网络级身份验证

网络级身份验证（英語：Network Level Authentication，缩写NLA，亦有称网络层认证）是一种在远程桌面服务（英语：Remote Desktop Services）（RDP服务器）或远程桌面连接（RDP客户端）使用的技术，它要求用户在与服务器建立会话前先进行身份验证。在最初，如果用户打开一个到服务器的RDP（远程桌面）连接，则服务器提供登录屏幕画面。这为消耗服务器资源乃至形成阻斷服務攻擊提供了潜在条件。NLA通过客户端侧的安全支持提供者委托客户端的用户凭据和提示用户在与服务器建立会话前验证身份。

网络级身份验证随RDP 6.0中引入，最早在Windows Vista中提供支持。它使用新的安全支持提供者CredSSP，这可通过Windows Vista中的SSPI调用。在Windows XP Service Pack 3中，CredSSP已被引入该平台，并且所含的RDP 6.1客户端支持NLA，但必须先在注册表中启用CredSSP。^[1]

优点

网络级身份验证的优点有：

在初始阶段只需远程计算机（英语：Remote computer）的少量资源，用户通过身份认证不需启动完整的远程桌面连接，从而降低了拒绝服务攻击的风险。
它允许NT單一登入（SSO）扩展到远程桌面服务（英语：Remote Desktop Services）。

缺点

不支持其他凭据提供者
要在远程桌面服务（英语：Remote Desktop Services）中使用网络级身份验证，客户端必须运行Windows XP SP3或更高版本的操作系统，并且主机必须运行Windows Vista^[2]、Windows Server 2008或更高版本。
要在Windows XP SP3上使用网络级身份验证的RDP服务器，必须先配置注册表键值。
不可能通过CredSSP更改密码。当“用户必须在下次登录时更改密码”已启用或者帐户密码到期时，这是一个问题。
需要“从网络访问此计算机”的特权，这可能因其他原因而受到限制。

参考资料

^ Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3. [2017-04-19]. （原始内容存档于2009-10-09）.
^ Configure Network Level Authentication for Remote Desktop Services Connections. [2017-04-19]. （原始内容存档于2017-08-26）.

外部链接

Configure Network Level Authentication for Remote Desktop Services Connections. Microsoft TechNet. [2017-04-19]. （原始内容存档于2017-08-26）.
What types of Remote Desktop connections should I allow?. Microsoft Corporation. [2017-04-19]. （原始内容存档于2013-09-02）.

检索自“https://zh.wikipedia.org/w/index.php?title=网络级身份验证&oldid=74997537”