Назад | Перейти на главную страницу

Безопасность RDP без аутентификации на сетевом уровне

Я читал о RDP и Active Directory, и я собрал следующие сведения, в которых я не уверен:

  1. Похоже, что RDP с аутентификацией на сетевом уровне работает только (или проще всего) с компьютерами в Active Directory.
  2. Active Directory - это служба, которая запускается на компьютере, превращая компьютер в контроллер домена.
    1. Поскольку Active Directory работает на сервере, его нельзя использовать для аутентификации входа на тот же сервер. (проблема курица-яйцо)

Окончательное понимание, и это является наиболее важным: если единственный способ получить доступ к сети извне - через VPN, аутентификация на уровне сети действительно полезна только для предотвращения несанкционированного доступа к компьютерам, разрешенным RDP, из той же локальной сети.

Я правильно понимаю? Могу ли я просто отключить аутентификацию на уровне сети в RDP и выбрать менее безопасный вариант, если моя домашняя сеть находится за VPN и я доверяю всем клиентам в локальной сети?

Это неточно, и вы упускаете из виду, почему была создана NLA. Без NLA компьютер может установить сеанс с сервером удаленного рабочего стола перед аутентификацией. Создать достаточно сеансов, чтобы исчерпать все ресурсы сервера - тривиально. Это прямо со страницы Википедии:

https://en.wikipedia.org/wiki/Network_Level_Authentication

Не требуется аутентифицировать клиента в Active Directory, поскольку NLA можно использовать для аутентификации локальных учетных записей. Некоторые люди могут возразить, что NLA во внутренней сети, недоступной из Интернета, на самом деле менее безопасен, поскольку предотвращает блокировку доступа к сети для некоторых локальных учетных записей и создает уязвимость, при которой для локальных учетных записей может использоваться боковое перемещение.

Вам необходимо лучше понять Active Directory и домены. Сервер, на котором вы устанавливаете роль AD, становится контроллером домена, затем вы добавляете клиентские системы в домен и создаете учетные записи пользователей AD. Вы входите в систему на компьютере домена, используя учетные данные домена.

NLA использует CredSSP для предварительной загрузки учетных данных, которые вы будете использовать, в RDP. Хост сеанса проверяет эти учетные данные и проверяет их, прежде чем предлагать приглашение для входа. Каждое решение по безопасности - это оценка риска. Очевидно, что если вы доверяете своей сети, то, конечно, можете отключить ее. Тем не менее, индустрия приняла принцип «предполагать нарушение», поэтому я бы рекомендовал его использовать.