Autenticação em nível de rede

A autenticação em nível de rede (NLA) é um recurso dos serviços de área de trabalho remota (servidor RDP) ou da conexão de área de trabalho remota (cliente RDP) que requer que o usuário conectado se autentique antes que uma sessão seja estabelecida com o servidor.

Originalmente, se um usuário abrisse uma sessão de área de trabalho remota (RDP) em um servidor, ela carregaria a tela de entrada (login) do servidor para o usuário. Isso consumiria recursos do servidor e era uma área potencial para ataques de negação de serviço, bem como ataques de execução remota de código (consulte BlueKeep). A autenticação em nível de rede delega as credenciais do usuário do cliente por meio de um provedor de suporte de segurança do lado do cliente e solicita que o usuário se autentique antes de estabelecer uma sessão no servidor.

A autenticação em nível de rede foi introduzida no protocolo de área de trabalho remota (RDP) 6.0 e suportado inicialmente no Windows Vista. Ele usa o novo provedor de suporte de segurança, CredSSP, que está disponível por meio da interface do provedor de suporte de segurança (SSPI) no Windows Vista. Com o pacote de serviços 3 do Windows XP, o CredSSP foi introduzido nessa plataforma e o cliente do protocolo de área de trabalho remota (RDP) 6.1 incluído suporta autenticação em nível de rede (NLA). Entretanto, o CredSSP deve ser primeiramente habilitado no registro.^[1]^[2]

Vantagens[editar | editar código-fonte]

As vantagens da autenticação em nível de rede são:

Ela requer menos recursos do computador remoto inicialmente, evitando o início de uma conexão de área de trabalho remota completa até que o usuário seja autenticado, reduzindo o risco de ataques de negação de serviço.
Ela permite que o logon único (SSO) do NT se estenda aos serviços de área de trabalho remota.
Pode ajudar a mitigar vulnerabilidades de área de trabalho remoto que só podem ser exploradas antes da autenticação.^[3]

Desvantagens[editar | editar código-fonte]

Sem suporte para outros provedores de credenciais
Para usar a autenticação em nível de rede nos serviços de área de trabalho remota, o cliente deve estar executando o Windows XP SP3 ou posterior, e o host deve estar executando o Windows Vista ou posterior^[4] ou Windows Server 2008 ou posterior.
O suporte para servidores RDP que requerem autenticação em nível de rede precisa ser configurado por meio de chaves de registro para uso no Windows XP SP3.
Não é possível alterar a senha via CredSSP. Este é um problema quando "O usuário deve alterar a senha no próximo logon" está habilitado ou se a senha de uma conta expira.
Requer o privilégio "Acessar este computador pela rede", que pode ser restrito por outros motivos.
Os endereços de protocolo de Internet (IP) dos clientes que tentam fazer o login não serão armazenados nos logs de auditoria de segurança, dificultando o bloqueio de ataques de força bruta ou de dicionário por meio de um firewall.
A autenticação de cartão inteligente de um domínio para outro usando um gateway de área de trabalho remota não é suportado com a autenticação em nível de rede (NLA) habilitada no cliente final.

Referências[editar | editar código-fonte]

↑ «Descrição do provedor de suporte de segurança de credencial (CredSSP) no pacote de serviços 3 do Windows XP» (em inglês). Arquivado do original em 18 de setembro de 2017
↑ «Descrição da atualização de cliente de conexão de área de trabalho remota 6.1para serviços de terminal» (em inglês). Microsoft. 23 de setembro de 2011. Consultado em 7 de maio de 2020
↑ Simon Pope (14 de maio de 2019). «Evite um worm atualizando os serviços de área de trabalho remota (CVE-2019-0708)» (em inglês). Centro de resposta de segurança da Microsoft. Consultado em 7 de maio de 2020
↑ «Configurar autenticação em nível de rede para conexões de serviços de área de trabalho remota» (em inglês). Microsoft TechNet. 17 de novembro de 2009. Consultado em 7 de maio de 2020

Ligações externas[editar | editar código-fonte]

«Configurar a autenticação em nível de rede para conexões de serviços de área de trabalho remota» (em inglês). Microsoft TechNet
«Que tipos de conexões de área de trabalho remota devo permitir?» (em inglês). Microsoft Corporation. Arquivado do original em 8 de junho de 2016

[1] «Descrição do provedor de suporte de segurança de credencial (CredSSP) no pacote de serviços 3 do Windows XP» (em inglês). Arquivado do original em 18 de setembro de 2017

[2] «Descrição da atualização de cliente de conexão de área de trabalho remota 6.1para serviços de terminal» (em inglês). Microsoft. 23 de setembro de 2011. Consultado em 7 de maio de 2020

[3] Simon Pope (14 de maio de 2019). «Evite um worm atualizando os serviços de área de trabalho remota (CVE-2019-0708)» (em inglês). Centro de resposta de segurança da Microsoft. Consultado em 7 de maio de 2020

[4] «Configurar autenticação em nível de rede para conexões de serviços de área de trabalho remota» (em inglês). Microsoft TechNet. 17 de novembro de 2009. Consultado em 7 de maio de 2020

[1]

[2]

[3]

[4]