Ο έλεγχος ταυτότητας επιπέδου δικτύου είναι μια μέθοδος ελέγχου ταυτότητας που διεκπεραιώνει τον έλεγχο ταυτότητας χρήστη πριν δημιουργηθεί πλήρως μια σύνδεση απομακρυσμένης επιφάνειας εργασίας και εμφανιστεί η οθόνη σύνδεσης. Αυτό μπορεί να συμβάλλει στην προστασία του απομακρυσμένου υπολογιστή από εισβολείς και κακόβουλο λογισμικό. Συνήθως αποτρέπει την υποκλοπή των διαπιστευτηρίων του χρήστη μέσω της μεθόδου επίθεσης man in the middle.
To NLA χρησιμοποιεί το πρωτόκολλο CredSPP(Credential Security Support Provider) το οποίο επιτρέπει σε μια εφαρμογή να μεταβιβάσει με ασφάλεια τα διαπιστευτήρια ενός χρήστη από έναν η/υ πελάτη σε έναν διακομιστή. Τα Windows XP με SP3 υποστηρίζουν το πρωτόκολλο CredSPP όπως φυσικά και όλα τα νεότερα λειτουργικά συστήματα της Microsoft όμως για τα XP χρειάζεται να το ενεργοποιήσουμε κάνοντας δύο προσθήκες στο μητρώο και εννοείται πως έχουμε RDP Client 6.1 και άνω.
Εφόσον χρησιμοποιηθεί το NLA δημιουργείται ένα κρυπτογραφημένο κανάλι μεταξύ των δυο η/υ χρησιμοποιώντας TLS(Transport Layer Security) και παράλληλα γίνεται χρήση ενός self-signed computer certificate απο την πλευρά του η/υ που φιλοξενεί την σύνδεση. Αυτό το certificate δημιουργείται αυτόματα κατά την πρώτη πετυχημένη σύνδεση , βρίσκεται στο Certificates(Local Computer) - Remote Desktop - Certificates , το όνομα του certificate είναι το ίδιο με το computer name , έχει μήκος 2048 bits , χρησιμοποιεί τον αλγόριθμο και ψηφιακή υπογραφή RSA-SHA1 και έχει διάρκεια ζωής 6 μήνες.
Ας δούμε τώρα τι γίνεται στην πράξη με το remote desktop connection και το NLA.
Στην περίπτωση που ένας η/υ με windows xp πάει να συνδεθεί είτε για να πάρει remote desktop είτε remoteApp σε έναν η/υ με windows vista/7(μόνο remote desktop) και windows server 2008/R2(και τα δύο) όπου υπάρχει η απαίτηση για υποστήριξη του NLA από τους απομακρυσμένους η/υ τότε δεν θα είναι δυνατό να συνδεθούμε.
Απο την πλευρά του η/υ που φιλοξενεί την σύνδεση επιλέγουμε
Απο την πλευρά του η/υ με Windows XP
Remote Desktop μήνυμα λάθους
RemoteApp μήνυμα λάθους
Για να ενεργοποιήσουμε το CredSPP στα Windows XP με SP3 κάνουμε τα εξής:
(προσέχουμε κατά την επεξεργασία του μητρώου)
1. Click Start, click Run, type regedit, and then press ENTER.
2. In the navigation pane, locate and then click the following registry subkey:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. In the details pane, right-click Security Packages, and then click Modify.
4. In the Value data box, type tspkg. Leave any data that is specific to other SSPs, and then click OK.
5. In the navigation pane, locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
6. In the details pane, right-click SecurityProviders, and then click Modify.
7. In the Value data box, type credssp.dll. Leave any data that is specific to other SSPs, and then click OK.
8. Exit Registry Editor.
9. Restart the computer.
Τώρα αφού κάναμε τις αλλαγές θα μπορούμε να συνδεόμαστε με μεγαλύτερη ασφάλεια.
Πηγές
http://support.microsoft.com/kb/951608
http://msdn.microsoft.com/en-us/library/cc226764(PROT.10).aspx
- Read more...
- 2 comments
- 625 views