네트워크 레벨 인증

이 기사는 주요 출처에 대한 언급에 너무 많이 의존한다. 2차 또는 3차 소스를 추가하여 개선해 주십시오.(2020년 5월) (이 템플릿메시지 삭제 방법 및 삭제 타이밍 확인)

Network Level Authentication(NLA; 네트워크레벨 인증)은 Remote Desktop Services(RDP 서버) 또는 Remote Desktop Connection(RDP 클라이언트)의 기능으로, 서버와의 세션을 확립하기 전에 접속 유저가 자신을 인증할 필요가 있습니다.

원래 사용자가 서버에 대해 RDP(Remote Desktop) 세션을 열었을 경우 서버에서 사용자의 로그인 화면이 로드됩니다.이로 인해 서버상의 리소스가 소진되어 리모트코드 실행 공격뿐만 아니라 서비스 거부 공격도 발생할 가능성이 있습니다(BlueKeep 참조).네트워크 수준 인증은 클라이언트 측 보안 지원 공급자를 통해 사용자의 자격 정보를 클라이언트에서 위임하고 인증 여부를 묻는 메시지를 표시한 후 서버에서 세션을 확립합니다.

네트워크 레벨 인증은 RDP 6.0에서 도입되어 Windows Vista에서 최초로 지원되었습니다.Windows Vista의 SSPI를 통해 사용할 수 있는 새로운 보안 지원 공급자 CredSSP를 사용합니다.Windows XP Service Pack 3 에서는, 그 플랫폼에 CredSSP 가 도입되어 부속 RDP 6.1 클라이언트는 NLA 를 서포트하고 있습니다만,^[1][2] CredSSP 를 최초로 레지스트리에서 유효하게 할 필요가 있습니다.

이점

네트워크 레벨 인증의 장점은 다음과 같습니다.

• 사용자가 인증될 때까지 완전한 원격 데스크톱 연결이 시작되지 않도록 함으로써 초기에 필요한 원격 컴퓨터 리소스가 적기 때문에 서비스 거부 공격의 위험이 줄어듭니다.
• 이를 통해 NT SSO(Single Sign-On)를 원격 데스크톱 서비스로 확장할 수 있습니다.
• 인증 전에만 이용할 수 있는 리모트데스크탑의 취약성을 경감할 수 있습니다.^[3]

단점들

• 다른 자격 증명 제공자에 대한 지원 없음
• 원격 데스크톱 서비스에서 네트워크 수준 인증을 사용하려면 클라이언트가 윈도우즈 XP SP3 이상을 실행하고 호스트가 윈도우즈 Vista 이상 또는 윈도우즈 Server 2008 이상을 실행하고 있어야 합니다.
• 네트워크 레벨 인증을 필요로 하는 RDP 서버의 서포트는, Windows XP SP3 로 사용하기 위해서 레지스트리 키를 사용해 설정할 필요가 있습니다.
• CredSSP를 통해 비밀번호를 변경할 수 없습니다.이는 "다음 로그온 시 사용자가 암호를 변경해야 함"을 사용하거나 계정의 암호가 만료될 때 발생합니다.
• "네트워크에서 이 컴퓨터에 액세스" 권한이 필요한데, 다른 이유로 제한될 수 있습니다.
• 로그인을 시도하는 클라이언트의 IP 주소는 보안 감사 로그에 저장되지 않으므로 방화벽에 의한 무차별 공격이나 사전 공격을 차단하기가 어렵습니다.
• 리모트 데스크톱게이트웨이를 사용한 도메인 간 스마트카드 인증은 엔드 클라이언트에서 NLA가 네이블로 되어 있는 경우 지원되지 않습니다.

레퍼런스

외부 링크

• "Configure Network Level Authentication for Remote Desktop Services Connections". Microsoft TechNet.

• "What types of Remote Desktop connections should I allow?". Microsoft Corporation. Archived from the original on 2016-06-08.