網路級身份驗證

網路級身份驗證

網路級身份驗證是一種在遠程桌面服務(RDP伺服器)或遠程桌面連線(RDP客戶端)使用的技術,它要求用戶在與伺服器創建會話前先進行身份驗證。在最初,如果用戶打開一個到伺服器的RDP(遠程桌面)連線,則伺服器提供登錄螢幕畫面。這為消耗伺服器資源乃至形成阻斷服務攻擊提供了潛在條件。NLA通過客戶端側的安全支持提供者委託客戶端的用戶憑據和提示用戶在與伺服器創建會話前驗證身份。

簡介

網路級身份驗證 (NLA) 是一種新的身份驗證方法,在您建立所有遠程桌面連線之前完成用戶身份驗證,並出現登錄螢幕。 這是最安全的身份驗證方法,有助於保護遠程計算機避免黑客或惡意軟體的攻擊。

網路級身份驗證隨RDP 6.0中引入,最早在Windows Vista中提供支持。它使用新的安全支持提供者CredSSP,這可通過Windows Vista中的SSPI調用。在Windows XPService Pack 3中,CredSSP已被引入該平台,並且所含的RDP 6.1客戶端支持NLA,但必須先在註冊表中啟用CredSSP。

優點及缺點

優點

網路級身份驗證的優點有:

•在初始階段只需遠程計算機的少量資源,用戶通過身份認證不需啟動完整的遠程桌面連線,從而降低了拒絕服務攻擊的風險。

•它允許NT單點登錄(SSO)擴展到遠程桌面服務。

缺點

•不支持其他憑據提供者

•要在遠程桌面服務中使用網路級身份驗證,客戶端必須運行Windows XP SP3或更高版本的作業系統,並且主機必須運行Windows Vista、Windows Server 2008或更高版本。

•要在Windows XP SP3上使用網路級身份驗證的RDP伺服器,必須先配置註冊表鍵值。

•不可能通過CredSSP更改密碼。當“用戶必須在下次登錄時更改密碼”已啟用或者帳戶密碼到期時,這是一個問題。

•需要“從網路訪問此計算機”的特權,這可能因其他原因而受到限制。

常見問題

故障:"遠程計算機需要網路級別身份驗證,而您的計算機不支持該驗證,請聯繫您的系統管理員或者技術人員來獲得幫助"

故障症狀:當您使用Windows XP"遠程桌面連線"工具去連線Windows Vistas或Windows Server 2008的遠程桌面、終端服務時,出現上述故障。

故障產生環境:遠程桌面連線工具6.0以下版本,或者Windows XP Profressional SP1、SP2、SP3

解決方法:
1.請升級"遠程桌面連線"工具最新6.1版本。
2.請把XP升級到最新SP3補丁包。
3.運行"regedit"打開註冊表編輯器,進入 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa",雙擊右邊欄中的 "Security Packages",打開"編輯多字元串"對話框,在列表框游標處增加"tspkg"字元。 
4. 然後定位到 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders",雙擊右側的"SecurityProviders"字元串,打開"編輯字元串"對話框,在數值末端中添加", credssp.dll",注意逗號後有一個英文的空格。 
5.退出註冊表程式,重啟計算機後故障排除。

重啟系統後,然後再運行mstsc查看關於信息已經顯示為支持網路級別身份驗證了。

如果選擇不打補丁,只需要在win8的計算機的系統屬性——遠程——在遠程桌面下選擇允許遠程連線到此計算機,並且下面的複選框的勾去掉,否則就會出現上面的問題。

相關詞條

熱門詞條

聯絡我們