Verifica del supporto NLA su Desktop remoto

5

Qual è il modo migliore per verificare se un server MSRDP ha abilitato o meno l'NLA?

Il mio punto di vista è che, se abilitato, non mostrerà una schermata grafica durante il tentativo di connessione, ma chiederà prima le credenziali.

Un modo per verificare ciò è utilizzare l'utilità rdesktop e se viene visualizzata una schermata della GUI per l'accesso, si noti che NLA non è abilitato?

    
posta Sonny Ordell 09.12.2013 - 09:28
fonte

3 risposte

1

rdp-sec-check è uno script Perl per enumerare le diverse impostazioni di sicurezza di un servizio desktop remoto

I seguenti potenziali problemi di sicurezza sono contrassegnati se presenti:

  • Il servizio supporta la sicurezza RDP standard. Questo è noto per essere vulnerabile a un attacco attivo di Man in the Middle.
  • Il servizio supporta la crittografia debole (40 bit o 56 bit).
  • Il servizio non richiede Autenticazione a livello di rete (NLA) . NLA può aiutare a prevenire determinati tipi di attacchi di tipo Denial of Service.
  • Il servizio supporta la crittografia FIPS ma non lo impone - può solo essere interessante per le giurisdizioni in cui è richiesto FIPS
risposta data 20.02.2014 - 14:02
fonte
0

rdesktop supporta CredSSP + Kerberos, che è un sottoinsieme del supporto NLA. Se nessun ticket kerberos viene inizializzato, rdesktop will e handshake utilizzeranno SSL per il trasporto con il server. Se il server remoto sta forzando l'uso di NLA, questo percorso fallback fallirà e rdesktop lo segnalerà alla console. In questo modo è possibile rilevare se il server terminal remoto sta forzando l'uso di NLA.

Il messaggio di errore che rdesktop riporta in questo caso è: "Impossibile connettersi, CredSSP richiesto dal server."

    
risposta data 10.12.2013 - 08:57
fonte
0

Anche il registro modifiche di rdesktop indica che può supportare l'autenticazione Kerberos (NLA) di CredSSP +, ma se il server Windows impone di utilizzare NLA, verrà visualizzato il messaggio di errore: Impossibile connettersi, CredSSP richiesto dal server ..

    
risposta data 01.07.2014 - 04:33
fonte

Leggi altre domande sui tag