网络级别身份验证是一种身份验证方法,它要求用户在创建会话前必须通过 RD 会话主机服务器的身份验证,才能用来增强 RD 会话主机服务器的安全性。

网络级别身份验证在建立远程桌面连接并出现登录屏幕之前完成用户身份验证。这是比较安全的身份验证方法,有助于保护远程计算机避免恶意用户和恶意软件的攻击。网络级身份验证的好处是:

  • 最初需要较少的远程计算机资源。验证用户身份之前,远程计算机使用有限的资源,而不是像以前版本那样启动完整的远程桌面连接。

  • 可以通过降低受到拒绝服务攻击的风险,帮助提高安全性。

若要使用网络级别身份验证,必须满足以下要求:

  • 在客户端计算机上,必须至少使用 Remote Desktop Connection 6.0。

  • 客户端计算机必须使用支持凭据安全支持提供程序 (CredSSP) 协议的操作系统(如 Windows 7、Windows Vista 或 Windows XP Service Pack 3)。

  • RD 会话主机服务器必须运行 Windows Server 2008 R2 或 Windows Server 2008。

使用以下过程为连接配置网络级身份验证。

本地 Administrators 组中的成员身份或同等身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问 https://go.microsoft.com/fwlink/?LinkId=83477(可能为英文链接)。

若要为连接配置网络级身份验证,请执行下列操作:
  1. 在 RD 会话主机服务器上,打开“远程桌面会话主机配置”。要打开“远程桌面会话主机配置”,请单击「开始」,依次指向“管理工具”“远程桌面服务”,然后单击“远程桌面会话主机配置”

  2. “连接”下,右键单击相应的连接名,然后单击“属性”

  3. “常规”选项卡上,选中“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”复选框。

    如果“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”复选框已选中但未启用,则“要求使用网络级别身份验证对远程连接进行用户身份验证”组策略设置已启用并应用于 RD 会话主机服务器。

  4. 单击“确定”

还可以通过下列方式设置 RD 会话主机服务器的网络级别身份验证设置:

  • 在服务器管理器中安装 RD 会话主机角色服务期间,在“添加角色向导”“指定远程桌面会话主机的身份验证方法”页上。

  • 在 RD 会话主机服务器的“系统属性”对话框中的“远程”选项卡上。

    如果未选中且未启用“允许运行任意版本远程桌面的计算机连接(较不安全)”,则“要求使用网络级别身份验证对远程连接进行用户身份验证”组策略设置已启用并应用于 RD 会话主机服务器。

    若要使用 RD 会话主机服务器上的“系统属性”对话框中的“远程”选项卡配置网络级别身份验证设置,请参阅“更改远程连接设置”

  • 通过应用“要求使用网络级身份验证对远程连接进行用户身份验证”组策略设置。

    此组策略设置位于“计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\安全”中,可以使用本地组策略编辑器或组策略管理控制台 (GPMC) 进行配置。请注意,此组策略设置将优先于远程桌面会话主机配置中或“远程”选项卡上配置的设置。

若要确定计算机是否运行的是支持网络级身份验证的远程桌面连接版本,请启动“远程桌面连接”,单击“远程桌面连接”对话框左上角的图标,然后单击“关于”。在“关于远程桌面连接”对话框中,查找短语“支持网络级别的身份验证”

有关远程桌面服务的详细信息,请参阅 Windows Server 2008 R2 TechCenter 上的“远程桌面服务”页 (https://go.microsoft.com/fwlink/?LinkId=138055)(可能为英文网页)。

有关远程桌面服务的组策略设置的详细信息,请参阅“远程桌面服务技术参考”(https://go.microsoft.com/fwlink/?LinkId=138134)(可能为英文网页)。


目录