Windows Vista, Windows 7 e Windows Server 2008 R2 supportano l'autenticazione a livello di rete o NLA utilizzabile durante le sessioni di desktop remoto.
NLA (Network Level Authentication), una tecnologia che fornisce un livello di sicurezza aggiuntivo:
- sono richieste minori risorse del computer a cui ci si collega, in quanto l'autenticazione viene eseguita prima del completamento della connessione, evitando che si sprechino risorse nel completarla se l'autenticazione fallisce;
- è più difficile realizzare attacchi di tipo DoS in quanto non viene instaurata una connessione completa prima della verifica dell'autenticità del computer remoto
Immagine di Windows 2008 R2 con NLA abilitato. Ovviamente NLA può essere disabilitato a scapito della sicurezza.
Se vogliamo collegarci da desktop remoto a una macchina dotata di questa tecnologia (ed in cui è stata abilitata)dobbiamo possedere una versione aggiornata del client di desktop remoto. Nessun problema in Windows 7 e Windows Vista, aimée Windows XP di default non supporta NLA. Per abilitarlo dobbiamo eseguire i seguenti passi:
- Aggiornare XP al Service Pack 3;
- scaricare l’eventuale hot fix aggiuntivoda http://support.microsoft.com/kb/951616/it
- abilitare CredSSP (Credential Security Service Provider)
Per abilitare CSSPdobbiamo modificare due valori nel registro:
La prima:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Aggiungendo alla voce: Security Packages il valore: tspkg
La seconda:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
Aggiungendo alla voce: SecurityProviders il valore: credssp.dll
Potete scaricare il file .reg con tutte le modifiche al seguente link:
http://www.ingegneridelweb.com/public/sorgenti/nla.zip
Una volta apportate le modifiche, riavviamo la macchina e nella Connessione a desktop remoto nelle “Informazioni su” troveremo la voce : Autenticazione a livello di rete supportata.
Potremo quindi collegarci, per esempio, alla nostra macchina Windows Server 2008 R2 + NLA con il desktop remoto da Windows XP.