NLA (Network Level Authentication) est un mécanisme permettant de sécuriser les connections RDP. Avec NLA, l’utilisateur s’authentifie avant l’initiation d’une connexion au serveur. Anciennement, si on ouvrait une session RDP, c’est le serveur qui était chargé de nous authentifier. Cela consomme pas mal de ressources sur celui-ci, ce qui peut donc engendrer des attaques de type déni de service.
De plus, NLA va nous permettre d’authentifier la personne avant d’initier l’ouverture d’une session RDP pour ainsi éviter de solliciter inutilement le serveur si la personne ne peut s’authentifier. NLA est aussi appelé « Front Authentication ». Pour accomplir le travail d’authentification, le protocole CredSSP est utilisé.
Depuis Windows Server 2012R2 NLA est activé par défaut.
NLA a été introduit avec RDP 6.0 dans Windows Vista et plus tard sur XP SP3.
NLA peut être utilisé côté clients avec les OS suivants :
- Windows XP SP3, Vista, 7, ultérieurs…
- Windows 2008 / 2008 R2, ultérieurs…
- Remote Desktop Connection for Mac
Côté serveur :
- Windows 2008 / 2008 R2, ultérieurs…
- Windows Vista / 7, ultérieurs…
Pour vérifier si NLA est activé sur un serveur :
1 | <em>(Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").UserAuthenticationRequired</em> |
0 = désactivé
1 = activé
Si vous désirez activer le NLA :
1 | <em> (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(1)</em> |
Merci.