我一直在阅读有关 RDP 和 Active Directory 的文章,并收集了以下我不确定是否正确的理解:
- 似乎具有网络级别身份验证的 RDP 仅适用于(或最容易适用于)Active Directory 中的计算机
- Active Directory 是在计算机上运行的服务,使计算机成为域控制器。
- 由于 Active Directory 在服务器计算机上运行,因此不能使用它来验证对同一台服务器计算机的登录。(先有鸡还是先有蛋的问题)
最后的理解,也是最重要的一点:如果从外部访问网络的唯一方式是通过 VPN,则网络级别身份验证仅在防止未经授权访问来自同一 LAN 网络的 RDP 允许的计算机时才真正有用。
我理解的对吗?如果我的家庭网络位于 VPN 后面,并且我信任 LAN 上的所有客户端,我是否可以禁用 RDP 中的网络级别身份验证并选择安全性较低的选项?
答案1
这并不准确,而且您没有理解创建 NLA 的要点。如果没有 NLA,计算机可以在进行身份验证之前与远程桌面服务器建立会话。创建足够的会话以耗尽服务器上的所有资源是微不足道的。这直接来自维基百科页面:
https://en.wikipedia.org/wiki/Network_Level_Authentication
无需向 Active Directory 验证客户端身份,因为 NLA 可用于验证本地帐户。有些人可能会认为,无法从 Internet 访问的内部网络上的 NLA 实际上不太安全,因为它会阻止阻止某些本地帐户的网络访问,并造成可能利用本地帐户进行横向移动的漏洞。
答案2
您需要增加对 Active Directory 和域的了解。您安装 AD 角色的服务器将成为域控制器,然后您将客户端系统添加到域并创建 AD 用户帐户。您使用域凭据登录到域计算机。
NLA 使用 CredSSP 预先加载您将用于 RDP 的凭据。会话主机在提供登录提示之前检查这些凭据并验证它们。每个安全决策都是风险评估。显然,如果您信任您的网络,那么您当然可以禁用它。然而,业界已经采取了“假设违反”的姿态,所以我建议使用它。