*Cube-Host– облачный хостинг!!

получить консультацию
WhatsApp Telegram
RU

Настройка аутентификации на сетевом уровне

Configuring Network Level Authentication

Усильте защиту RDP до того, как злоумышленники доберутся до экрана входа в систему

RDP — одна из наиболее часто сканируемых служб в Интернете. Аутентификация на сетевом уровне (NLA) снижает риск, требуя аутентификации до создания полноценного сеанса удаленного рабочего стола, что помогает блокировать анонимные попытки проникновения и снижает злоупотребление ресурсами.

Если вы управляете VPS на базе Windows, включение NLA должно быть частью контрольного списка по укреплению безопасности «первого дня» — наряду с ограничениями брандмауэра, предоставляемыми вашей средой хостинга VPS.

Что такое NLA и почему это важно

NLA требует от клиента аутентификации (обычно через CredSSP) до того, как Windows выделит полноценный интерактивный сеанс рабочего стола. По сравнению с поведением устаревшего RDP это дает вам:

  • Повышенную безопасность: меньше анонимных сеансов до аутентификации и меньшую уязвимость к определенным сценариям брутфорса и злоупотребления сеансами.
  • Меньшую нагрузку: сервер тратит меньше ресурсов на неаутентифицированные соединения.
  • Более четкий контроль доступа: проверка членства в группах политик происходит на более раннем этапе процесса.

Включение NLA с помощью графического интерфейса (самый быстрый способ)

На сервере (локально или через консоль):

  • Нажмите Win R → «Выполнить» SystemPropertiesRemote
  • В «Удаленном рабочем столе» включите «Удаленный рабочий стол», если необходимо
  • Проверьте: разрешить подключения только с компьютеров, на которых запущен Удаленный рабочий стол с аутентификацией на уровне сети (рекомендуется)

Также убедитесь, что учетная запись пользователя имеет права на RDP (входит в группу «Пользователи удаленного рабочего стола» или «Администраторы») и что брандмауэр разрешает RDP только с доверенных IP-адресов.

Включите NLA через PowerShell / реестр (автоматизируемо)

NLA управляется параметром RDP-Tcp UserAuthentication. Запустите PowerShell от имени администратора:

# Require Network Level Authentication (NLA)
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
  -Name 'UserAuthentication' -Value 1

Дополнительно: проверьте значение:

Get-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
  -Name UserAuthentication

Если вы изменили настройки удаленно, в некоторых конфигурациях может потребоваться перезапуск службы «Службы удаленного рабочего стола» (или перезагрузка).

Область действия брандмауэра: часть, которая фактически блокирует атаки

NLA важна, но она не заменяет сетевые ограничения. Для сервера, подключенного к Интернету:

  • Разрешите RDP (TCP 3389 и иногда UDP 3389) только с IP-адресов вашего офиса/VPN.
  • Отключите общие входящие правила «Any» для RDP.
  • Предпочтительно используйте VPN или шлюз удаленного доступа для масштабного удаленного доступа.

На платформе VPS-хостинга сочетайте правила брандмауэра Windows с брандмауэром/списками ACL провайдера, если они доступны.

Совместимость: почему у некоторых клиентов возникают сбои после включения NLA

Наиболее распространенный случай, когда «перестало работать», — это устаревший клиент без надлежащей поддержки CredSSP. Типичные симптомы включают такие сообщения, как «Удаленному компьютеру требуется аутентификация на уровне сети…».

  • Решение: обновите клиент RDP (обновления Windows, современные клиенты удаленного рабочего стола Microsoft).
  • Решение: убедитесь, что системное время установлено правильно (сдвиг времени может нарушить аутентификацию и согласование TLS).
  • Решение: убедитесь, что у пользователя есть права RDP и он не заблокирован политикой.

Как проверить доступность RDP (быстрая диагностика)

С вашей рабочей станции (PowerShell):

Test-NetConnection 203.0.113.10 -CommonTCPPort RDP

Если TcpTestSucceeded равно false, проблема обычно заключается в брандмауэре/ACL/маршрутизации, а не в самой NLA.

Экстренный откат (если вы заблокировали себе доступ)

Если старый клиент не может пройти аутентификацию, а вы не можете подключиться по RDP:

  • Используйте консоль провайдера (VNC/KVM) для доступа к серверу.
  • Временно отключите NLA, войдите в систему, обновите клиенты, а затем снова включите NLA.

Отключите NLA через PowerShell (временно):

Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
  -Name 'UserAuthentication' -Value 0

Важно: рассматривайте «NLA off» как кратковременное состояние для устранения неполадок, а не как постоянную настройку.

Рекомендуемый минимальный набор мер безопасности для RDP на VPS

  • NLA включена.
  • RDP ограничен доверенными IP-адресами/подсетями (список доступа хостинга брандмауэра Windows).
  • Надежные пароли и (где возможно) MFA/VPN/шлюз RD.
  • Аудит неудачных попыток входа (чтобы вы могли видеть атаки) и оповещения о всплесках активности.

Для стабильного повседневного администрирования запускайте RDP с NLA на VPS под управлением Windows и обеспечьте жесткую защиту сетевого периметра на уровне хостинга VPS.

Prev

More articles:

Menu