Wie richtet man NLA (Network Level Authentication) für Remote Desktop ein?
- Was ist NLA und warum ist es wichtig?
- Vorbereitungen und Voraussetzungen
- Aktivierung von NLA über die Systemeinstellungen
- Aktivierung von NLA über die Gruppenrichtlinien
- Überprüfung der NLA-Aktivierung
- Clientseite: Verbindung mit NLA herstellen
- Zusätzliche Hinweise und Troubleshooting
- Fazit
Was ist NLA und warum ist es wichtig?
Network Level Authentication (NLA) ist ein Sicherheitsfeature bei Remote Desktop Verbindungen, das die Identität eines Benutzers bereits vor Aufbau der eigentlichen Remote Session überprüft. Dies schützt den Zielrechner vor unerwünschten Verbindungsversuchen und Angriffen, indem erst nach erfolgreicher Authentifizierung eine Sitzung gestartet wird. NLA verbessert damit die Sicherheit und reduziert die Gefahr von Denial-of-Service-Attacken.
Vorbereitungen und Voraussetzungen
Um NLA einzurichten, benötigt der Zielrechner mindestens Windows Vista oder Windows Server 2008 als Betriebssystem, weil frühere Versionen diese Funktion nicht unterstützen. Auch auf dem Client muss ein entsprechender Remote Desktop Client vorhanden sein, der NLA versteht. Wichtig ist außerdem, dass die verwendeten Benutzerkonten über ein gültiges Passwort verfügen und in der Remotedesktopbenutzergruppe (oder mit Administratorrechten) eingetragen sind.
Aktivierung von NLA über die Systemeinstellungen
Der einfachste Weg, NLA zu aktivieren, führt über die Systemeinstellungen des Zielrechners. Öffnen Sie dazu die Systemeigenschaften, indem Sie Windows-Taste + Pause drücken oder im Startmenü System eingeben und auswählen. Wechseln Sie dort zum Reiter Remote. Im Abschnitt Remote Desktop gibt es mehrere Optionen zur Auswahl. Wählen Sie den Punkt Verbindungen nur von Computern zulassen, auf denen Remote Desktop mit Network Level Authentication ausgeführt wird. Bestätigen Sie die Änderungen mit OK oder Übernehmen.
Aktivierung von NLA über die Gruppenrichtlinien
Alternativ und vor allem in Unternehmensumgebungen kann NLA über Gruppenrichtlinien gesteuert werden. Öffnen Sie dazu die Gruppenrichtlinien-Verwaltungskonsole mit gpedit.msc. Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotesitzungs-Host > Sicherheit. Dort finden Sie die Richtlinie Verwendung der Netzwerkeebenauthentifizierung für Remotedesktopdienste erzwingen. Diese Richtlinie aktivieren Sie, um NLA einzuschalten. Nach der Aktivierung muss die Richtlinie mittels gpupdate /force angewendet werden oder der Computer neu gestartet werden.
Überprüfung der NLA-Aktivierung
Um zu überprüfen, ob NLA korrekt aktiviert ist, können Sie erneut die Systemeigenschaften aufrufen und den betreffenden Punkt unter Remote Desktop kontrollieren. Außerdem kann über die Registry sichergestellt werden, dass der Wert SecurityLayer unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp auf 1 gesetzt ist. Ein Wert von 1 steht für NLA, 0 bedeutet keine authentifizierung vor Sitzungsstart.
Clientseite: Verbindung mit NLA herstellen
Auf dem Client reicht es in der Regel aus, den Remote Desktop Client (mstsc.exe) zu starten und die Zielmaschine einzutragen. NLA wird automatisch verwendet, wenn der Server es verlangt. Sollte der Client zu alt sein oder keine NLA unterstützen, wird die Verbindung verweigert, was die Sicherheit erhöht.
Zusätzliche Hinweise und Troubleshooting
Beim Einsatz von NLA kann es manchmal vorkommen, dass Clients mit älteren Betriebssystemen oder Remote Desktop Versionen keine Verbindung herstellen können. In solchen Fällen ist entweder ein Update des Clients erforderlich oder die NLA-Option vorübergehend zu deaktivieren. Zudem sollten Netzwerkprobleme ausgeschlossen werden, da NLA auch Netzwerkzugriffe für die Authentifizierung voraussetzt. Auch Firewalls müssen entsprechend konfiguriert sein, damit die Remote Desktop Verbindung mit NLA möglich ist.
Fazit
Network Level Authentication erhöht die Sicherheit von Remote Desktop Verbindungen erheblich, indem sie eine Authentifizierung vor dem Sitzungsaufbau erzwingt. Die Aktivierung erfolgt am einfachsten über die Systemeinstellungen oder zentral über Gruppenrichtlinien. Eine sorgfältige Konfiguration auf Server- und Clientseite sowie die Einhaltung der Voraussetzungen sorgen für eine sichere und reibungslose Nutzung.