NLA qu’est ce que c’est ?

NLA, pour Network Level Authentication est un mécanisme de sécurité implémenté par Microsoft dans la version 6.0 du RDP; rendu disponible pour la première fois avec Windows Vista / Server 2008, ce dernier a pour but de valider les identifiants avant de charger la connexion RDP.

Pour ce faire il utilise le Credential Security Support Provider (CredSSP), mais nous reviendrons sur cet élément dans un autre article.

Mais pourquoi ?

Et bien simplement pour permettre la réduction de surface d’attaque car, lorsque le  NLA n’est pas activé, il est possible de charger la session RDP avant l’authentification par n’importe qui.

Et alors me direz vous, Eh bien de ce fait il est possible pour un attaquant de tenter une attaque de type « brute force » ou bien tenter de lister les utilisateurs déjà authentifiés sur le serveur.

Et c’est tout ?

Bien que l’objectif premier soit de réduire la surface d’attaque, il y a un autre bénéfice avec le NLA, cela permet aussi de réduire la consommation de ressources du serveur.

Comment ? Simplement, prenons l’exemple d’un serveur sur lequel le NLA n’est pas activé, lorsqu’un un utilisateur tente une connexion RDP, le serveur doit charger la session qui amène l’utilisateur a la mire de connexion, les ressources nécessaires à la session sont donc consommées par le serveur.

Alors que sur un serveur où le NLA est activé, une validation des accès est faîte en amont et, si l’utilisateur n’a pas accès au serveur il reçoit un refus de connexion avant que le serveur n’ai eu besoin de charger la session.

Par conséquent lorsque le NLA est activé, le serveur économise les ressources liés aux sessions non autorisées.