Гид по технологиям

Как отключить NLA (Network Level Authentication) в Windows

6 min read Администрирование Windows Обновлено 24 Nov 2025
Отключение NLA в Windows
Отключение NLA в Windows

Введение

NLA (Network Level Authentication) — механизм аутентификации, который запрашивает учётные данные ещё до установления полноценного удалённого рабочего стола. Он повышает безопасность, но иногда мешает при удалённом администрировании, подключениях через некоторые клиенты или при миграции. В этой инструкции подробно описаны способы отключения NLA локально и удалённо, а также рекомендации по безопасности и откату.

Важно: перед внесением изменений обязательно сделайте резервную копию реестра и убедитесь, что у вас есть альтернативный способ доступа к машине (консоль, KVM, физический доступ или подключение через управление серверной платформы), чтобы избежать потери доступа.

Что нужно иметь перед началом

  • Учётная запись с правами администратора на целевом компьютере.
  • Подключение к компьютеру (удалённо или физически) в зависимости от выбранного метода.
  • Клиент Remote Desktop на локальной машине и IP-адрес или имя хоста целевого устройства.
  • Доступ к графическому окружению целевой системы (если вы не используете исключительно командную строку).
  • Базовое знание навигации в Windows.

Отключение NLA на удалённом компьютере

Перед началом проверьте, что у вас есть административный доступ и работает удалённое подключение, чтобы не потерять доступ при изменениях.

1. Использование редактора реестра

Совет: перед изменениями экспортируйте ветку реестра (File → Export), чтобы иметь возможность быстро восстановить прежние настройки.

  1. Нажмите Windows + R, чтобы открыть окно Run. Окно «Выполнить» с командой Regedit
  2. Введите Regedit и нажмите Ctrl + Shift + Enter, чтобы открыть Редактор реестра от имени администратора.
  3. В меню File выберите Connect Network Registry, чтобы подключиться к реестру удалённого компьютера. Подключение к реестру удалённого компьютера
  4. Введите имя удалённого компьютера и нажмите OK.
  5. Перейдите по пути:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  1. Найдите параметр DWORD SecurityLayer, дважды щёлкните и установите значение Value data в 0. Параметр SecurityLayer в реестре для отключения NLA
  2. Найдите параметр UserAuthentication, дважды щёлкните и установите значение Value data в 0. Параметр UserAuthentication в реестре для отключения NLA
  3. Закройте редактор реестра и перезагрузите удалённый компьютер.

Если что‑то пошло не так, импортируйте ранее сохранённый .reg файл через File → Import.

2. Использование Windows PowerShell

  1. На локальной машине нажмите Windows, введите PowerShell, выберите «Запуск от имени администратора». Windows PowerShell запущен от имени администратора
  2. Выполните команды (замените Server_with_NLA_Enabled на имя или IP целевой машины):
$TargetServer = "Server_with_NLA_Enabled"
(Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -ComputerName $TargetServer -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)
  1. После выполнения команды перезагрузите целевую машину.

Примечание: для безопасной автоматизации в скриптах проверяйте успешность вызова и логируйте результат.

Отключение NLA на локальном компьютере

1. Использование редактора групповой политики

  1. Нажмите Windows + R. Окно «Выполнить» для вызова gpedit.msc
  2. Введите gpedit.msc и нажмите Enter, чтобы открыть Local Group Policy Editor.
  3. Перейдите в:
Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Security

Путь к настройке в GPEDIT

  1. Откройте настройку Require user authentication for remote connections by using Network Level Authentication и выберите Disabled. Отключение требования NLA в локальной политике
  2. Нажмите Apply и OK, затем перезагрузите ПК.

2. Использование PowerShell локально

  1. Запустите PowerShell от имени администратора. PowerShell для локальных изменений
  2. Для локальной машины выполните:
(Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)
  1. Перезагрузите компьютер.

3. Использование свойств системы

  1. Нажмите Windows + R. Окно «Выполнить» для запуска sysdm.cpl
  2. Введите sysdm.cpl и нажмите Enter, чтобы открыть System Properties.
  3. Перейдите на вкладку Remote и уберите галочку Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended). Снятие галочки «Разрешать подключения только с NLA»
  4. Нажмите Apply и OK, затем перезагрузите систему.

Риски и рекомендации

  • Риск: отключение NLA понижает уровень защиты RDP и увеличивает поверхность атаки. Защитные меры:

    • Ограничьте доступ по брандмауэру (по IP или через VPN).
    • Используйте RD Gateway или RD Gateway + MFA, если требуется внешний доступ.
    • Включите аудит входов и следите за подозрительной активностью.

