從 Windows Vista、Windows Server 2008 開始,遠程桌面協議(Remote Desktop Protocol,簡稱 RDP)開始支持網絡級身份驗證(Network Level Authentication,簡稱 NLA)。通過啟用 NLA,我們的 RDP 將更加堅固,當客戶端進行 RDP 登錄時將不再會先顯示出遠程系統的登錄界面,並須在客戶端得到正確的登錄驗證後,方能成功並直接登錄到系統桌面。
這樣一來,除了避免的一些信息的洩漏,還有效地防止了遠程客戶端的惡意窮舉。如下圖所示,我們只需要在“遠程設置”中,啟用“只允許運行帶網絡級身份驗證的遠程桌面的計算機連接”即可!
一旦在服務器端的 RDP 服務上啟用了 NLA,並且客戶端是 Windows Vista 或以上版本,那麼我們可以通過 Remote Desktop 直接登錄,否則正如下圖所示,即使在安裝了最新版本 Remote Desktop 的 Windows XP SP3 上進行遠程桌面訪問還是會提示錯誤。(PS:不必驚慌而忙於通知相關人員在本地禁用 NLA。)
要驗證當前的 Remote Desktop Connection(RDC)是否支持 NLA(網絡級別的身份驗證),我們只需要打開 RDC,單擊左上角的圖標點擊關於,我們便可以查看到當前 RDC 的版本及 NLA 信息。注意:當前的 Remote Desktop Connection 支持 RDP 6.1。
其實在 Windows XP SP3 上啟用 NLA 支持,並非難事。只需要對注冊表進行修改即可,再執行下面的步驟前建議你先對注冊表進行備份。
單擊“開始”-“運行”,鍵入regedit,定位至“HKEY_LOCAL_MacHINESYSTEMCurrentControlSetControlLsa”,在右邊窗體中雙擊打開“Security Packages”值,添入“tspkg”
定位至“HKEY_LOCAL_MacHINESYSTEMCurrentControlSetControlSecurityProviders”,在右邊窗體雙擊打開“SecurityProviders”值,添入“, credssp.dll”,特別注意在英標逗號後面有一個空格。
在修改注冊表後需要重新啟動計算機,如果在未重啟計算機前進行 RDP 的連接,會出現 Remote Desktop 的“0x507”錯誤。
出於安全角度考慮,如果你不希望別人知道你當前服務器的操作系統版本,不希望別人看到你啟動前後的補丁安裝進度,並且服務器正在使用 Windows Server 2008 操作系統, 強烈建議啟用 NLA 支持的 RDP。
