网络级身份验证是一种在远程桌面服务(RDP服务器)或远程桌面连接(RDP客户端)使用的技术,它要求用户在与服务器创建会话前先进行身份验证。在最初,如果用户打开一个到服务器的RDP(远程桌面)连接,则服务器提供登录屏幕画面。这为消耗服务器资源乃至形成阻断服务攻击提供了潜在条件。NLA通过客户端侧的安全支持提供者委托客户端的用户凭据和提示用户在与服务器创建会话前验证身份。
简介网络级身份验证 (NLA) 是一种新的身份验证方法,在您建立所有远程桌面连接之前完成用户身份验证,并出现登录屏幕。 这是最安全的身份验证方法,有助于保护远程计算机避免黑客或恶意软件的攻击。
网络级身份验证随RDP 6.0中引入,最早在Windows Vista中提供支持。它使用新的安全支持提供者CredSSP,这可通过Windows Vista中的SSPI调用。在Windows XPService Pack 3中,CredSSP已被引入该平台,并且所含的RDP 6.1客户端支持NLA,但必须先在注册表中启用CredSSP。1
优点及缺点优点网络级身份验证的优点有:
在初始阶段只需远程计算机的少量资源,用户通过身份认证不需启动完整的远程桌面连接,从而降低了拒绝服务攻击的风险。
它允许NT单点登录(SSO)扩展到远程桌面服务。
缺点不支持其他凭据提供者
要在远程桌面服务中使用网络级身份验证,客户端必须运行Windows XP SP3或更高版本的操作系统,并且主机必须运行Windows Vista、Windows Server 2008或更高版本。
要在Windows XP SP3上使用网络级身份验证的RDP服务器,必须先配置注册表键值。
不可能通过CredSSP更改密码。当“用户必须在下次登录时更改密码”已启用或者帐户密码到期时,这是一个问题。
需要“从网络访问此计算机”的特权,这可能因其他原因而受到限制。
常见问题故障:"远程计算机需要网络级别身份验证,而您的计算机不支持该验证,请联系您的系统管理员或者技术人员来获得帮助"
故障症状:当您使用Windows XP"远程桌面连接"工具去连接Windows Vistas或Windows Server 2008的远程桌面、终端服务时,出现上述故障。
故障产生环境:远程桌面连接工具6.0以下版本,或者Windows XP Profressional SP1、SP2、SP3
解决方法:
1.请升级"远程桌面连接"工具最新6.1版本。
2.请把XP升级到最新SP3补丁包。
3.运行"regedit"打开注册表编辑器,进入 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa",双击右边栏中的 "Security Packages",打开"编辑多字符串"对话框,在列表框光标处增加"tspkg"字符。
4. 然后定位到 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders",双击右侧的"SecurityProviders"字符串,打开"编辑字符串"对话框,在数值末端中添加", credssp.dll",注意逗号后有一个英文的空格。
5.退出注册表程序,重启计算机后故障排除。
重启系统后,然后再运行mstsc查看关于信息已经显示为支持网络级别身份验证了。
如果选择不打补丁,只需要在win8的计算机的系统属性——远程——在远程桌面下选择允许远程连接到此计算机,并且下面的复选框的勾去掉,否则就会出现上面的问题。
本词条内容贡献者为:
王慧维 - 副研究员 - 西南大学