Konfigurieren der Authentifizierung auf Netzwerkebene

Einführung

Network Level Authentication (Netzwerkebene-Authentifizierung) ist ein Mechanismus zur Vorabauthentifizierung bei der Verbindung mit einem Remote-Desktop. Er schützt den Server vor unbefugtem Zugriff und verringert das Risiko von Angriffen, bevor eine vollständige Sitzung hergestellt wird. Heute ist er zu einem Sicherheitsstandard in Unternehmens-IT-Umgebungen geworden.

Auf älteren Systemen wie Windows XP muss NLA jedoch manuell konfiguriert werden.

In diesem Artikel erfahren Sie, wie Sie die Netzwerkebenenauthentifizierung in verschiedenen Windows-Versionen aktivieren und warum dies erforderlich ist.

Was ist Netzwerkebenenauthentifizierung

Bei der NLA muss der Client vor dem Start einer RDP-Sitzung eine Authentifizierung durchlaufen. Dies unterscheidet sich vom alten Ansatz, bei dem die Verbindung sofort hergestellt und die Anmeldedaten erst anschließend überprüft wurden. Die wichtigsten Vorteile:

Erhöhte Sicherheit – Schutz vor Passwort-Erratungsangriffen und MITM-Angriffen.
Reduzierte Serverlast – Ressourcen werden nicht für unbestätigte Verbindungen verschwendet.

So aktivieren Sie NLA in Windows

Die Aktivierung der Netzwerkniveau-Authentifizierung (NLA) hängt von der Version des Betriebssystems ab. Nachfolgend finden Sie detaillierte Anweisungen für Windows 10/11, Server-Versionen und Windows XP SP3. Überprüfen Sie während der Einrichtung die Kompatibilität des RDP-Clients, die Verfügbarkeit von Updates und die korrekte Funktion der Dienste.

Windows 10 / 11 / Server 2016 und neuer

Option 1: Über die grafische Oberfläche

Öffnen Sie die Systemeigenschaften:
- Drücken Sie Win + R, geben Sie SystemPropertiesRemote ein und drücken Sie die Eingabetaste.
- Oder: Start → Systemsteuerung → System → Erweiterte Systemeinstellungen → Registerkarte „Remote“.

2. Suchen Sie den Block „Remotedesktop“.

3. Wählen Sie die Option:

„Nur Verbindungen von Computern zulassen, die durch die Netzwerksicherheit überprüft wurden (empfohlen)“.

4. Klicken Sie auf Übernehmen und OK.

Option 2: Über den Registrierungseditor

Öffnen Sie regedit als Administrator.

2. Navigieren Sie zum folgenden Pfad:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

3. Suchen Sie die Einstellung „UserAuthentication“. Wenn sie nicht vorhanden ist, erstellen Sie einen DWORD-Wert (32-Bit) mit diesem Namen.

4. Setzen Sie den Wert auf 1 (aktiviert).

5. Starten Sie den Server oder den Remotedesktopdienst (TermService) neu.

Option 3: Über PowerShell

Öffnen Sie PowerShell als Administrator und führen Sie Folgendes aus:

  Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'UserAuthentication' -Value 1

Windows Server 2008 / 2012 / 2019 / 2022

Die Konfiguration von NLA auf Serverbetriebssystemen ähnelt der auf Desktop-Betriebssystemen:

Starten Sie den Server-Manager.

2. Gehen Sie zu: Lokaler Server → Remotedesktop

3. Klicken Sie neben Remotedesktop auf „Deaktiviert” und wählen Sie:

„Nur Verbindungen von Computern zulassen, auf denen Remotedesktop mit Netzwerklistenauthentifizierung ausgeführt wird”

4. Übernehmen Sie die Einstellungen.

Stellen Sie außerdem sicher, dass:

Die Remotedesktopdienste-Rollen installiert sind.
Der Benutzer über die Berechtigung für den RDP-Zugriff verfügt (Mitglied der Gruppe „Remotedesktopbenutzer” ist).
Ein gültiges SSL-Zertifikat verwendet wird (für RDP-Tcp).

Windows XP SP3 (nur Client)

Windows XP kann kein NLA-fähiger Server sein, aber es kann eine Verbindung zu anderen Systemen herstellen, auf denen NLA aktiviert ist, wenn die folgenden Bedingungen erfüllt sind:

Schritt 1: Aktualisieren Sie den RDP-Client

Laden Sie Remotedesktopverbindungs-Client 6.1 oder höher herunter und installieren Sie ihn (z. B. von der Microsoft-Website oder über Windows Update).

Schritt 2: CredSSP-Unterstützung installieren

CredSSP (Credential Security Support Provider) ist für die Authentifizierung auf Netzwerkebene erforderlich. So aktivieren Sie es:

Installieren Sie das Update KB951608 (verfügbar auf der Microsoft-Website).

2. Bearbeiten Sie nach der Installation die Registrierung:

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Security Packages"=hex(7):43,00,72,00,65,00,64,00,45,00,53,00,53,00,50,00,00,00

Der CredSSP-Wert wird zur Liste der Sicherheitspakete hinzugefügt.

3. Starten Sie Ihren Computer neu.

Schritt 3: Gruppenrichtlinie konfigurieren

Wenn Sie lokale Richtlinien verwenden (in Windows XP Pro):

Öffnen Sie gpedit.msc.

2. Gehen Sie zu: Computerkonfiguration → Administrative Vorlagen → System → Delegierung von Anmeldeinformationen

3. Aktivieren Sie:

„Delegieren gespeicherter Anmeldeinformationen mit NTLM-Serverauthentifizierung zulassen”
„Delegieren neuer Anmeldeinformationen zulassen”
Fügen Sie den Wert hinzu: TERMSRV/*

4. Übernehmen Sie die Änderungen und starten Sie das System neu.

Zusätzliche Empfehlungen

Stellen Sie sicher, dass die Windows-Firewall oder Antivirensoftware den Port 3389 nicht blockiert.
Überprüfen Sie auf dem Server-Betriebssystem den Status des Dienstes:
Der Dienst „Remotedesktopdienste (TermService)“ muss den Status „Ausgeführt“ haben.
Für Domänensysteme ist es besser, die Einstellungen über GPO zu konfigurieren.

Häufige Fehler und Lösungen

Fehler	Grund	So beheben Sie das Problem
NLA erforderlich	Alter Kunde	RDP auf 6.1+ aktualisieren
Sicherheitsprotokoll wird nicht unterstützt	Inkompatibles Betriebssystem	Überprüfen Sie die CredSSP-Unterstützung
Zugriff verweigert	Kein Zutritt	Fügen Sie den Benutzer zur gewünschten Gruppe hinzu.

Tipps zur Verwendung von NLA

Aktivieren Sie NLA standardmäßig bei allen neuen Installationen.
Verwenden Sie Gruppenrichtlinien für die zentrale Konfiguration.
Aktualisieren Sie Clients und Server regelmäßig auf die neuesten Versionen.

Fazit

Die Konfiguration von NLA ist ein obligatorischer Schritt für alle Benutzer von Remote-Desktops. Sie minimiert Risiken und gewährleistet die Sicherheit Ihrer Unternehmensinfrastruktur. Selbst auf älteren Systemen ist es mit der richtigen Konfiguration möglich, eine Verbindung zu sicheren RDP-Servern herzustellen.