Sicurezza di RDP senza autenticazione a livello di rete

1

Ho letto di RDP e Active Directory e ho raccolto le seguenti intese che non sono sicuro siano corrette:

  1. Sembra che RDP con l'autenticazione a livello di rete funzioni solo (o più facilmente) con computer in Active Directory
  2. Active Directory è un servizio che viene eseguito su un computer che lo rende un controller di dominio.
    1. Poiché Active Directory viene eseguito su un computer server, non può essere utilizzato per autenticare l'accesso allo stesso computer server. (problema uovo-gallina)

Comprensione finale, e questa è la più importante: se l'unico modo per accedere alla rete dall'esterno è tramite VPN, l'autenticazione a livello di rete è davvero utile solo per impedire l'accesso non autorizzato ai computer autorizzati RDP dalla stessa rete LAN.

Sto capendo le cose correttamente? Posso semplicemente disabilitare l'autenticazione a livello di rete in RDP e scegliere l'opzione meno sicura se la mia rete domestica è protetta da VPN e mi fido di tutti i client su LAN?

security  vpn  openvpn  remote-desktop  rdp 
Coccio
fonte
1
(3) è decisamente sbagliato. È possibile accedere a un controller di dominio con un account di Active Directory. In effetti, è possibile accedere solo a un controller di dominio con un account di Active Directory.
Harry Johnston,
per riassumere, NLA non ha nulla a che fare con AD, lo scopo di NLA è scaricare l'enorme sovraccarico di avvio della sessione RDP solo per l'immissione della password .. (e per aggiungere la verifica dell'identificazione)
Sajuuk

Risposte:

3

Ciò non è accurato e ti manca il punto per cui è stato creato NLA. Senza NLA, un computer può stabilire una sessione su un server desktop remoto prima dell'autenticazione. È banale creare abbastanza sessioni per esaurire tutte le risorse sul server. Questo è direttamente dalla pagina di Wikipedia:

https://en.wikipedia.org/wiki/Network_Level_Authentication

Non è necessario autenticare il client in Active Directory, poiché NLA può essere utilizzato per autenticare gli account locali. Alcune persone potrebbero obiettare che l'NLA su una rete interna non accessibile da Internet è in realtà meno sicura, perché impedisce il blocco dell'accesso alla rete per alcuni account locali e crea una vulnerabilità in cui i movimenti laterali possono essere utilizzati con account locali.

Greg Askew
fonte
Diresti che nel mio caso in cui la mia rete domestica è accessibile solo da una VPN, NLA non vale la pena ottenere hardware aggiuntivo su cui eseguire l'AD?
Coccio
@Shard: Perché stai chiedendo di AD?
Greg Askew,
La mia comprensione è che NLA funziona meglio con l'installazione di annunci pubblicitari. Quando disabilito NLA posso eseguire l'RDP sul mio server Hyper-V, se abilito NLA non riesco a remotare sul mio server Hyper-V. Quindi sto attualmente abilitando RDP senza NLA, ma sono preoccupato per la sicurezza.
Shard
@Shard: Active Directory e l'autenticazione a livello di rete non hanno nulla a che fare l'una con l'altra. L'autenticazione a livello di rete svolge una funzione e funziona esattamente allo stesso modo con o senza Active Directory.
Greg Askew,
Quindi, ciò che dice questo ragazzo nel suo video tutorial è tecnicamente falso? youtube.com/watch?v=57Ijn7re8X8&feature=youtu.be&t=440
Shard
0

È necessario aumentare la comprensione di Active Directory e domini. Il server su cui si installa il ruolo AD diventa un controller di dominio, quindi si aggiungono sistemi client al dominio e si creano account utente AD. Si accede a un computer di dominio utilizzando le credenziali di dominio.

NLA utilizza CredSSP per caricare anticipatamente le credenziali che verranno utilizzate in RDP. L'host della sessione controlla queste credenziali e le verifica prima di offrire il prompt di accesso. Ogni decisione sulla sicurezza è una valutazione del rischio. Ovviamente se ti fidi della tua rete, ovviamente puoi disabilitarla. Tuttavia, l'industria ha adottato una posizione di "presunta violazione", quindi consiglierei di usarla.

spacenomyous
fonte
Quindi stai dicendo che vale la pena acquistare un altro computer solo per eseguire Active Directory su di esso? (Poiché non è consigliabile eseguire AD in VM). In altre parole, la sicurezza aggiuntiva che aggiunge a una rete dietro VPN vale la seccatura?
Shard
Vale la pena la seccatura è una decisione che il tuo team di sicurezza deve prendere. Per quanto AD non sia raccomandato per la virtualizzazione, questa è una preoccupazione datata considerando il fatto che Microsoft crea il proprio hypervisor. Il problema si presenta se il tuo ambiente di virtualizzazione utilizza AD per l'autenticazione e quindi ospiterai la tua infrastruttura AD interamente all'interno di quell'ambiente - questo è davvero uno scenario a base di uova di gallina. Ma se l'autenticazione di virtualizzazione è al di fuori di Active Directory o hai un altro controller di dominio esterno all'ambiente (può trovarsi in un altro host / cluster - o semplicemente fisico), starai bene.
spacenomyous,
Non esiste un team di sicurezza, sto parlando della mia configurazione domestica con Hyper-V. Un ragazzo, una macchina server e una persona che deve mai accedere alla macchina host Hyper-V. Il mio problema è proprio che l'intero modo non AD di accedere all'host Hyper-V con Manager da Windows 10 Pro è un grosso problema.
Shard
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.