Verifica del supporto NLA su Desktop remoto

rdp-sec-check è uno script Perl per enumerare le diverse impostazioni di sicurezza di un servizio desktop remoto

I seguenti potenziali problemi di sicurezza sono contrassegnati se presenti:

• Il servizio supporta la sicurezza RDP standard. Questo è noto per essere vulnerabile a un attacco attivo di Man in the Middle.
• Il servizio supporta la crittografia debole (40 bit o 56 bit).
• Il servizio non richiede Autenticazione a livello di rete (NLA) . NLA può aiutare a prevenire determinati tipi di attacchi di tipo Denial of Service.
• Il servizio supporta la crittografia FIPS ma non lo impone - può solo essere interessante per le giurisdizioni in cui è richiesto FIPS

rdesktop supporta CredSSP + Kerberos, che è un sottoinsieme del supporto NLA. Se nessun ticket kerberos viene inizializzato, rdesktop will e handshake utilizzeranno SSL per il trasporto con il server. Se il server remoto sta forzando l'uso di NLA, questo percorso fallback fallirà e rdesktop lo segnalerà alla console. In questo modo è possibile rilevare se il server terminal remoto sta forzando l'uso di NLA.

Il messaggio di errore che rdesktop riporta in questo caso è: "Impossibile connettersi, CredSSP richiesto dal server."

Anche il registro modifiche di rdesktop indica che può supportare l'autenticazione Kerberos (NLA) di CredSSP +, ma se il server Windows impone di utilizzare NLA, verrà visualizzato il messaggio di errore: Impossibile connettersi, CredSSP richiesto dal server ..