L'ultima versione RDP ha utilizzato NLA, CredSSP e TLS per proteggere il processo di autenticazione. Sembra sicuro ma in realtà è abbastanza sicuro. Sapevo che la versione precedente RDP è vulnerabilità agli attacchi man-in-middle, questo attacco viene eliminato?
Con l'ultima versione è possibile integrare la sicurezza ssl / tls e i meccanismi di autenticazione a due fattori. Se la connessione viene utilizzata per connettersi a un portale di servizi desktop remoto (ad esempio il gateway RD), è possibile applicare l'autenticazione a livello di rete. Con un'infrastruttura correttamente pianificata e implementata con un'infrastruttura a chiave pubblica, è possibile rafforzare la sicurezza. NLA fornisce più supporto per rafforzare la sicurezza. È anche possibile utilizzare i metodi di autenticazione a 3 fattori. Come regola generale, ciascun meccanismo dipende dal profilo di sicurezza corrente e dalla superficie di attacco. Dipende da capacità, implementazioni e miglioramenti continui. Pertanto, utilizzando la versione più recente, non è possibile garantire la sicurezza se non è conforme ai propri standard.
Nota: potrebbero ancora esserci altri problemi come le vulnerabilità con certificati e il metodo CRL, l'esportazione di pkey ecc. (poiché esistono).
Versioni recenti del supporto RDP SSL / TLS . RDP stesso ha il proprio formato per il trasferimento di pacchetti di dati; all'interno di questi pacchetti, client e server abbastanza recenti possono trasportare i record TLS che codificheranno un tunnel in cui verranno inviati i dati effettivi (compresa l'autenticazione). Ciò è ragionevolmente sicuro, nella misura in cui il client e il server non compromettono l'implementazione o l'uso improprio dei certificati (vedere questa risposta per alcune discussioni sull'argomento)
Inoltre, l'utilizzo di TLS è facoltativo e soggetto a negoziazione tra client e server; presumibilmente, un utente malintenzionato che prova un attacco man-in-the-middle potrebbe alterare i primi pacchetti per simulare una mancanza di supporto TLS su entrambi i lati, portando a una connessione senza TLS. Spetta all'implementazione del client rilevare questa occorrenza e interrompere la connessione (o generare un avviso e consentire all'utente di interrompere).
Il supporto TLS è stato aggiunto in RDP 5.2. Le implementazioni di opensource gratuite del protocollo RDP di solito non la supportano.
Un altro modo per proteggere TLS una sessione RDP è il Gateway Desktop remoto (precedentemente noto come Gateway Servizi terminal) che incapsula l'intera cosa in un tunnel SSL / TLS. Questo è cumulativo con altre funzionalità di RDP, quindi puoi finire con TLS-in-RDP-in-TLS. Il gateway è un servizio specifico disponibile da Windows Server 2008, e solo il client di Microsoft sembra supportarlo (secondo Wikipedia, nemmeno la porta MacOS del client di Microsoft può utilizzarlo).
Leggi altre domande sui tag windows authentication rdp