Вступ
Network Level Authentication (NLA) — це механізм попередньої перевірки автентичності при підключенні до віддаленого робочого столу. Він захищає сервер від несанкціонованого доступу і знижує ризик атак до встановлення повноцінної сесії. Сьогодні він став стандартом безпеки в корпоративному IT-середовищі.
Однак на старих системах, таких як Windows XP, активація NLA вимагає ручного налаштування. У цій статті розберемо, як увімкнути Network Level Authentication на різних версіях Windows і навіщо це потрібно.
Що таке Network Level Authentication
NLA вимагає від клієнта проходження аутентифікації до запуску RDP-сесії. Це відрізняється від старого підходу, де підключення відбувалося відразу, і тільки потім перевірялися облікові дані. Основні переваги:
- Підвищена безпека — захист від перебору паролів і MITM-атак.
- Зниження навантаження на сервер — ресурси не витрачаються на непідтверджені підключення.
Як увімкнути NLA в Windows
Увімкнення Network Level Authentication (NLA) залежить від версії операційної системи. Нижче наведено докладні інструкції для Windows 10/11, серверних версій і Windows XP SP3. Під час налаштування обов’язково перевіряйте сумісність RDP-клієнта, наявність оновлень і коректну роботу служб.
Windows 10 / 11 / Server 2016 і новіші
Варіант 1: Через графічний інтерфейс
- Відкрийте властивості системи:
- Натисніть Win + R, введіть SystemPropertiesRemote і натисніть Enter.
- Або: Пуск → Панель керування → Система → Додаткові параметри системи → Вкладка «Віддалений доступ».
2. Знайдіть блок «Віддалений робочий стіл».
3. Виберіть опцію:
«Дозволити підключення тільки з комп’ютерів, що використовують перевірку автентичності на рівні мережі (рекомендується)».
4. Натисніть Застосувати і ОК.
Варіант 2: Через редактор реєстру
- Відкрийте regedit від імені адміністратора.
2. Перейдіть за шляхом:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
3. Знайдіть параметр UserAuthentication. Якщо його немає — створіть DWORD (32-bit) з цією назвою.
4. Встановіть значення 1 (увімкнено).
5. Перезавантажте сервер або службу віддаленого робочого столу (TermService).
Варіант 3: Через PowerShell
Відкрийте PowerShell від імені адміністратора та виконайте:
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'UserAuthentication' -Value 1
Windows Server 2008 / 2012 / 2019 / 2022
Налаштування NLA на серверних ОС аналогічне настільним:
- Запустіть Server Manager.
2. Перейдіть до: Local Server → Remote Desktop
3. Натисніть «Disabled» поруч із Remote Desktop → виберіть:
- «Allow connections only from computers running Remote Desktop with Network Level Authentication»
4. Застосуйте налаштування.
Також переконайтеся, що:
- Встановлено ролі Remote Desktop Services.
- Користувач має дозвіл на RDP-доступ (входить до групи Remote Desktop Users).
- Використовується дійсний SSL-сертифікат (для RDP-Tcp).
Windows XP SP3 (тільки як клієнт)
Windows XP не може бути сервером з підтримкою NLA, але може підключатися до інших систем, де NLA включена, при виконанні наступних умов:
Крок 1: Оновіть RDP-клієнт
Завантажте та встановіть Remote Desktop Connection Client 6.1 або новіше (наприклад, з сайту Microsoft або з Центру оновлень Windows).
Крок 2: Встановіть підтримку CredSSP
CredSSP (Credential Security Support Provider) необхідний для аутентифікації рівня мережі. Щоб увімкнути його:
- Встановіть оновлення KB951608 (доступне на сайті Microsoft).
2. Після встановлення відредагуйте реєстр:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Security Packages"=hex(7):43,00,72,00,65,00,64,00,45,00,53,00,53,00,50,00,00,00
Значення CredSSP додається до списку пакетів безпеки.
3. Перезавантажте комп’ютер.
Крок 3: Налаштуйте групову політику
Якщо використовується локальна політика (у Windows XP Pro):
- Відкрийте gpedit.msc.
2. Перейдіть до: Конфігурація комп’ютера → Адміністративні шаблони → Система → Облікові дані Delegation
3. Увімкніть:
- «Allow delegating saved credentials with NTLM-only server authentication»
- «Allow delegating fresh credentials»
- Додайте значення: TERMSRV/*
4. Застосуйте та перезавантажте систему.
Додаткові рекомендації
- Переконайтеся, що брандмауер Windows або антивірус не блокує порт 3389.
- У серверній ОС перевірте стан служби:
- Служба віддалених робочих столів (TermService) повинна бути в стані Виконується.
- Для доменних систем налаштування краще виконувати через GPO.
Поширені помилки та рішення
Помилка | Причина | Як усунути |
Потрібно NLA | Старий клієнт | Оновіть RDP до версії 6.1+ |
Протокол безпеки не підтримується | Несумісна ОС | Перевірте підтримку CredSSP |
Доступ відмовлено | Немає прав на вхід | Додайте користувача до потрібної групи |
Поради щодо застосування NLA
- Увімкніть NLA за замовчуванням у всіх нових установках.
- Використовуйте групові політики для централізованого налаштування.
- Регулярно оновлюйте клієнти та сервери до актуальних версій.
Висновок
Налаштування NLA — це обов’язковий крок для всіх, хто використовує віддалений робочий стіл. Воно мінімізує ризики та забезпечує безпеку корпоративної інфраструктури. Навіть на старих системах можливе підключення до захищених RDP-серверів при правильному налаштуванні.
