[科普中國(guó)]-網(wǎng)絡(luò)級(jí)身份驗(yàn)證

網(wǎng)絡(luò)級(jí)身份驗(yàn)證是一種在遠(yuǎn)程桌面服務(wù)（RDP服務(wù)器）或遠(yuǎn)程桌面連接（RDP客戶(hù)端）使用的技術(shù)，它要求用戶(hù)在與服務(wù)器創(chuàng)建會(huì)話(huà)前先進(jìn)行身份驗(yàn)證。在最初，如果用戶(hù)打開(kāi)一個(gè)到服務(wù)器的RDP（遠(yuǎn)程桌面）連接，則服務(wù)器提供登錄屏幕畫(huà)面。這為消耗服務(wù)器資源乃至形成阻斷服務(wù)攻擊提供了潛在條件。NLA通過(guò)客戶(hù)端側(cè)的安全支持提供者委托客戶(hù)端的用戶(hù)憑據(jù)和提示用戶(hù)在與服務(wù)器創(chuàng)建會(huì)話(huà)前驗(yàn)證身份。

簡(jiǎn)介網(wǎng)絡(luò)級(jí)身份驗(yàn)證 (NLA) 是一種新的身份驗(yàn)證方法，在您建立所有遠(yuǎn)程桌面連接之前完成用戶(hù)身份驗(yàn)證，并出現(xiàn)登錄屏幕。 這是最安全的身份驗(yàn)證方法，有助于保護(hù)遠(yuǎn)程計(jì)算機(jī)避免黑客或惡意軟件的攻擊。

網(wǎng)絡(luò)級(jí)身份驗(yàn)證隨RDP 6.0中引入，最早在Windows Vista中提供支持。它使用新的安全支持提供者CredSSP，這可通過(guò)Windows Vista中的SSPI調(diào)用。在Windows XPService Pack 3中，CredSSP已被引入該平臺(tái)，并且所含的RDP 6.1客戶(hù)端支持NLA，但必須先在注冊(cè)表中啟用CredSSP。1

優(yōu)點(diǎn)及缺點(diǎn)優(yōu)點(diǎn)網(wǎng)絡(luò)級(jí)身份驗(yàn)證的優(yōu)點(diǎn)有：

在初始階段只需遠(yuǎn)程計(jì)算機(jī)的少量資源，用戶(hù)通過(guò)身份認(rèn)證不需啟動(dòng)完整的遠(yuǎn)程桌面連接，從而降低了拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。

它允許NT單點(diǎn)登錄（SSO）擴(kuò)展到遠(yuǎn)程桌面服務(wù)。

缺點(diǎn)不支持其他憑據(jù)提供者

要在遠(yuǎn)程桌面服務(wù)中使用網(wǎng)絡(luò)級(jí)身份驗(yàn)證，客戶(hù)端必須運(yùn)行Windows XP SP3或更高版本的操作系統(tǒng)，并且主機(jī)必須運(yùn)行Windows Vista、Windows Server 2008或更高版本。

要在Windows XP SP3上使用網(wǎng)絡(luò)級(jí)身份驗(yàn)證的RDP服務(wù)器，必須先配置注冊(cè)表鍵值。

不可能通過(guò)CredSSP更改密碼。當(dāng)“用戶(hù)必須在下次登錄時(shí)更改密碼”已啟用或者帳戶(hù)密碼到期時(shí)，這是一個(gè)問(wèn)題。

需要“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”的特權(quán)，這可能因其他原因而受到限制。

常見(jiàn)問(wèn)題故障："遠(yuǎn)程計(jì)算機(jī)需要網(wǎng)絡(luò)級(jí)別身份驗(yàn)證，而您的計(jì)算機(jī)不支持該驗(yàn)證，請(qǐng)聯(lián)系您的系統(tǒng)管理員或者技術(shù)人員來(lái)獲得幫助"

故障癥狀：當(dāng)您使用Windows XP"遠(yuǎn)程桌面連接"工具去連接Windows Vistas或Windows Server 2008的遠(yuǎn)程桌面、終端服務(wù)時(shí)，出現(xiàn)上述故障。

故障產(chǎn)生環(huán)境：遠(yuǎn)程桌面連接工具6.0以下版本，或者Windows XP Profressional SP1、SP2、SP3

解決方法：
1.請(qǐng)升級(jí)"遠(yuǎn)程桌面連接"工具最新6.1版本。
2.請(qǐng)把XP升級(jí)到最新SP3補(bǔ)丁包。
3.運(yùn)行"regedit"打開(kāi)注冊(cè)表編輯器，進(jìn)入 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa"，雙擊右邊欄中的 "Security Packages"，打開(kāi)"編輯多字符串"對(duì)話(huà)框，在列表框光標(biāo)處增加"tspkg"字符。
4. 然后定位到 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders"，雙擊右側(cè)的"SecurityProviders"字符串，打開(kāi)"編輯字符串"對(duì)話(huà)框，在數(shù)值末端中添加", credssp.dll"，注意逗號(hào)后有一個(gè)英文的空格。
5.退出注冊(cè)表程序，重啟計(jì)算機(jī)后故障排除。

重啟系統(tǒng)后，然后再運(yùn)行mstsc查看關(guān)于信息已經(jīng)顯示為支持網(wǎng)絡(luò)級(jí)別身份驗(yàn)證了。

如果選擇不打補(bǔ)丁，只需要在win8的計(jì)算機(jī)的系統(tǒng)屬性——遠(yuǎn)程——在遠(yuǎn)程桌面下選擇允許遠(yuǎn)程連接到此計(jì)算機(jī)，并且下面的復(fù)選框的勾去掉，否則就會(huì)出現(xiàn)上面的問(wèn)題。

本詞條內(nèi)容貢獻(xiàn)者為:

王慧維 - 副研究員 - 西南大學(xué)