Как использовать Network Level Authentication (NLA) при подключении к удалённому рабочему столу

Автор На чтение 9 мин Просмотров 1 Опубликовано

Network Level Authentication, или NLA, — это режим проверки пользователя до того, как удалённый рабочий стол Windows покажет вам полноценный экран входа и создаст RDP-сессию. Проще говоря: при включённом NLA пароль проверяется раньше, чем вы фактически попадёте на удалённый компьютер.

Если вы настраиваете удалённый доступ к Windows-машине, NLA обычно нужно оставлять включённым. Он не заменяет VPN, обновления, сложные пароли и ограничение доступа, но закрывает часть лишней поверхности атаки и снижает нагрузку на компьютер, к которому подключаются.

Содержание
  1. Что NLA меняет на практике
  2. Где включать NLA: не на клиенте, а на удалённом компьютере
  3. Включение NLA через интерфейс Windows
  4. Включение NLA через групповую политику
  5. Включение NLA через PowerShell или реестр
  6. Что нужно на стороне клиента
  7. Как понять, что NLA действительно работает
  8. Когда NLA можно отключать
  9. Сценарии: как настроить доступ правильно
  10. Частые ошибки при использовании NLA
  11. Что делать, если после включения NLA подключение перестало работать
  12. Как лучше сделать для безопасного RDP-доступа

Что NLA меняет на практике

Без NLA клиент RDP сначала добирается до экрана входа на удалённой машине, а уже потом вводит логин и пароль. С NLA клиент сначала проходит проверку учётной записи, и только после успешной проверки открывается рабочий стол.

Режим подключения Что происходит Когда это нормально На что обратить внимание
NLA включён Клиент отправляет учётные данные через CredSSP, сервер проверяет их до создания полноценной RDP-сессии. Для Windows 10/11, Windows Server и большинства современных клиентов. Старые клиенты могут не подключиться. Нужно использовать актуальный RDP-клиент.
NLA выключен Клиент сначала видит экран входа удалённого компьютера, проверка пользователя идёт позже. Только как временное исключение для старых систем или troubleshooting. Не стоит держать так публичный или интернет-доступный RDP.
Клиент не поддерживает NLA Подключение может завершиться ошибкой до ввода пароля или сразу после попытки входа. Например, старые клиенты времён Windows XP/Server 2003. Лучше обновить клиент, а не отключать защиту на сервере.

Главная мысль простая: NLA не делает RDP «невзламываемым», но отключает лишнюю возможность — попасть в экран входа и сервисы удалённого рабочего стола без предварительной проверки учётных данных.

Где включать NLA: не на клиенте, а на удалённом компьютере

Частая ошибка — искать настройку только в программе, из которой подключаетесь. NLA включается на стороне компьютера, к которому подключаются. Клиент должен просто уметь работать с этим режимом, а современные RDP-клиенты умеют.

NLA нужен на Windows-хосте: например, на рабочем компьютере в офисе, домашнем ПК с Windows Pro/Enterprise или сервере Windows Server. Windows Home как полноценный RDP-сервер штатно не используется, поэтому там сама возможность удалённого рабочего стола ограничена.

Включение NLA через интерфейс Windows

Самый понятный способ — через настройки удалённого рабочего стола на удалённой машине.

  1. Откройте Параметры → Система → Удалённый рабочий стол.
  2. Включите удалённый рабочий стол, если он ещё выключен.
  3. Зайдите в дополнительные параметры и найдите пункт вроде Require devices to use Network Level Authentication или «Требовать использование проверки подлинности на уровне сети».
  4. Оставьте этот пункт включённым.
  5. Проверьте список пользователей: администраторы обычно имеют доступ по умолчанию, обычным пользователям нужно добавить права через Выберите пользователей, которые могут подключаться удалённо.

