網絡級身份驗證

網絡級身份驗證（英語：Network Level Authentication，縮寫NLA，亦有稱網絡層認證）是一種在遠程桌面服務（英語：Remote Desktop Services）（RDP服務器）或遠程桌面連接（RDP客戶端）使用的技術，它要求用戶在與服務器建立會話前先進行身份驗證。在最初，如果用戶打開一個到服務器的RDP（遠程桌面）連接，則服務器提供登錄屏幕畫面。這為消耗服務器資源乃至形成阻斷服務攻擊提供了潛在條件。NLA通過客戶端側的安全支持提供者委託客戶端的用戶憑據和提示用戶在與服務器建立會話前驗證身份。

網絡級身份驗證隨RDP 6.0中引入，最早在Windows Vista中提供支持。它使用新的安全支持提供者CredSSP，這可通過Windows Vista中的SSPI調用。在Windows XP Service Pack 3中，CredSSP已被引入該平台，並且所含的RDP 6.1客戶端支持NLA，但必須先在註冊表中啟用CredSSP。^[1]

優點

網絡級身份驗證的優點有：

• 在初始階段只需遠程計算機（英語：Remote computer）的少量資源，用戶通過身份認證不需啟動完整的遠程桌面連接，從而降低了拒絕服務攻擊的風險。
• 它允許NT單一登入（SSO）擴展到遠程桌面服務（英語：Remote Desktop Services）。

缺點

• 不支持其他憑據提供者
• 要在遠程桌面服務（英語：Remote Desktop Services）中使用網絡級身份驗證，客戶端必須運行Windows XP SP3或更高版本的操作系統，並且主機必須運行Windows Vista^[2]、Windows Server 2008或更高版本。
• 要在Windows XP SP3上使用網絡級身份驗證的RDP服務器，必須先配置註冊表鍵值。
• 不可能通過CredSSP更改密碼。當「用戶必須在下次登錄時更改密碼」已啟用或者帳戶密碼到期時，這是一個問題。
• 需要「從網絡訪問此計算機」的特權，這可能因其他原因而受到限制。

參考資料

1. Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3. [2017-04-19]. （原始內容存檔於2009-10-09）. 
2. Configure Network Level Authentication for Remote Desktop Services Connections. [2017-04-19]. （原始內容存檔於2017-08-26）. 

外部連結

• Configure Network Level Authentication for Remote Desktop Services Connections. Microsoft TechNet. [2017-04-19]. （原始內容存檔於2017-08-26）. 
• What types of Remote Desktop connections should I allow?. Microsoft Corporation. [2017-04-19]. （原始內容存檔於2013-09-02）.