Введение
Network Level Authentication (NLA) — это механизм предварительной проверки подлинности при подключении к удаленному рабочему столу. Он защищает сервер от несанкционированного доступа и снижает риск атак до установления полноценной сессии. Сегодня он стал стандартом безопасности в корпоративной IT-среде.
Однако на старых системах, таких как Windows XP, активация NLA требует ручной настройки. В этой статье разберем, как включить Network Level Authentication на разных версиях Windows и зачем это нужно.
Что такое Network Level Authentication
NLA требует от клиента прохождения аутентификации до запуска RDP-сессии. Это отличается от старого подхода, где подключение происходило сразу, и только потом проверялись учетные данные. Основные преимущества:
- Повышенная безопасность — защита от перебора паролей и MITM-атак.
- Снижение нагрузки на сервер — ресурсы не тратятся на неподтвержденные подключения.
Как включить NLA в Windows
Включение Network Level Authentication (NLA) зависит от версии операционной системы. Ниже приведены подробные инструкции для Windows 10/11, серверных версий и Windows XP SP3. При настройке обязательно проверяйте совместимость RDP-клиента, наличие обновлений и корректную работу служб.
Windows 10 / 11 / Server 2016 и более поздние
Вариант 1: Через графический интерфейс
- Откройте свойства системы:
- Нажмите Win + R, введите SystemPropertiesRemote и нажмите Enter.
- Или: Пуск → Панель управления → Система → Дополнительные параметры системы → Вкладка «Удаленный доступ».
2. Найдите блок «Удаленный рабочий стол».
3. Выберите опцию:
«Разрешить подключения только с компьютеров, использующих проверку подлинности на уровне сети (рекомендуется)».
4. Нажмите Применить и ОК.
Вариант 2: Через редактор реестра
- Откройте regedit от имени администратора.
2. Перейдите по пути:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
3. Найдите параметр UserAuthentication. Если его нет — создайте DWORD (32-bit) с этим названием.
4. Установите значение 1 (включено).
5. Перезагрузите сервер или службу удаленного рабочего стола (TermService).
Вариант 3: Через PowerShell
Откройте PowerShell от имени администратора и выполните:
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'UserAuthentication' -Value 1
Windows Server 2008 / 2012 / 2019 / 2022
Настройка NLA на серверных ОС аналогична настольным:
- Запустите Server Manager.
2. Перейдите в: Local Server → Remote Desktop
3. Нажмите «Disabled» рядом с Remote Desktop → выберите:
- «Allow connections only from computers running Remote Desktop with Network Level Authentication»
4. Примените настройки.
Также убедитесь, что:
- Установлены роли Remote Desktop Services.
- Пользователь имеет разрешение на RDP-доступ (входит в группу Remote Desktop Users).
- Используется действительный SSL-сертификат (для RDP-Tcp).
Windows XP SP3 (только как клиент)
Windows XP не может быть сервером с поддержкой NLA, но может подключаться к другим системам, где NLA включена, при выполнении следующих условий:
Шаг 1: Обновите RDP-клиент
Загрузите и установите Remote Desktop Connection Client 6.1 или более позднюю версию (например, с сайта Microsoft или из Центра обновлений Windows).
Шаг 2: Установите поддержку CredSSP
CredSSP (Credential Security Support Provider) необходим для аутентификации уровня сети. Чтобы включить его:
- Установите обновление KB951608 (доступно на сайте Microsoft).
2. После установки отредактируйте реестр:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Security Packages"=hex(7):43,00,72,00,65,00,64,00,45,00,53,00,53,00,50,00,00,00
Значение CredSSP добавляется в список пакетов безопасности.
3. Перезагрузите компьютер.
Шаг 3: Настройте групповую политику
Если используется локальная политика (в Windows XP Pro):
- Откройте gpedit.msc.
2. Перейдите в: Конфигурация компьютера → Административные шаблоны → Система → Учетные данные Delegation
3. Включите:
- «Allow delegating saved credentials with NTLM-only server authentication»
- «Allow delegating fresh credentials»
- Добавьте значение: TERMSRV/*
4. Примените и перезагрузите систему.
Дополнительные рекомендации
- Убедитесь, что брандмауэр Windows или антивирус не блокирует порт 3389.
- В серверной ОС проверьте состояние службы:
- Служба удаленных рабочих столов (TermService) должна быть в состоянии Выполняется.
- Для доменных систем настройки лучше выполнять через GPO.
Распространенные ошибки и решения
Ошибка | Причина | Как устранить |
Требуется NLA | Старый клиент | Обновите RDP до 6.1+ |
Протокол безопасности не поддерживается | Несовместимая ОС | Проверьте поддержку CredSSP |
Отказано в доступе | Нет прав на вход | Добавьте пользователя в нужную группу |
Советы по применению NLA
- Включите NLA по умолчанию во всех новых установках.
- Используйте групповые политики для централизованной настройки.
- Регулярно обновляйте клиенты и серверы до актуальных версий.
Вывод
Настройка NLA — это обязательный шаг для всех, кто использует удаленный рабочий стол. Она минимизирует риски и обеспечивает безопасность корпоративной инфраструктуры. Даже на старых системах возможно подключение к защищенным RDP-серверам при правильной настройке.
