網絡級身份驗證
網絡級身份驗證(英語:Network Level Authentication,縮寫NLA,亦有稱網絡層認證)是一種在遠端桌面服務(RDP伺服器)或遠端桌面連接(RDP客戶端)使用的技術,它要求使用者在與伺服器建立對談前先進行身份驗證。在最初,如果使用者打開一個到伺服器的RDP(遠端桌面)連接,則伺服器提供登入螢幕畫面。這為消耗伺服器資源乃至形成阻斷服務攻擊提供了潛在條件。NLA通過客戶端側的安全支援提供者委託客戶端的使用者憑據和提示使用者在與伺服器建立對談前驗證身份。
網絡級身份驗證隨RDP 6.0中引入,最早在Windows Vista中提供支援。它使用新的安全支援提供者CredSSP,這可通過Windows Vista中的SSPI呼叫。在Windows XP Service Pack 3中,CredSSP已被引入該平台,並且所含的RDP 6.1客戶端支援NLA,但必須先在登錄檔中啟用CredSSP。[1]
優點
網絡級身份驗證的優點有:
缺點
- 不支援其他憑據提供者
- 要在遠端桌面服務中使用網絡級身份驗證,客戶端必須執行Windows XP SP3或更高版本的作業系統,並且主機必須執行Windows Vista[2]、Windows Server 2008或更高版本。
- 要在Windows XP SP3上使用網絡級身份驗證的RDP伺服器,必須先組態登錄檔鍵值。
- 不可能通過CredSSP更改密碼。當「使用者必須在下次登入時更改密碼」已啟用或者帳戶密碼到期時,這是一個問題。
- 需要「從網絡訪問此電腦」的特權,這可能因其他原因而受到限制。
參考資料
- ^ Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3. [2017-04-19]. (原始內容存檔於2009-10-09).
- ^ Configure Network Level Authentication for Remote Desktop Services Connections. [2017-04-19]. (原始內容存檔於2017-08-26).
外部連結
- Configure Network Level Authentication for Remote Desktop Services Connections. Microsoft TechNet. [2017-04-19]. (原始內容存檔於2017-08-26).
- What types of Remote Desktop connections should I allow?. Microsoft Corporation. [2017-04-19]. (原始內容存檔於2013-09-02).