跳至内容 
简介
网络级身份验证(NLA)是一种预身份验证机制,用于连接到远程桌面时。它保护服务器免受未经授权的访问,并在完整会话建立之前降低攻击风险。如今,它已成为企业计算环境中的安全标准。
然而,在较旧的系统(如Windows XP)中,NLA需要手动配置。本文将介绍如何在不同版本的Windows中启用网络级身份验证,以及为何需要这样做。
什么是网络级身份验证?
NLA要求客户端在启动RDP会话前通过身份验证过程。这与之前的方案不同,之前是先建立连接,再事后验证凭据。主要优势:
- 增强安全性:防范密码猜测和中间人攻击。
- 减少服务器负载:避免在未确认连接上浪费资源。
如何在 Windows 中启用 NLA
网络级身份验证 (NLA) 的启用取决于操作系统版本。以下是 Windows 10/11、服务器版本和 Windows XP SP3 的详细操作步骤。配置过程中,请确保检查 RDP 客户端的兼容性、更新可用性以及相关服务的正常运行。
Windows 10 / 11 / Server 2016 及更高版本
选项 1:通过图形界面
- 打开系统属性:
- 按 Win + R,输入 SystemPropertiesRemote,然后按 回车。
- 或:开始 → 控制面板 → 系统 → 高级系统设置 → 远程 选项卡。
2. 查找“远程桌面”块。
3. 选择选项:
“仅允许来自通过网络安全验证的计算机的连接(推荐)”。
4. 点击应用和确定。
选项 2:通过注册表编辑器
1. 以管理员身份打开 regedit。
2. 导航至以下路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 3. 查找 UserAuthentication 参数。如果不存在,请创建一个名为 UserAuthentication 的 DWORD(32 位)值。
4. 将值设置为 1(启用)。
5. 重启服务器或远程桌面服务(TermService)。
选项 3:通过 PowerShell
以管理员身份打开 PowerShell 并执行:
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'UserAuthentication' -Value 1 Windows Server 2008 / 2012 / 2019 / 2022
服务器操作系统中的NLA配置与桌面操作系统类似:
- 启动服务器管理器。
2. 转到:本地服务器 → 远程桌面
3. 点击“远程桌面”旁边的“已禁用”,然后选择:
- “仅允许从运行远程桌面并启用网络验证的计算机连接”
4. 应用设置。
同时确认以下内容:
- 远程桌面服务功能已安装。
- 用户具有 RDP 访问权限(是远程桌面用户组的成员)。
- 使用有效的 SSL 证书(用于 RDP-Tcp)。
Windows XP SP3(仅客户端)
Windows XP 无法作为 NLA 兼容服务器,但如果满足以下条件,仍可连接到其他启用了 NLA 的系统:
步骤 1:更新 RDP 客户端
下载并安装 远程桌面连接客户端 6.1 或更高版本(例如从 Microsoft 网站或 Windows Update)。
步骤 2:安装 CredSSP 兼容性
CredSSP(凭据安全支持提供程序)是网络级身份验证的必要组件。要启用它:
- 安装更新 KB951608(可在微软官网获取)。
2. 安装后,修改注册表:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Security Packages"=hex(7):43,00,72,00,65,00,64,00,45,00,53,00,53,00,50,00,00,00 CredSSP 值已添加到安全包列表中。
3. 重启计算机。
步骤 3:配置组策略
如果使用本地策略(在 Windows XP Pro 中):
- 打开 gpedit.msc。
2. 导航至:计算机设置 → 管理模板 → 系统 → 凭据委派
3. 启用:
- “仅允许使用 NTLM 服务器身份验证注册的凭据进行委派”
- “允许委派最近的凭据”
- 添加值:TERMSRV/*
4. 应用更改并重新启动系统。
额外建议
- 确保Windows 防火墙或防病毒软件未阻止端口3389。
- 在服务器操作系统中,检查服务状态:
- 远程桌面服务(TermService)服务应处于运行状态。
- 对于域系统,建议通过GPO配置参数。
常见错误及解决方案
错误 | 原因 | 如何修复 |
NLA 需要 | 老客户 | 将RDP更新至6.1及以上版本。 |
安全协议不兼容 | 操作系统不兼容 | 验证与CredSSP的兼容性 |
访问被拒绝 | 禁止入内 | 将用户添加到目标组 |
使用 NLA 的建议
- 在所有新安装中默认启用 NLA。
- 使用组策略进行集中配置。
- 定期将客户端和服务器更新到最新版本。
结论
NLA 的配置是使用远程桌面的任何人的必经步骤。它能降低风险并确保企业基础设施的安全性。即使在较旧的系统中,通过适当的配置,仍可连接到安全的 RDP 服务器。
