web-dev-qa-db-ja.com

ネットワークレベル認証なしのRDPの安全性

私はRDPとActive Directoryについて読んでいますが、正しいとは思えない次のような理解を集めました。

  1. ネットワークレベル認証を使用したRDPはActive Directory内のコンピューターでのみ(または最も簡単に)機能するようです
  2. Active Directoryは、コンピューターをドメインコントローラーにするコンピューター上で実行されるサービスです。
    1. Active Directoryはサーバーマシン上で実行されるため、同じサーバーマシンへのログインの認証には使用できません。 (鶏卵問題)

最終的な理解とこれが最も重要なものです。外部からネットワークにアクセスする唯一の方法がVPN経由である場合、ネットワークレベル認証は、同じLANネットワークからRDPで許可されたコンピューターへの不正アクセスを防止する上でのみ役立ちます。

私は正しいことを理解していますか?ホームネットワークがVPNの背後にあり、LAN上のすべてのクライアントを信頼している場合、RDPでネットワークレベル認証を無効にし、安全性の低いオプションを使用できますか?

1
Shard

これは正確ではなく、NLAが作成された理由がわかりません。 NLAがない場合、コンピューターは認証の前にリモートデスクトップサーバーへのセッションを確立できます。サーバー上のすべてのリソースを使い果たすのに十分なセッションを作成するのは簡単です。それはWikipediaのページから直接です:

https://en.wikipedia.org/wiki/Network_Level_Authentication

NLAはローカルアカウントの認証に使用できるため、Active Directoryに対してクライアントを認証する必要はありません。一部の人々は、インターネットからアクセスできない内部ネットワーク上のNLAは、一部のローカルアカウントのネットワークアクセスのブロックを防ぎ、ローカルアカウントで横方向の移動が使用される可能性がある脆弱性を生み出すため、実際には安全性が低いと主張するかもしれません。

3
Greg Askew

Active Directoryとドメインの理解を深める必要があります。 ADの役割をインストールするサーバーがドメインコントローラーになり、クライアントシステムをドメインに追加して、ADユーザーアカウントを作成します。ドメイン資格情報を使用してドメインコンピュータにログオンします。

NLAはCredSSPを使用して、RDPに使用する資格情報をフロントロードします。セッションのホストはこれらの資格情報をチェックし、ログインプロンプトを提供する前にそれらを検証します。すべてのセキュリティ決定はリスク評価です。もちろん、ネットワークを信頼している場合は、もちろん無効にできます。ただし、業界は「想定違反」の姿勢を採用しているため、使用することをお勧めします。

0
spacenomyous