  • Не отключайте NLA на серверах в открытой сети без компенсирующих мер (VPN, брандмауэр, RD Gateway).

Когда не стоит отключать NLA

  • Если сервер открыт в интернете и нет VPN/шифрованного канала доступа.
  • Если политика безопасности организации требует NLA и MFA для всех серверов.

Альтернативы отключению NLA

  • Использовать VPN для доступа к внутренней сети и сохранять NLA включённым.
  • Настроить RD Gateway, который обеспечивает безопасный туннель и может работать с NLA.
  • Настроить jump-host (bastion) с жёстким доступом и журналированием, а не отключать NLA на целевых хостах.

Как вернуть NLA обратно (откат)

  1. В редакторе реестра установите SecurityLayer = 0x0 или 0x1 по нужной политике; для восстановления NLA поставьте:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer = 0x1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\UserAuthentication = 0x1
  1. В GPEDIT установите Require user authentication for remote connections by using Network Level Authentication в значение Not Configured или Enabled согласно внутренним требованиям.
  2. Локально через PowerShell выполните SetUserAuthenticationRequired(1) как показано выше и перезагрузите систему.

Критерии приёмки

  • Можно подключиться по RDP с клиентской машины, указав имя/IP и учётные данные.
  • До подключения не выполняется запрос NLA (в тестовом сценарии — окно аутентификации появляется после установления сессии).
  • Логи событий (Security, System) не содержат критических ошибок, связанных с RDP после перезагрузки.
  • Документирован способ отката и проверены резервные копии реестра.

Чек-листы ролей

Администратор:

  • Выполнить бэкап реестра.
  • Проверить доступ по альтернативному каналу (KVM/консоль).
  • Внести изменения и перезагрузить.
  • Проверить логи и соединение.

Helpdesk:

  • Сообщить пользователям о временных изменениях доступа.
  • Проверить возможность подключения клиентскими ПК.
  • Сообщить администратору о любых проблемах.

Пользователь:

  • Иметь актуальные учётные данные.
  • Пробовать подключиться и сообщать об ошибках с подробным описанием.

Тестовые сценарии и приёмка

  • Попытка подключения с клиентской машины внутри сети: ожидаемый результат — подключение установлено.
  • Попытка подключения извне без VPN: если не развернуты компенсирующие меры, доступ должен быть заблокирован брандмауэром.
  • Проверка событий безопасности: отсутствие неожиданных отказов и повторных попыток входа.

Шпаргалка PowerShell

# Удалённая машина
$TargetServer = "Server_with_NLA_Enabled"
(Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -ComputerName $TargetServer -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)

# Локально
(Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)

# Включить обратно
(Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(1)

План инцидента и отката

  1. Перед изменением: сделать экспорт ветки реестра и сохранить копию.
  2. Внести изменения и перезагрузить систему.
  3. Если после перезагрузки доступ утерян — использовать альтернативный канал (KVM/IPMI) и импортировать .reg файл.
  4. Вернуть параметры через GPEDIT или PowerShell и перезагрузить.

Краткая справка

  • NLA: аутентификация на уровне сети, требует ввода учётных данных до установления RDP‑сессии.
  • Рекомендуется: держать NLA включённым и использовать VPN или RD Gateway для внешнего доступа.

Итог

Отключение NLA возможно несколькими способами: через реестр, групповую политику, свойства системы или PowerShell. Перед отключением оцените риски, обеспечьте альтернативный доступ и задокументируйте шаги отката. Если доступ к серверу возможен извне, рассмотрите альтернативы (VPN, RD Gateway, bastion) вместо отключения NLA.

Важно: если вы управляете серверами в корпоративной среде, согласуйте изменения с отделом по безопасности и следуйте внутренним политикам.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Как закрыть лишние фоновые процессы в Windows
Windows

Как закрыть лишние фоновые процессы в Windows

Сброс Steam Deck до заводских настроек
Гайды

Сброс Steam Deck до заводских настроек

Скачать и использовать CCleaner для удаления вредоносного ПО
Безопасность

Скачать и использовать CCleaner для удаления вредоносного ПО

Как перезагрузить Apple TV — три простых способа
Руководство

Как перезагрузить Apple TV — три простых способа

Извлечь страницу из PDF на Mac быстро
PDF

Извлечь страницу из PDF на Mac быстро

Сетевой кабель отключён в Windows — как исправить
Поддержка

Сетевой кабель отключён в Windows — как исправить