Как работает протокол CredSSP при RDP подключении?

Протокол CredSSP (Credential Security Support Provider) при подключении по RDP работает путём совмещения функционала TLS, Kerberos и NTLM. learn.microsoft.com www.securitylab.ru

Алгоритм работы: kazteleport.kz

1. Установка зашифрованного канала связи между сервером и клиентом. kazteleport.kz В момент установления соединения сервер может не обладать никакой информацией о пользователе. kazteleport.kz
2. Аутентификация участников соединения в действующем сеансе TLS. kazteleport.kz Для этого используется механизм SPNEGO, который предоставляет платформу для распознавания подлинности предоставленной информации. kazteleport.kz
3. Привязка к TLS-сеансу при помощи ключа шифрования, регламентированного в SPNEGO. kazteleport.kz Процесс выглядит так: kazteleport.kz

• Протокол SPNEGO предоставляет клиенту ключ шифрования, который используется для кодирования хэша открытого ключа сервера. kazteleport.kz
• Зашифрованный ключ передаётся на сторону сервера. kazteleport.kz
• На сервере запускается проверка полученного ключа на предмет соответствия с тем, который был использован в процессе «рукопожатия» TLS. kazteleport.kz
• Если проверка пройдена успешно, в обратную сторону направляется подтверждение, зашифрованное аналогичным образом. kazteleport.kz

1. Отправка зашифрованных учётных данных серверу для дальнейшей обработки. kazteleport.kz

Некоторые преимущества протокола CredSSP: проверка разрешения на вход в удалённую систему до установки полноценного RDP-соединения, что позволяет экономить ресурсы сервера терминалов при большом количестве подключений. www.securitylab.ru