Старый вариант через окно свойств системы тоже работает: нажмите Win + R, введите sysdm.cpl, откройте вкладку Удалённый доступ и выберите пункт Разрешать подключения только с компьютеров, на которых используется удалённый рабочий стол с проверкой подлинности на уровне сети.

Включение NLA через групповую политику

Если вы администрируете несколько компьютеров или серверов, удобнее использовать групповую политику. Это особенно удобно в домене Active Directory, но работает и на отдельной машине через локальную политику.

  1. Откройте gpedit.msc.
  2. Перейдите в Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удалённых рабочих столов → Узел сеансов удалённых рабочих столов → Безопасность.
  3. Откройте политику Требовать проверку подлинности пользователя для удалённых подключений с использованием NLA.
  4. Установите значение Включено.
  5. Обновите политики командой gpupdate /force или дождитесь обычного обновления политик.

Если политика задана через GPO, галочка в интерфейсе Windows может стать серой. Это нормально: доменная политика имеет приоритет над локальной настройкой.

Включение NLA через PowerShell или реестр

Иногда удобнее проверить настройку командой. Откройте PowerShell от имени администратора на удалённой машине и выполните:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name UserAuthentication

Если UserAuthentication равен 1, NLA включён. Если 0 — выключен.

Чтобы включить NLA:

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name UserAuthentication -Value 1

Если удалённый рабочий стол вообще выключен, параметр fDenyTSConnections должен быть равен 0:

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 0

После изменений через реестр или PowerShell лучше перезагрузить компьютер при ближайшем удобном окне. Перезапуск службы удалённого рабочего стола тоже может сработать, но если вы делаете это удалённо, есть риск разорвать текущие подключения.

Что нужно на стороне клиента

Для обычного пользователя клиент обычно уже готов. Windows 10 и Windows 11 подключаются к NLA без дополнительных настроек. Microsoft Remote Desktop для macOS, iOS и Android тоже поддерживает современные сценарии RDP. Проблемы чаще бывают со старыми клиентами, нестандартными сборками или очень старыми операционными системами.

На клиенте есть отдельная настройка проверки подлинности сервера: Advanced → Settings → Authentication. Там можно выбрать, например, не подключаться, если проверка сервера не прошла. Это не включает NLA на удалённом компьютере, но делает поведение клиента строже. Для рабочих сценариев это обычно хороший вариант.

Что проверить перед подключением:

  • Используется актуальный RDP-клиент.
  • У пользователя есть право на удалённый вход.
  • Пароль актуален и учётная запись не заблокирована.
  • Для доменной записи используется формат DOMAIN\user или user@domain.local.
  • Для локальной записи на удалённом ПК используйте .\user или ИМЯ_КОМПЬЮТЕРА\user.
  • Если вход через Microsoft Account, нужен пароль от учётной записи, а не PIN-код Windows Hello.

Как понять, что NLA действительно работает

Есть несколько простых признаков.

  • Клиент просит учётные данные до того, как появляется удалённый рабочий стол.
  • При вводе неправильного пароля подключение закрывается до создания полноценной сессии.
  • На удалённом компьютере не появляется лишний пользовательский сеанс до успешной проверки.
  • В настройках RDP-сервера включён пункт с Network Level Authentication.

Проверка неправильным паролем — нормальный тест. Если NLA включён, сервер не должен показывать вам экран входа удалённой машины. Он просто отклонит попытку.

Когда NLA можно отключать

Отключать NLA стоит только по конкретной причине и лучше временно. Например:

  • К удалённому компьютеру нужно подключиться со старого клиента, который не умеет NLA.
  • Вы устраняете проблему с CredSSP или несовместимостью версий RDP.
  • Есть устаревшая система в изолированной сети, которую пока нельзя обновить.

Если вы отключили NLA ради старого клиента, не оставляйте RDP открытым в интернет. Лучше сделать так: временно отключить, выполнить задачу, вернуть NLA обратно и обновить клиент или систему.

