La autenticación de nivel de red ( NLA ) es una función de los servicios de escritorio remoto (servidor RDP) o la conexión de escritorio remoto (cliente RDP) que requiere que el usuario que se conecta se autentique antes de que se establezca una sesión con el servidor.
Originalmente, si un usuario abría una sesión RDP (escritorio remoto) en un servidor, cargaba la pantalla de inicio de sesión del servidor para el usuario. Esto consumiría recursos en el servidor y era un área potencial para ataques de denegación de servicio , así como ataques de ejecución remota de código (ver BlueKeep ). La autenticación de nivel de red delega las credenciales del usuario del cliente a través de un proveedor de soporte de seguridad del lado del cliente y solicita al usuario que se autentique antes de establecer una sesión en el servidor.
La autenticación de nivel de red se introdujo en RDP 6.0 y se admitió inicialmente en Windows Vista . Utiliza el nuevo proveedor de soporte de seguridad, CredSSP, que está disponible a través de SSPI en Windows Vista. Con Windows XP Service Pack 3, CredSSP se introdujo en esa plataforma y el cliente RDP 6.1 incluido es compatible con NLA; sin embargo, CredSSP debe habilitarse en el registro primero. [1] [2]
Ventajas
Las ventajas de la autenticación de nivel de red son:
- Inicialmente, requiere menos recursos informáticos remotos , ya que evita el inicio de una conexión completa de escritorio remoto hasta que el usuario esté autenticado, lo que reduce el riesgo de ataques de denegación de servicio.
- Permite que el inicio de sesión único (SSO) de NT se extienda a los servicios de escritorio remoto .
- Puede ayudar a mitigar las vulnerabilidades del escritorio remoto que solo se pueden explotar antes de la autenticación. [3]
Desventajas
- Sin soporte para otros proveedores de credenciales
- Para utilizar la autenticación de nivel de red en los servicios de escritorio remoto, el cliente debe ejecutar Windows XP SP3 o posterior, y el host debe ejecutar Windows Vista o posterior [4] o Windows Server 2008 o posterior.
- La compatibilidad con servidores RDP que requieren autenticación de nivel de red debe configurarse mediante claves de registro para su uso en Windows XP SP3.
- No es posible cambiar la contraseña a través de CredSSP. Esto es un problema cuando "El usuario debe cambiar la contraseña en el próximo inicio de sesión" está habilitado o si la contraseña de una cuenta caduca.
- Requiere el privilegio "Acceder a esta computadora desde la red", que puede estar restringido por otras razones.
- Las direcciones IP de los clientes que intentan iniciar sesión no se almacenarán en los registros de auditoría de seguridad, lo que dificulta el bloqueo de ataques de fuerza bruta o de diccionario mediante un firewall.
- La autenticación con tarjeta inteligente de un dominio a otro mediante una puerta de enlace de escritorio remoto no es compatible con NLA habilitado en el cliente final.
Referencias
- ^ "Descripción del proveedor de soporte de seguridad de credenciales (CredSSP) en Windows XP Service Pack 3" . Archivado desde el original el 18 de septiembre de 2017.
- ^ "Descripción de la actualización del cliente de Conexión a Escritorio remoto 6.1 para Servicios de Terminal Server" . Microsoft . 2011-09-23 . Consultado el 7 de mayo de 2020 .
- ^ Simon Pope (14 de mayo de 2019). "Evite un gusano actualizando los Servicios de escritorio remoto (CVE-2019-0708)" . Centro de respuesta de seguridad de Microsoft . Consultado el 7 de mayo de 2020 .
- ^ "Configurar la autenticación de nivel de red para conexiones de servicios de escritorio remoto" . Microsoft TechNet . 2009-11-17 . Consultado el 7 de mayo de 2020 .
enlaces externos
- "Configurar la autenticación de nivel de red para conexiones de servicios de escritorio remoto" . Microsoft TechNet .
- "¿Qué tipos de conexiones de escritorio remoto debo permitir?" . Microsoft Corporation . Archivado desde el original el 8 de junio de 2016.