網路級身分驗證

網路級身分驗證(英語:Network Level Authentication,縮寫NLA,亦有稱網路層認證)是一種在遠端桌面服務英語Remote Desktop Services(RDP伺服器)或遠端桌面連接(RDP客戶端)使用的技術,它要求使用者在與伺服器建立對談前先進行身分驗證。在最初,如果使用者打開一個到伺服器的RDP(遠端桌面)連接,則伺服器提供登入螢幕畫面。這為消耗伺服器資源乃至形成阻斷服務攻擊提供了潛在條件。NLA通過客戶端側的安全支援提供者委託客戶端的使用者憑據和提示使用者在與伺服器建立對談前驗證身分。

網路級身分驗證隨RDP 6.0中引入,最早在Windows Vista中提供支援。它使用新的安全支援提供者CredSSP,這可通過Windows Vista中的SSPI呼叫。在Windows XP Service Pack 3中,CredSSP已被引入該平台,並且所含的RDP 6.1客戶端支援NLA,但必須先在登錄檔中啟用CredSSP。[1]

優點

網路級身分驗證的優點有:

缺點

  • 不支援其他憑據提供者
  • 要在遠端桌面服務英語Remote Desktop Services中使用網路級身分驗證,客戶端必須執行Windows XP SP3或更高版本的作業系統,並且主機必須執行Windows Vista[2]、Windows Server 2008或更高版本。
  • 要在Windows XP SP3上使用網路級身分驗證的RDP伺服器,必須先組態登錄檔鍵值。
  • 不可能通過CredSSP更改密碼。當「使用者必須在下次登入時更改密碼」已啟用或者帳戶密碼到期時,這是一個問題。
  • 需要「從網路訪問此電腦」的特權,這可能因其他原因而受到限制。

參考資料

外部連結