network level authentication(NLA)

//network level authentication(NLA)

network level authentication(NLA)

원격데스크탑 연결 대신 RD Tab 연결 옵션에서 network level authentication(NLA)

 

 

위키피디아에서 설명하는 아래의 내용을 읽어보면

 

원격 서버에 세션을 만들기전에 사용자에게 인증을 먼저해라  입니다.

클라이언트가 원격데스크탑을 연결하면 로그인화면이 나오는데 그 자체가 세션을 형성하기때문에 서버 리소스를 소모하고 잠재적으로 DDOS 공격의 위험요소가 될수 있습니다.

그 부분을 보안하기 위해서 세션형성전 인증을 먼저하는 NLA가 나온거 같음

 

네트워크 수준 인증 ( NLA )은 원격 데스크톱 서비스 (RDP 서버) 또는 원격 데스크톱 연결 (RDP 클라이언트) 에서 사용되는 기술로 연결 사용자가 서버와 세션을 설정하기 전에 자신을 인증해야합니다.

원래 사용자가 서버에 대한 RDP (원격 데스크톱) 세션을 열면 사용자의 서버에서 로그인 화면을로드합니다. 이는 서버의 리소스를 소모 할 수 있으며 서비스 거부 공격의 잠재적 영역이었습니다 . 네트워크 수준 인증은 클라이언트 측 보안 지원 공급자를 통해 클라이언트의 사용자 자격 증명을 위임 하고 서버에서 세션을 설정하기 전에 사용자에게 인증하라는 메시지를 표시합니다.

네트워크 수준 인증은 RDP 6.0에 도입되었으며 Windows Vista 에서 처음 지원되었습니다 . Windows Vista의 SSPI 를 통해 제공되는 새로운 보안 지원 공급자 인 CredSSP를 사용합니다 . 함께 윈도우 XP 서비스 팩 3의 CredSSP는 해당 플랫폼에 도입 포함 된 RDP 6.1 클라이언트는 NLA를 지원했다; 그러나 먼저 CredSSP를 레지스트리에서 활성화해야합니다. [1]

 

장점

 

단점

  • 다른 자격증 명 공급자에 대한 지원이 없습니다.
  • 원격 데스크톱 서비스에서 네트워크 수준 인증을 사용하려면 클라이언트가 Windows XP SP3 이상을 실행해야하며 호스트는 Windows Vista 이상 [2] 또는 Windows Server 2008 이상을 실행해야합니다 .
  • 네트워크 수준 인증이 필요한 RDP 서버에 대한 지원은 Windows XP SP3에서 사용하기 위해 레지스트리 키를 통해 구성해야합니다.
  • CredSSP를 통해 암호를 변경할 수 없습니다. 이 문제는 “다음 로그온 할 때 반드시 암호를 변경해야합니다.”가 활성화되어 있거나 계정의 암호가 만료 된 경우에 발생합니다.
  • 다른 이유로 제한 될 수있는 “네트워크에서이 컴퓨터 액세스”권한이 필요합니다.
  • 로그인하려는 클라이언트의 IP 주소는 보안 감사 로그에 저장되지 않으므로 방화벽을 통해 무차별 공격이나 사전 공격을 차단하기가 더 어려워집니다.

참조 : https://en.wikipedia.org/wiki/Network_Level_Authentication

 

About the Author: