Network Level Authentication (NLA) : qu’est-ce que c’est et pourquoi l’activer ?

9 avril 2025 | Technique

network level authentification

Vous tentez de vous connecter en Bureau à distance (RDP) et BAM, Windows vous balance un message du style :

« La connexion a été refusée car l’ordinateur distant requiert un Network Level Authentication ou une authentification au niveau du réseau (NLA) ».

Vous vous demandez sûrement :

  • C’est quoi encore cette authentification niveau réseau ?
  • Pourquoi mon accès est bloqué alors que mes identifiants sont bons ?
  • Et surtout, comment je règle ça sans me prendre la tête ?

Eh bien, bonne nouvelle : vous êtes au bon endroit. On va tout vous expliquer, avec un ton fun et surtout des solutions concrètes pour éviter que cette alerte ne devienne un cauchemar.

Et si vous cherchez une alternative plus sécurisée et plus simple que RDP + NLA, Splashtop pourrait bien être votre meilleur allié pour un accès distant sans prise de tête.

Network Level Authentication : c’est quoi exactement ?

Le Network Level Authentication (NLA) est une mesure de sécurité qui s’applique aux connexions Remote Desktop Protocol (RDP)

Concrètement, au lieu d’ouvrir la session Windows avant d’authentifier l’utilisateur, NLA vérifie d’abord les identifiants avant même que la session ne se charge. 

Cela signifie qu’un utilisateur non autorisé ne pourra même pas afficher l’écran de connexion, rendant ainsi les attaques par force brute beaucoup plus compliquées.

Historiquement, RDP permettait à n’importe qui d’atteindre l’écran de connexion et de tester autant de combinaisons de mots de passe que possible. 

Avec NLA activé, Windows exige que l’utilisateur soit authentifié avant d’établir la connexion à distance, réduisant ainsi la surface d’attaque. Cette méthode repose sur l’authentification via Kerberos ou NTLM, empêchant ainsi l’accès direct aux sessions de connexion Windows.

Pourquoi c’est important ?

Parce qu’en cas d’attaque, ça empêche un hacker de bombarder l’écran de connexion RDP avec des tentatives de mot de passe (attaque brute force). 

Sans cette protection, un attaquant peut essayer des milliers de combinaisons en continu jusqu’à tomber sur le bon mot de passe, surtout si des identifiants faibles ou réutilisés sont en circulation.

Avec NLA, si l’utilisateur n’a pas les bons identifiants, il n’atteint même pas l’écran de connexion. 

C’est une première barrière de sécurité efficace, qui limite aussi la consommation de ressources serveur, car Windows ne charge pas une session inutilement pour un utilisateur non authentifié.

En résumé, NLA, c’est comme un videur de boîte de nuit

  • Sans NLA : n’importe qui peut accéder à la porte du club et tenter d’entrer en forçant la serrure.
  • Avec NLA : seul celui qui a un ticket valide (identifiants corrects) peut même voir la porte.
  • Sans NLA : un attaquant peut tester des milliers de codes d’entrée en espérant tomber sur le bon.
  • Avec NLA : si le ticket est faux, la porte reste invisible et l’attaquant ne peut même pas essayer.

En bref, NLA est une première ligne de défense efficace, mais comme tout videur, il ne protège pas de tout. Une fois à l’intérieur, un utilisateur malveillant peut toujours causer des dégâts, d’où l’importance de compléter NLA avec des solutions de sécurité avancées.

Pourquoi activer Network Level Authentication ?

1/ Une meilleure protection contre les attaques RDP

Le RDP est une cible de choix pour les cybercriminels. Sans NLA, les attaquants peuvent scanner les machines exposées sur Internet et essayer des milliers de combinaisons de mots de passe

Avec NLA activé, si l’utilisateur n’est pas authentifié dès le départ, la connexion est bloquée avant même d’atteindre l’écran de connexion.

2/ Moins de ressources consommées sur le serveur

Sans NLA, chaque tentative de connexion charge l’interface de session Windows, ce qui peut ralentir le serveur s’il est bombardé d’attaques.

