默认情况下,将远程桌面服务会话配置为协商从客户端到 RD 会话主机服务器的加密级别。通过要求使用传输层安全性 (TLS) 1.0,可以增强远程桌面服务会话的安全性。TLS 1.0 验证 RD 会话主机服务器的身份并对 RD 会话主机服务器与客户端计算机之间的所有通信进行加密。只有正确配置 RD 会话主机服务器和客户端计算机,TLS 才能提高安全性。
注意 | |
有关 RD 会话主机的详细信息,请参阅 Windows Server 2008 R2 TechCenter 中的“远程桌面服务”页面 (位于 |
可以使用三个安全层。
安全层 | 描述 |
---|---|
SSL (TLS 1.0) |
SSL (TLS 1.0) 将用于服务器身份验证以及对服务器与客户端之间传输的所有数据进行加密。 |
协商 |
这是默认设置。 将使用客户端支持的最安全的安全层。如果支持 SSL (TLS 1.0),则使用 SSL (TLS 1.0)。如果客户端不支持 SSL (TLS 1.0),则使用 RDP 安全层。 |
RDP 安全层 |
服务器与客户端之间的通信将使用本机 RDP 加密。如果选择 RDP 安全层,则无法使用网络级身份验证。 |
使用 TLS 1.0 安全层所必需的证书,该证书用于验证 RD 会话主机服务器身份并对 RD 会话主机与客户端之间的通信进行加密。可以选择已在 RD 会话主机服务器上安装的证书,也可以使用自签名证书。
小心 | |
建议您获取并安装参与 Microsoft 根证书程序成员计划的可信公用证书颁发机构颁发的证书。 |
默认情况下,以可用的最高安全级别对远程桌面服务连接进行加密。但是,某些旧版本的远程桌面连接客户端不支持此高级别的加密。如果网络中包含此类旧版客户端,可以将连接的加密级别设置为以客户端支持的最高加密级别发送和接收数据。
可以使用四个加密级别。
加密级别 | 描述 |
---|---|
符合 FIPS 标准 |
此级别使用联邦信息处理标准 (FIPS) 140-1 经过验证的加密方法,对从客户端向服务器发送的数据以及从服务器向客户端发送的数据进行加密和解密。不支持此加密级别的客户端无法连接。 |
高 |
此级别使用 128 位加密对从客户端向服务器发送的数据以及从服务器向客户端发送的数据进行加密。RD 会话主机服务器在仅包含 128 位客户端(如远程桌面连接客户端)的环境中运行时才使用此级别。不支持此加密级别的客户端无法连接。 |
客户端兼容 |
这是默认设置。 此级别以客户端支持的最大密钥强度对在客户端与服务器之间发送的数据进行加密。RD 会话主机服务器在包含混合客户端或旧版客户端的环境中运行时使用此级别。 |
低 |
此级别使用 56 位加密对从客户端向服务器发送的数据进行加密。不对从服务器向客户端发送的数据进行加密。 |
使用以下过程配置 RD 会话主机服务器上连接的服务器身份验证设置和加密设置。
计划配置的 RD 会话主机服务器上的本地 Administrators 组的成员身份或等效身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问
若要配置连接的服务器身份验证设置和加密设置,请执行下列操作: |
在 RD 会话主机服务器上,打开“远程桌面会话主机配置”。要打开“远程桌面会话主机配置”,请单击「开始」,依次指向“管理工具”、“远程桌面服务”,然后单击“远程桌面会话主机配置”。
在“连接”下,右键单击相应的连接名,然后单击“属性”。
在该连接的“属性”对话框的“常规”选项卡上,根据安全要求以及客户端计算机可以支持的安全级别,选择适合您环境的服务器身份验证设置和加密设置。
如果选择 SSL (TLS 1.0),请选择 RD 会话主机服务器上安装的某个证书,或者单击“默认”生成自签名证书。如果使用的是自签名证书,证书名称将显示为“已自动生成”。
单击“确定”。
还可以通过应用下列组策略设置,配置服务器身份验证设置和加密设置:
- 设置客户端连接的加密级别
- 要求使用特定安全层建立远程 (RDP) 连接
- 服务器身份验证证书模板
- 要求使用网络级身份验证对远程连接进行用户身份验证
这些组策略设置位于“计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\安全”中,可以使用本地组策略编辑器或组策略管理控制台 (GPMC) 进行配置。请注意,这些组策略设置将优先于远程桌面会话主机配置中配置的设置,“服务器身份验证证书模板”策略设置除外。
通过应用“系统加密: 将 FIPS 兼容算法用于加密、哈希和签名”组策略设置,可以将 RD 会话主机服务器配置为使用 FIPS 作为加密级别。此组策略设置位于“计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项”中,可以使用本地组策略编辑器或组策略管理控制台 (GPMC) 进行配置。请注意,此组策略设置将优先于远程桌面会话主机配置中配置的设置,并优先于“设置客户端连接的加密级别”策略设置。
有关远程桌面服务的组策略设置的详细信息,请参阅“远程桌面服务技术参考”(