifați caseta permite conexiuni numai de la computere care rulează Desktop la distanță cu nivel de rețea de autentificare (permit conexiuni numai de la computere care rulează Desktop la distanță cu nivel de rețea de autentificare). Ea nu permite clienților să se conecteze la un server care nu are suport pentru NLA (și anume clienții cu versiunile anterioare RDC decât 6.x, iar sistemul de operare nu susțin CredSSP).
Pentru a activa NLA instrumente de politică de grup, să includă următoarea politică și se aplică la unitatea în care RD sesiune de server gazdă Remote Desktop: Configurația computerului / Politici / Administrative Templates / Windows Components / Remote Desktop Services / Remote sesiune Desktop Host / Securitate / Necesită utilizator autentificare pentru conexiuni de la distanță prin Utilizarea autentificării nivel de rețea (computer de configurare / Politici / administrative templates / Windows Components / Desktop la distanță Servicii / RD sesiune gazdă Desktop la distanță / Securitate / Se solicită autentificarea utilizatorului pentru conexiuni de la distanță de către Dovedește autenticitatea la nivelul rețelei).
Dacă dezactivați sau nu configurați această politică, nu va fi necesar suportul NLA.
Solicitări VDI
În mediile de virtualizare desktop (VDI), puteți obține Windows Vista și Windows 7 să accepte conexiuni numai de la clienții care suportă NLA. Selectați apletul Panoul de control / Sistem / Setări la distanță (Panoul de control / Setările sistemului / accesului la distanță). Pe la distanță (Remote Access) fereastra de proprietăți a sistemului, verificați permite conexiuni numai de la computere care rulează Desktop la distanță cu nivel de rețea de autentificare (mai sigur) [Se permit conexiuni numai de la computere care rulează Desktop la distanță cu nivel de rețea de autentificare (mai sigur)].
Acest articol explică de ce este atât de important să includeți NLA pe serverele Host Session Hosts și în mediile de virtualizare desktop. Trebuie să înțelegeți cum să solicitați utilizarea NLA pe servere și mașini virtuale în mediul VDI și cum să configurați computerele client pentru a suporta NLA.
Întrebări frecvente pentru NLA
Întrebare Am un computer care rulează Windows XP SP3. Am activat serviciul CredSSP, dar când încerc să mă conectez la un server Host Session Host care necesită NLA, am o eroare: "A apărut o eroare de autentificare".
Răspuns Există o remediere pe blogul meu care rezolvă această problemă.
Această eroare apare atunci când există următoarele condiții:
- Clientul execută Windows XP SP3, iar CredSSP este activat pe acesta.
- Ați configurat serverul să utilizeze un certificat SSL real atunci când identificați (mai degrabă decât generat automat un certificat, care este implicit).
- Clientul nu are încredere în autoritatea de certificare care a semnat acest certificat SSL.
NLA necesită un canal securizat prin care primește acreditări, dar nu poate crea un tunel dacă nu are încredere în certificat. Prin urmare, NLA nu funcționează. Pentru a remedia această situație, este necesar să vă asigurați că mașina client cu certificat pentru Windows XP utilizat pentru a semna SSL-certificatul de serverul gazdă RD sesiune Remote Desktop a fost plasat în magazin Trusted Root Certification certificatele autorităților (Root Certification Authorities Trusted).
Notă În versiuni diferite - de la RDC 6.x la RDC 7.0 - textul de eroare este diferit. În RDC 7.0, puteți vedea acest mesaj: "Conexiunea a fost anulată deoarece a fost primită certificatul de autentificare a serverului neacceptat de la computerul la distanță.
Articole similare
Trimiteți-le prietenilor: