Pages

22 Maret 2012

Configuring Network Level Authentication for RDP

Recently there has been a lot of attention given to the Remote Desktop Protocol for attacker. The protocol has seen a work in 2011 that abused week passwords and  it’s features to copy files and infect other machines and now in 2012 there is a remote code execution bug in the protocol it self. Since the days of Vista and Windows 2008 Microsoft has provided a new mechanism for securing RDP connections with what they call Network Level Authentication, this uses Microsoft CredSSP Protocol to authenticate and negotiate credential type before handing off the connection to RDP Service.

CredSSP first establishes an encrypted channel between the client and the target server by using Transport Layer Security (TLS). Using the TLS connection as an encrypted channel; it does not rely on the client/server authentication services that are available in TLS but does uses it for validating identity. The CredSSP Protocol then uses the Simple and Protected Generic Security Service Application Program Interface Negotiation Mechanism (SPNEGO) Protocol Extensions to negotiate a Generic Security Services (GSS) mechanism that performs mutual authentication and GSS confidentiality services to securely bind to the TLS channel and encrypt the credentials for the target server. It should be noted that all GSS security tokens are sent over the encrypted TLS channel. This tokens can be NTL, Kerberos or PKI Authentication for SmartCards.

The graphic bellow illustrates how this is done:


Most brut force tools currently out there do not take in to account NLA, it would slow down the process even more and add another level of complexity. Since no packet will reach the RDP service until CredSSP has finished negotiation of the connection it protects the servers from DoS and exploits.

NLA is present in the latest versions of Windows, for Server:

Windows 2008
Windows 2008 R2
Windows 7
Windows Vista
On the client side:

Windows XP SP3
Windows Vista
Windows 7
Windows 2008
Windows 2008 R2
Remote Desktop Connection for Mac
NLA was introduced first with RDP 6.0 in Windows Vista and later on Windows XP SP3.

One of the biggest advantages also is that since TLS is used it will warn us if it can not validate the identity of the host we are connecting to. For this we will need a PKI infrastructure integrated with AD in our Windows environment. On a Windows 2008 environment we can install on a server the role of Active Directory Certificate Service to install a Enterprise CA accepting all defaults so it can provide Computer Certificates to the machines in the domain in an automated way using Group Policy.

Configuring a GPO for NLA

In this example I will show how to configure a GPO for issuing a Certificate to each host in the Domain and Configure NLA authentication for RDP. In a production environment you may wish to separate these or keep them in one policy depending on your AD design.

Lets start by selecting from Administrative Tools the Group Policy Management tool:
On the tool we create a New Group Policy Object:

We give this policy a Name:

Once created we edit this policy by right clicking on it an selecting Edit:

Now we select Computer Configuration/Policies/Windows Settings/Public Key Policies/Automatic Certificate Request Settings:

We now right click on Automatic Certificate Request Setting and select to create a new Automatic Certificate Request, this will request to the CA a new Computer Certificate and renew the certificate when it expires automatically.

When the wizard starts we click Next then we select Computer Certificate Template:
We click on Next and then on Finish. Now we select Computer Configuration/Policies/Windows Settings/Public Key Policies under that node we double click on Certificate Services Client – Auto-Enrollment we now select on the properties under Configuration Model we select Enable and make sure that the boxes for managing certificates in the store and for updating the certificate if the template is modified.


Now we have finished the section that will cover the certificate assignment for computers that get this GPO applied to.

For configuring RDP to use NLA we now go to Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Settings/Remote Desktop Session
Host/Security

Select Require user authentication for remote connections by using Network Level Authentication and double click on it. On the properties screen select Enable and click on OK.

Now lets configure the client settings to make sure that we always select to warn in the case the host certificate con not be authenticated. We select Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Settings/Remote Desktop Connection Client

We double click on Configure Authentication for Client

Select Enable and set the Option to Warn me if authentication fails
Click on OK and close the screen. Know you should have a proper policy that cam be applied, but before we apply the policy we have to give permission on the Domain Computers group in the domain the permission to apply it:
And now we have a GPO that can be linked to any Domain in the forest or Organization Unit. Once applied when a connection is made we can see the security in use by clicking on the lock on the top of a Remote Desktop Session in Windows and it will tell us how we where authenticated:
On those host that do not have RDP enabled you will see that the only option available is to use NLA
As always I hope you find this blog post informative and useful.





14 komentar:

  1. Hi, I think your blog is very good, very poetic, also very talented, hope you can pay attention to my blog, thank you for coming. Thanks
    buy rdp

    BalasHapus
  2. Thanks for the write up. It is very informative. Buy RDP Cheap RDP

    BalasHapus
  3. Cleaning works are one of the most important areas that need to be taken care of in order to maintain the safety of your furniture (cleaning company in Riyadh ) Furniture is often exposed to smogs as a result of many use, in addition to children who have a big role in pollution and dirty furniture. And modern.
    شركة تنظيف منازل بالرياض رخصه
    ارخص شركة تنظيف منازل بالرياض
    افضل شركة تنظيف منازل بالرياض
    شركة تنظيف منازل بالرياض مجربه
    مين جربت شركات تنظيف المنازل بالرياض








