www.MegaLab.it

Tra le novità introdotte da Windows Vista, figurano molte funzionalità che non hanno un contatto diretto con l'utente, ma sono situate "sotto il cofano".

Una di queste è NLA (Network Level Authentication, in italiano Autenticazione a Livello di Rete), una tecnologia che fornisce un livello di sicurezza aggiuntivo quando ci si connette da remoto ad un altro computer mediante il client di Desktop Remoto incluso in tutte le più recenti versioni di Windows.

Semplificando al massimo, possiamo dire che NLA consente di autenticare il computer che tenta di connettersi in remoto prima che si sia instaurata una connessione completa, cioè prima che venga visualizzata la finestra con la richiesta delle credenziali di accesso.

Ciò comporta alcuni vantaggi:

• Sono richieste minori risorse del computer a cui ci si collega, in quanto l'autenticazione viene eseguita prima del completamento della connessione, evitando che si sprechino risorse nel completarla se l'autenticazione fallisce;
• è più difficile realizzare attacchi di tipo DoS in quanto non viene instaurata una connessione completa prima della verifica dell'autenticità del computer remoto.

Con il Service Pack 3, Microsoft ha aggiunto il supporto NLA anche in Windows XP ma, anche installando il maxi-aggiornamento, sul "vecchio" OS non è possibile utilizzare tale tecnologia, in quanto, sebbene sia presente, è disattivata per impostazione predefinita.

Questo si traduce nell'impossibilità da parte di un computer basato su Windows XP di connettersi ad uno con Windows Vista o un sistema successivo: infatti, con la configurazione di default, l'ultima generazione di sistemi operativi Microsoft rifiuta ogni connessione di desktop remoto che non utilizzi NLA.

Sebbene questo comportamento sia modificabile nelle Impostazioni di Connessione Remota (accessibili tramite Win+R -> SystemPropertiesRemote.exe -> Invio) selezionando l'opzione Consenti connessioni dai computer che eseguono qualsiasi versione di Desktop Remoto, ciò può ridurre la sicurezza del computer.

Quindi sarebbe preferibile attivare NLA anche sui computer dotati del vecchio sistema operativo Microsoft, così da poter usufruire dei vantaggi che offre questa tecnologia.

Come detto prima, per attivare NLA su Windows XP è necessario aver installato il Service Pack 3 o l'hotfix che aggiorna il client di Desktop Remoto alla versione 6.

Per verificare se NLA è già attivo, avviate il client di Desktop remoto, cliccate col tasto destro sull'icona presente in alto a sinistra sulla barra del titolo e scegliete Informazioni su: apparirà una finestra dove, tra l'altro, sarà indicato se NLA è attivo.

Se così non fosse per attivarlo è necessario abilitare CredSSP (Credential Security Service Provider), che consente ai programmi in esecuzione di utilizzare alcune tecnologie di autenticazione avanzate (tra cui figura anche NLA).

NOTA: La procedura che segue va a modificare alcuni valori del registro di sistema essenziali per il corretto funzionamento del sistema operativo. Un'errata modifica può portare a problemi nell'accesso a vari tipi di servizi e risorse protette (quali siti https, cartelle condivise, domini Active Directory ecc...) o, nei casi peggiori, impedire completamente l'accesso al computer. Quindi raccomando di prestare la massima attenzione nell'eseguire questa procedura e di fare un backup del registro prima della modifica. Ricordo inoltre che MegaLab.it non si assume alcuna responsabilità per i possibili problemi derivanti da questa operazione.

Per attivare NLA è necessario agire sul registro di sistema con i diritti di amministratore, modificando due valori:

• Chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, valore Security Packages. Aggiungere il valore tspkg facendo attenzione a non modificare quelli eventualmente già presenti;

• Chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders, valore SecurityProviders. Aggiungere il valore , credssp.dll facendo attenzione a non modificare quelli eventualmente già presenti.

Per rendere effettive queste modifiche è necessario riavviare il computer.

Al riavvio nella finestra Informazioni su di cui sopra dovrebbe essere visualizzato Autenticazione a Livello di rete supportata.

A questo punto è possibile connettersi ad un computer governato da Windows Vista/7 utilizzando NLA. Faccio notare come nella connessione inversa (da Vista/7 a XP) non è comunque possibile utilizzare NLA, ma solo il sistema tradizionale.