Autenticazione a livello di rete - Network Level Authentication

L'autenticazione a livello di rete ( NLA ) è una funzionalità di Servizi Desktop remoto (server RDP) o Connessione desktop remoto (client RDP) che richiede all'utente che si connette di autenticarsi prima che venga stabilita una sessione con il server.

In origine, se un utente apriva una sessione RDP (desktop remoto) su un server, caricava la schermata di accesso dal server per l'utente. Ciò avrebbe utilizzato le risorse sul server ed era una potenziale area per attacchi di negazione del servizio e attacchi di esecuzione di codice in modalità remota (vedere BlueKeep ). L'autenticazione a livello di rete delega le credenziali dell'utente dal client tramite un provider di supporto per la sicurezza lato client e richiede all'utente di autenticarsi prima di stabilire una sessione sul server.

L'autenticazione a livello di rete è stata introdotta in RDP 6.0 e inizialmente supportata in Windows Vista . Utilizza il nuovo provider di supporto per la sicurezza, CredSSP, disponibile tramite SSPI in Windows Vista. Con Windows XP Service Pack 3, CredSSP è stato introdotto su quella piattaforma e il client RDP 6.1 incluso supporta NLA; tuttavia CredSSP deve essere prima abilitato nel registro.

Vantaggi

I vantaggi dell'autenticazione a livello di rete sono:

• Richiede inizialmente meno risorse del computer remoto , impedendo l'avvio di una connessione desktop remoto completa fino a quando l'utente non viene autenticato, riducendo il rischio di attacchi denial-of-service.
• Consente a NT Single Sign-On (SSO) di estendersi a Servizi Desktop remoto .
• Può aiutare a mitigare le vulnerabilità del desktop remoto che possono essere sfruttate solo prima dell'autenticazione.

Svantaggi

• Nessun supporto per altri fornitori di credenziali
• Per utilizzare l'autenticazione a livello di rete in Servizi Desktop remoto, il client deve eseguire Windows XP SP3 o versioni successive e l'host deve eseguire Windows Vista o versioni successive o Windows Server 2008 o versioni successive.
• Il supporto per i server RDP che richiedono l'autenticazione a livello di rete deve essere configurato tramite chiavi di registro per l'utilizzo su Windows XP SP3.
• Non è possibile modificare la password tramite CredSSP. Questo è un problema quando "L'utente deve cambiare la password all'accesso successivo" è abilitato o se la password di un account scade.
• Richiede il privilegio "Accedi a questo computer dalla rete", che potrebbe essere limitato per altri motivi.
• Gli indirizzi IP dei client che tentano di accedere non verranno memorizzati nei registri di controllo della sicurezza, rendendo più difficile bloccare la forza bruta o gli attacchi di dizionario tramite un firewall.
• L'autenticazione con smart card da un dominio a un altro utilizzando un gateway desktop remoto non è supportata con NLA abilitato sul client finale.

Riferimenti

link esterno

• "Configurare l'autenticazione a livello di rete per le connessioni di Servizi Desktop remoto" . Microsoft TechNet .

• "Quali tipi di connessioni Desktop remoto devo consentire?" . Microsoft Corporation . Archiviata dall'originale su 2016-06-08.