    BalasHapus
  4. شركة تنظيف منازل بجدة
    شركة تنظيف منازل بمكة
    شركة تنظيف خزانات بالمدينة المنورة
    لدينا في شركتنا من أهم الخدمات الخاصة بتنظيف خزانات المياه اطلب من شركة تنظيف خزانات بجدة خدمات متنوعة فنحن تقوم بعمل كشف على خزانك ولو وجد خلل بالخزان تقوم بتصليح خزانك ونقوم بعمل اللازم وعمل عزل كامل للخزان من الداخل لمنع تسربات المياه من الخزانات شركة صيانة خزانات بجدة نضمن لك عزيزي العميل بان تكون عملية الصيانة والتنظيف تتم على أكمل وجه فلدينا فريق محترف خاص بعملية عزل الخزانات بجدة واخلاءها من الأتربة والترسبات الموجودة بقاع الخزان وترك الخزان نظيف تماما من جميع الأتربة الموجودة بالقاع .
    فلدى شركة لمسات جدة خدمات أخرى متمثلة في تنظيف المنازل من الداخل لأن عمليات تنظيف المنازل من الأمور الصعبة التي تحتاج الى مكالمة شركة تنظيف منازل بجدة لصعوبة عملية التنظيف المنزلية ولدينا ايضا قسم خاص بتنظيف وغسيل المفروشات والسجاد والكنب بالبخار في شركة تنظيف كنب بالبخار بجدة نتميز بالدقة العالية لاستخدامنا أفضل أنواع المطهرات والمعقمات للمفارش والكنب المصرح بها عالميا
    وايضا في مجال التنظيف في مكة لدينا شركة تنظيف منازل بمكة متميزة ومتخصصة وعلى خبرة كبيرة بكل مجالات التنظيف

    BalasHapus
  5. وننتقل الى خدمات تخص اعمال مكافحة الحشرات بمنطقة مكة المكرمة مثل الطائف ومكة المكرمة فلدينا في الطائف
    شركه مكافحه حشرات بالطائف تقدم خدمات متميزة ورائعة في شركه رش مبيدات بالطائف وايضا عند عملية شركه مكافحه الصراصير بالطائف وكذلك شركه مكافحه البق بالطائف وقد طورنا خدماتنا في مكة المكرمة واصبحنا افضل شركه مكافحه حشرات بمكه المكرمه ومن ضمن شركات مكافحة الحشرات بمكة المكرمة ذوي الخبرة والكفاءة ومن اصحاب اسعار شركات مكافحة الحشرات بمكة الرخيصة والتي تقدم اسعار وخدمات جيدة ولذلك فان شركه مكافحه الصراصير بمكه موثوقة من عملاءها

    BalasHapus
  6. شركة لمسات جدة تعتبر افضل شركة تنظيف خزانات بجدة وتعد من اقوي شركات مكافحة الحشرات بجدة وبالفعل افضل شركة مكافحة حشرات بالطائف لأنها شركة متميزة ولديها فريق عمل متخصص وتستخدم دائما ما شركة صيانة خزانات بجدة ما يناسب وضعها ومكانتها فى سوق العمل شركة تنظيف منازل بجدة , نحن نقدم اليكم خدمتنا , فاذا استعنت بنا شركة تنظيف منازل بمكة او اتصلت على شركة تنظيف خزانات بالمدينة المنورة او كنت في الطائف شركة تنظيف خزانات بالطائف فانت الرابح الاكبر مع شركات تنظيف المنازل لا تترد فى الاتصال علينا وسوف نصلك فى اى مكان

    BalasHapus
  7. شركة نقل اثاث بابها
    يحتاج الكنب للتنظيف شركة تنظيف بحفر الباطن
    كأيّ قطعةٍ موجودةٍ في المنزل، وخاصّةً عند مرور فترةٍ طويلةٍ على اقتنائه في المنزل، فيتعرّضشركة تنظيف بحفر الباطن
    للتلف، والتمزق، وتغير اللون، ولهذا يجب الحفاظ عليه، بتنظيفه بشكلٍ دوريٍ ومستمرّ، حتى لا تتراكم الأوساخ عليه، وغالباً ما تقف ربّة المنزل عاجزةً عند اتساخ الكنب، معتقدةً أنّ بقع الكنب لا يمكن أن تزول، فتلجأ إلى تغييرها بسبب اتساخها فنحن شركة تنظيف كنب بحفر الباطن ننصح بالاتصال بنا على الفور، وفي هذه المقالة سنقدّم الحل لربّة المنزل، وسنعرض طريقةً لتنظيف الكنب بطريقةٍ بسيطةٍ تجعل سيدة البيت تدوام على تنظيف كنب منزلهشركه نقل اثاث بالمدينة المنورة

    BalasHapus
  8. لكثير من ربات المنزل ياعنو من البقع
    الموجوده فى الكنب لكن معانه لا تعانى من شى
    شركة تنظيف كنب بالاحساء
    شركتنه من افضل الشركات فى غسيل الكنب
    بامدينة الاحساء لانها تمتلك الكثير
    من افضل الادوات التى تزيل جميع البقع

    BalasHapus

Thank f' u C0mment