從 Windows Vista�、Windows Server 2008 開始���,遠程桌面協議(Remote Desktop PRotocol�,簡稱 RDP)開始支持網絡級身份驗證(Network Level Authentication��,簡稱 NLA)��。通過啟用 NLA����,我們的 RDP 將更加堅固,當客戶端進行 RDP 登錄時將不再會先顯示出遠程系統的登錄界面����,并須在客戶端得到正確的登錄驗證后�,方能成功并直接登錄到系統桌面。
這樣一來�,除了避免的一些信息的泄漏,還有效地防止了遠程客戶端的惡意窮舉�。如下圖所示��,我們只需要在“遠程設置”中��,啟用“只允許運行帶網絡級身份驗證的遠程桌面的計算機連接”即可��!
一旦在服務器端的 RDP 服務上啟用了 NLA����,并且客戶端是 Windows Vista 或以上版本����,那么我們可以通過 Remote Desktop 直接登錄�,否則正如下圖所示�,即使在安裝了最新版本 Remote Desktop 的 Windows xp SP3 上進行遠程桌面訪問還是會提示錯誤����。(PS:不必驚慌而忙于通知相關人員在本地禁用 NLA。)
要驗證當前的 Remote Desktop Connection(RDC)是否支持 NLA(網絡級別的身份驗證)�,我們只需要打開 RDC�,單擊左上角的圖標點擊關于,我們便可以查看到當前 RDC 的版本及 NLA 信息�。注意:當前的 Remote Desktop Connection 支持 RDP 6.1����。
其實在 Windows XP SP3 上啟用 NLA 支持,并非難事�。只需要對注冊表進行修改即可,再執行下面的步驟前建議你先對注冊表進行備份����。
單擊“開始”-“運行”,鍵入regedit,定位至“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”�,在右邊窗體中雙擊打開“Security Packages”值����,添入“tspkg”
定位至“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders”����,在右邊窗體雙擊打開“SecurityProviders”值����,添入“, credssp.dll”,特別注意在英標逗號后面有一個空格���。
在修改注冊表后需要重新啟動計算機�,如果在未重啟計算機前進行 RDP 的連接��,會出現 Remote Desktop 的“0x507”錯誤�。
出于安全角度考慮��,如果你不希望別人知道你當前服務器的操作系統版本����,不希望別人看到你啟動前后的補丁安裝進度,并且服務器正在使用 Windows Server 2008 操作系統��, 強烈建議啟用 NLA 支持的 RDP��。