Avec NLA, l’authentification se fait avant d’ouvrir la session, réduisant ainsi la charge système inutile.

3/ Une exigence pour la conformité et la sécurité

Si vous êtes prestataires de services managés (MSP) et que vous gérez des infrastructures IT sensibles, sachez que NLA est souvent une exigence pour respecter les bonnes pratiques de cybersécurité. De nombreuses entreprises et réglementations imposent une authentification forte pour sécuriser l’accès distant.

Comment activer ou désactiver NLA sur Windows ?

1/ Activer ou désactiver NLA via les paramètres Windows

  • Ouvrez « Paramètres Système avancés » :
  • Tapez sysdm.cpl dans la barre de recherche Windows et validez.
  • Allez dans l’onglet « Utilisation à distance ».
  • Cochez ou décochez « Autoriser uniquement les connexions des ordinateurs exécutant NLA » selon votre besoin.
  • Appliquez et redémarrez votre machine.

2/ Via l’Éditeur de stratégie de groupe (GPO) pour les MSP

Si vous gérez plusieurs machines à distance, utilisez les stratégies de groupe :

  • Ouvrez « Éditeur de stratégie de groupe locale » (gpedit.msc).
  • Naviguez jusqu’à : Configuration Ordinateur > Modèles d’administration > Composants Windows > Services Bureau à distance > Hôte de session Bureau à distance > Sécurité
  • Double-cliquez sur « Exiger l’authentification au niveau du réseau » et sélectionnez « Activé » ou « Désactivé ».
  • Appliquez et redémarrez les postes concernés.

Les limites du Network Level Authentication et les alternatives pour les MSP

Bien que NLA soit un excellent premier filtre, il a quelques failles :

1/ Il peut bloquer l’accès en cas de problème d’authentification

Si un compte utilisateur est mal configuré ou si l’Active Directory rencontre un problème, les connexions RDP seront complètement bloquées. Dans un environnement où l’accès distant est critique, cela peut vite devenir un casse-tête.

2/ Il ne protège pas contre toutes les menaces

NLA ne chiffre pas le trafic RDP, ce qui signifie qu’un attaquant interceptant le flux pourrait voir des informations sensibles. De plus, si un pirate vole des identifiants valides, NLA ne l’empêchera pas de se connecter.

3/ Une alternative plus flexible : Splashtop

Plutôt que de gérer les complexités et les faiblesses de RDP + NLA, de nombreux prestataires de services managés (MSP) adoptent des solutions comme Splashtop, qui offrent une sécurité renforcée et une gestion simplifiée des accès distants.

Conclusion

Le Network Level Authentication (NLA) est un premier rempart efficace pour sécuriser les connexions RDP, mais il n’est pas infaillible. Il protège contre certaines attaques, mais ne remplace pas une solution plus robuste et complète.

Pour les MSP, la gestion de l’accès distant ne doit pas se limiter à NLA. Une solution plus avancée comme Splashtop offre une sécurité améliorée, un chiffrement du trafic et une gestion simplifiée des sessions.

Vous voulez sécuriser vos connexions distantes sans vous compliquer la vie ? Découvrez notre démo gratuite et testez une solution adaptée aux besoins des MSP.

FAQ

1/ Faut-il toujours activer NLA sur un serveur Windows ?

Oui, sauf si vous avez une autre solution de sécurité plus robuste en place, comme une passerelle VPN ou un accès distant sécurisé.

2/ Comment contourner un blocage dû à NLA ?

Si vous êtes bloqué à distance, vous pouvez modifier les paramètres via le registre Windows ou utiliser un autre compte administrateur en local.

3/ NLA est-il suffisant pour protéger RDP ?

Non. Il réduit certaines attaques, mais pour une sécurité optimale, il faut chiffrer le trafic et limiter les accès avec des solutions avancées comme Splashtop.

4/ Les solutions comme Splashtop remplacent-elles totalement NLA ?

Elles peuvent le compléter ou le remplacer selon les besoins. Elles offrent en plus un chiffrement de bout en bout et une gestion simplifiée des accès.

Articles sur le même sujet :

No results found.