NLA — Network Level Authentication, проверка подлинности на уровне сети.

RDP сервер без NLA после подключения рисует интерфейс для ввода пароля:

Если на RDP сервере включена обязательная NLA, то до проверки пароля сервер ничего не рисует. Клиенту нужно самостоятельно рисовать интерфейс. Интерфейс ввода пароля WTware выглядит так:

NLA по умолчанию включен на Windows 2012 Server и новее. Что в NLA хорошо:

• + NLA безопаснее. Без NLA сервер договаривается о сжатии графики, позволяет открывать COM-порты, подключать смарт-карты каждому клиенту, который может к нему подключиться по TCP/IP. Чем больше общается клиент с сервером, тем выше вероятность взлома. С NLA сервер до проверки пароля ничего с клиентом не согласовывает.

Что в NLA плохо:

• - Нет никакой возможности в RDP сессии заменить пароль, срок действия которого истек. Менять пароль нужно в каком-то другом интерфейсе, не через RDP подключение. Например, можно сменить просроченный пароль через RDWeb
• - Интерфейс ввода пароля без экранной клавиатуры.
• - Диагностика ошибок хуже. Без NLA Windows подробно объяснит, что не так с логином или паролем. С NLA сервер отключает соединение, не объясняя, почему авторизация не удалась.

Чтобы отключить обязательную NLA, надо на сервере запустить Local Group Policy Editor (для сервера, входящего в домен, можно воспользоваться политиками домена):

Нужно изменить одну настройку: