*Cube-Host — повний спектр хмарних послуг!!

отримати консультацію
WhatsApp Telegram
UA

Налаштування автентифікації на рівні мережі

Configuring Network Level Authentication

Зміцніть захист RDP, перш ніж зловмисники дістануться до екрана входу

RDP — одна з найбільш сканованих служб в Інтернеті. Аутентифікація на рівні мережі (NLA) знижує ризик, вимагаючи аутентифікації до створення повноцінної сесії віддаленого робочого столу, що допомагає блокувати анонімні спроби зондування та зменшує зловживання ресурсами.

Якщо ви керуєте VPS на базі Windows, увімкнення NLA має бути частиною контрольного списку заходів із зміцнення безпеки «дня 1» — разом із обмеженнями брандмауера, передбаченими вашим середовищем хостингу VPS.

Що таке NLA і чому це важливо

NLA вимагає від клієнта аутентифікації (зазвичай через CredSSP) перед тим, як Windows виділить повну інтерактивну сесію робочого столу. У порівнянні зі старою поведінкою RDP це дає вам:

  • Кращу безпеку: менше анонімних сеансів до автентифікації та меншу вразливість до певних сценаріїв брут-форсу та зловживання сеансами.
  • Менше навантаження: сервер витрачає менше ресурсів на неавтентифіковані з’єднання.
  • Більш чіткий контроль доступу: перевірка членства в групах політик відбувається на більш ранніх етапах процесу.

Увімкніть NLA за допомогою графічного інтерфейсу (найшвидший метод)

На сервері (локально або через консоль):

  • Натисніть Win R → запустити SystemPropertiesRemote
  • У «Віддаленому робочому столі» увімкніть «Віддалений робочий стіл», якщо потрібно
  • Перевірка: Дозволити з’єднання лише з комп’ютерів, на яких працює Віддалений робочий стіл з автентифікацією на рівні мережі (рекомендовано)

Також переконайтеся, що обліковий запис користувача має дозвіл на RDP (член групи «Користувачі віддаленого робочого столу» або «Адміністратори») і що брандмауер дозволяє RDP лише з надійних IP-адрес.

Увімкніть NLA через PowerShell / реєстр (автоматично)

NLA керується налаштуванням RDP-Tcp UserAuthentication. Запустіть PowerShell як адміністратор:

# Require Network Level Authentication (NLA)
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
  -Name 'UserAuthentication' -Value 1

Опціонально: перевірте значення:

Get-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
  -Name UserAuthentication

Якщо ви змінили налаштування віддалено, у деяких конфігураціях може знадобитися перезапуск служби «Служби віддаленого робочого столу» (або перезавантаження системи).

Область доступу брандмауера: частина, яка фактично блокує атаки

NLA є важливою, але вона не замінює мережеві обмеження. Для сервера, підключеного до Інтернету:

  • Дозвольте RDP (TCP 3389 і іноді UDP 3389) тільки з IP-адрес вашого офісу/VPN.
  • Вимкніть загальні правила вхідного трафіку «Будь-який» для RDP.
  • Віддавайте перевагу VPN або шлюзу RD для віддаленого доступу у великих масштабах.

На платформі хостингу VPS поєднуйте правила брандмауера Windows із брандмауером/ACL провайдера, якщо це можливо.

Сумісність: чому деякі клієнти не працюють після увімкнення NLA

Найпоширенішим випадком «перестало працювати» є застарілий клієнт без належної підтримки CredSSP. Типові симптоми включають повідомлення на кшталт «Віддалений комп’ютер вимагає автентифікації на рівні мережі…».

  • Виправлення: оновіть клієнт RDP (оновлення Windows, сучасні клієнти Microsoft Remote Desktop).
  • Виправлення: переконайтеся, що системний час правильний (розбіжність у часі може порушити аутентифікацію та узгодження TLS).
  • Виправлення: переконайтеся, що користувач має права RDP і не заблокований політикою.

Як перевірити доступність RDP (швидка діагностика)

З вашої робочої станції (PowerShell):

Test-NetConnection 203.0.113.10 -CommonTCPPort RDP

Якщо TcpTestSucceeded має значення false, проблема зазвичай полягає у брандмауері/ACL/маршрутизації — а не в самій NLA.

Аварійне відновлення (якщо ви заблокували себе)

Якщо старий клієнт не може пройти автентифікацію і ви не можете підключитися через RDP:

  • Використовуйте консоль провайдера (VNC/KVM) для доступу до сервера.
  • Тимчасово вимкніть NLA, увійдіть, оновіть клієнти, а потім знову увімкніть її.

Вимкніть NLA через PowerShell (тимчасово):

Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
  -Name 'UserAuthentication' -Value 0

Важливо: розглядайте «NLA вимкнено» як тимчасовий стан усунення несправностей, а не як постійне налаштування.

Рекомендований мінімальний пакет безпеки для RDP на VPS

  • NLA увімкнено.
  • RDP обмежено до надійних IP-адрес/підмереж (ACL хостингу брандмауера Windows).
  • Надійні паролі та (де це можливо) MFA/VPN/RD Gateway.
  • Аудит невдалих спроб входу (щоб ви бачили атаки) та сповіщення про піки активності.

Для стабільної щоденної адміністрації запускайте RDP з NLA на Windows VPS і суворо контролюйте межі мережі на рівні хостингу VPS.

Prev

More articles:

Menu