Сценарии: как настроить доступ правильно

Настройка зависит не только от NLA, но и от того, откуда и к чему вы подключаетесь.

Ситуация Как настроить NLA Что добавить Почему
Офисный компьютер в корпоративной сети Включить Доменные права, обновления, ограничение списка пользователей NLA снижает риск неавторизованного входа и лишних RDP-сессий.
Домашний ПК, к которому подключаются через интернет Включить VPN, RD Gateway или другой защищённый шлюз, не открывать 3389 напрямую NLA не спасает от подбора паролей, если порт виден из интернета.
Сервер Windows Server 24/7 Включить Брандмауэр, RD Gateway, мониторинг событий, резервные админ-учётки Сервер обычно важнее обычного ПК, поэтому доступ нужно ограничивать строже.
Старый клиент или устаревшая ОС По возможности не отключать Обновить клиент; если нельзя — изолировать сеть и временно отключить NLA Проблема совместимости не должна превращаться в постоянную дыру в безопасности.
Нужен доступ нескольким администраторам Включить Отдельные учётные записи, запрет общих паролей, аудит подключений NLA проверяет учётные данные, но не заменяет нормальное управление доступом.

Частые ошибки при использовании NLA

  • Думают, что NLA заменяет VPN. Если порт RDP открыт в интернет, злоумышленник всё равно увидит службу и сможет пробовать подбор паролей. NLA требует пароль, но не отменяет риск слабого пароля.
  • Отключают NLA «для удобства». Обычно проблема не в NLA, а в старом клиенте, неверном формате логина, PIN-коде вместо пароля или отсутствии прав Remote Desktop Users.
  • Пытаются войти через PIN. Для обычного RDP нужен пароль учётной записи. Windows Hello PIN для этого не подходит.
  • Добавляют пользователя, но забывают про права. Администраторы имеют доступ по умолчанию, а обычного пользователя нужно добавить в список разрешённых.
  • Оставляют старые системы в открытом доступе. Windows Server 2003, Windows XP и неподдерживаемые сборки не стоит подключать к интернету через RDP.
  • Отключают защиты CredSSP вместо установки обновлений. Ошибка вроде «The function requested is not supported» чаще лечится обновлением клиента и сервера, а не отключением безопасности.
  • Сохраняют пароль на чужом ноутбуке. NLA всё равно сработает, но сохранённые учётные данные на ненадёжном устройстве — отдельный риск.

Что делать, если после включения NLA подключение перестало работать

Сначала не отключайте NLA. Проверьте более вероятные причины.

  1. Убедитесь, что RDP-клиент современный. Если это старый компьютер или старая ОС, попробуйте подключиться с актуальной Windows, macOS-клиента Microsoft Remote Desktop или мобильного клиента.
  2. Проверьте формат логина. Для локальной записи используйте .\ivan, для доменной — COMPANY\ivan.
  3. Если это Microsoft Account, вводите пароль от учётной записи, а не PIN.
  4. Проверьте, есть ли у пользователя право на удалённый вход.
  5. Убедитесь, что учётная запись не заблокирована и пароль не истёк.
  6. Обновите Windows на клиенте и сервере, особенно если появляется ошибка CredSSP.
  7. Проверьте брандмауэр: RDP обычно использует TCP-порт 3389, отдельного порта для NLA нет.
  8. Если компьютер в домене, проверьте синхронизацию времени. Большие расхождения времени могут ломать проверку учётных данных.

Если после всех проверок подключение всё равно не работает, можно временно отключить NLA только для диагностики. Но делайте это в контролируемой сети и обязательно верните настройку обратно.

Как лучше сделать для безопасного RDP-доступа

  1. Держите NLA включённым на всех поддерживаемых Windows-хостах.
  2. Не открывайте порт 3389 напрямую в интернет. Для внешнего доступа используйте VPN, RD Gateway или другой защищённый шлюз.
  3. Р
Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком