Autenticação em nível de rede
A autenticação em nível de rede (NLA) é um recurso dos serviços de área de trabalho remota (servidor RDP) ou da conexão de área de trabalho remota (cliente RDP) que requer que o usuário conectado se autentique antes que uma sessão seja estabelecida com o servidor.
Originalmente, se um usuário abrisse uma sessão de área de trabalho remota (RDP) em um servidor, ela carregaria a tela de entrada (login) do servidor para o usuário. Isso consumiria recursos do servidor e era uma área potencial para ataques de negação de serviço, bem como ataques de execução remota de código (consulte BlueKeep). A autenticação em nível de rede delega as credenciais do usuário do cliente por meio de um provedor de suporte de segurança do lado do cliente e solicita que o usuário se autentique antes de estabelecer uma sessão no servidor.
A autenticação em nível de rede foi introduzida no protocolo de área de trabalho remota (RDP) 6.0 e suportado inicialmente no Windows Vista. Ele usa o novo provedor de suporte de segurança, CredSSP, que está disponível por meio da interface do provedor de suporte de segurança (SSPI) no Windows Vista. Com o pacote de serviços 3 do Windows XP, o CredSSP foi introduzido nessa plataforma e o cliente do protocolo de área de trabalho remota (RDP) 6.1 incluído suporta autenticação em nível de rede (NLA). Entretanto, o CredSSP deve ser primeiramente habilitado no registro.[1][2]
Vantagens
As vantagens da autenticação em nível de rede são:
- Ela requer menos recursos do computador remoto inicialmente, evitando o início de uma conexão de área de trabalho remota completa até que o usuário seja autenticado, reduzindo o risco de ataques de negação de serviço.
- Ela permite que o logon único (SSO) do NT se estenda aos serviços de área de trabalho remota.
- Pode ajudar a mitigar vulnerabilidades de área de trabalho remoto que só podem ser exploradas antes da autenticação.[3]
Desvantagens
- Sem suporte para outros provedores de credenciais
- Para usar a autenticação em nível de rede nos serviços de área de trabalho remota, o cliente deve estar executando o Windows XP SP3 ou posterior, e o host deve estar executando o Windows Vista ou posterior[4] ou Windows Server 2008 ou posterior.
- O suporte para servidores RDP que requerem autenticação em nível de rede precisa ser configurado por meio de chaves de registro para uso no Windows XP SP3.
- Não é possível alterar a senha via CredSSP. Este é um problema quando "O usuário deve alterar a senha no próximo logon" está habilitado ou se a senha de uma conta expira.
- Requer o privilégio "Acessar este computador pela rede", que pode ser restrito por outros motivos.
- Os endereços de protocolo de Internet (IP) dos clientes que tentam fazer o login não serão armazenados nos logs de auditoria de segurança, dificultando o bloqueio de ataques de força bruta ou de dicionário por meio de um firewall.
- A autenticação de cartão inteligente de um domínio para outro usando um gateway de área de trabalho remota não é suportado com a autenticação em nível de rede (NLA) habilitada no cliente final.
Referências
- ↑ «Descrição do provedor de suporte de segurança de credencial (CredSSP) no pacote de serviços 3 do Windows XP» (em inglês). Arquivado do original em 18 de setembro de 2017
- ↑ «Descrição da atualização de cliente de conexão de área de trabalho remota 6.1para serviços de terminal» (em inglês). Microsoft. 23 de setembro de 2011. Consultado em 7 de maio de 2020
- ↑ Simon Pope (14 de maio de 2019). «Evite um worm atualizando os serviços de área de trabalho remota (CVE-2019-0708)» (em inglês). Centro de resposta de segurança da Microsoft. Consultado em 7 de maio de 2020
- ↑ «Configurar autenticação em nível de rede para conexões de serviços de área de trabalho remota» (em inglês). Microsoft TechNet. 17 de novembro de 2009. Consultado em 7 de maio de 2020
Ligações externas
- «Configurar a autenticação em nível de rede para conexões de serviços de área de trabalho remota» (em inglês). Microsoft TechNet
- «Que tipos de conexões de área de trabalho remota devo permitir?» (em inglês). Microsoft Corporation. Arquivado do original em 8 de junho de 2016