Standardmäßig sind Remotedesktopdienste-Sitzungen so konfiguriert, dass die Verschlüsselungsstufe vom Client zum Server mit dem Host für Remotedesktopsitzungen ausgehandelt wird. Sie können die Sicherheit von Remotedesktopdienste-Sitzungen verbessern, indem Sie die Verwendung von Transport Layer Security (TLS) 1.0 erforderlich machen. Mit TLS 1.0 wird die Identität des Servers mit dem Host für Remotedesktopsitzungen überprüft, und die gesamte Kommunikation zwischen dem Server mit dem Host für Remotedesktopsitzungen und dem Clientcomputer wird verschlüsselt. Der Server mit dem Host für Remotedesktopsitzungen und der Clientcomputer müssen ordnungsgemäß konfiguriert sein, damit die Sicherheit durch TLS erhöht wird.
Hinweis | |
Weitere Informationen zum Host für Remotedesktopsitzungen finden Sie auf der Seite zu Remotedesktopdiensten (möglicherweise in englischer Sprache) im Windows Server 2008 R2 TechCenter ( |
Es sind drei Sicherheitsstufen verfügbar.
Sicherheitsstufe | Beschreibung |
---|---|
SSL (TLS 1.0) |
SSL (TLS 1.0) wird zur Serverauthentifizierung und Verschlüsselung aller Daten verwendet, die zwischen dem Server und dem Client übertragen werden. |
Aushandeln |
Dies ist die Standardeinstellung. Es wird die sicherste Stufe verwendet, die vom Client unterstützt wird. Wenn SSL (TLS 1.0) unterstützt wird, wird diese Stufe verwendet. Wenn SSL (TLS 1.0) vom Client nicht unterstützt wird, wird die RDP-Sicherheitsstufe verwendet. |
RDP-Sicherheitsstufe |
Bei der Kommunikation zwischen dem Server und dem Client wird die systemeigene RDP-Verschlüsselung verwendet. Wenn Sie die RDP-Sicherheitsstufe auswählen, können Sie die Authentifizierung auf Netzwerkebene nicht verwenden. |
Für die Verwendung der TLS 1.0-Sicherheitsstufe ist ein Zertifikat erforderlich, das zum Überprüfen der Identität des Servers mit dem Host für Remotedesktopsitzungen und zum Verschlüsseln der Kommunikation zwischen dem Host für Remotedesktopsitzungen und dem Client verwendet wird. Sie können ein Zertifikat auswählen, das Sie auf dem Server mit dem Host für Remotedesktopsitzungen installiert haben, oder Sie können ein selbstsigniertes Zertifikat verwenden.
Vorsicht | |
Es wird empfohlen, ein Zertifikat zu erwerben und zu installieren, das von einer der vertrauenswürdigen öffentlichen Zertifizierungsstellen ausgestellt wurde, die am Microsoft-Programm für Stammzertifikate teilnehmen. |
Standardmäßig werden Remotedesktopdienste-Verbindungen mit der höchsten verfügbaren Sicherheitsstufe verschlüsselt. Allerdings unterstützen einige ältere Versionen des Remotedesktopverbindungs-Clients diese hohe Verschlüsselungsstufe nicht. Wenn Ihr Netzwerk veraltete Clients enthält, können Sie die Verschlüsselungsstufe der Verbindung so festlegen, dass Daten mit der höchsten Verschlüsselungsstufe gesendet und empfangen werden, die von dem Client unterstützt wird.
Es sind vier Verschlüsselungsstufen verfügbar.
Verschlüsselungsstufe | Beschreibung |
---|---|
FIPS-konform |
Mit dieser Stufe werden Daten verschlüsselt und entschlüsselt, die mithilfe der durch den Federal Information Process Standard (FIPS) 140-1 überprüften Verschlüsselungsmethoden vom Client an den Server und vom Server an den Client gesendet werden. Clients, die diese Verschlüsselungsstufe nicht unterstützen, können keine Verbindung herstellen. |
Hoch |
Mit dieser Stufe werden Daten verschlüsselt, die mit der 128-Bit-Verschlüsselung vom Client an den Server und vom Server an den Client gesendet werden. Verwenden Sie diese Stufe, wenn der Server mit dem Host für Remotedesktopsitzungen in einer Umgebung ausgeführt wird, die nur 128-Bit-Clients enthält (beispielsweise Remotedesktopverbindungs-Clients). Clients, die diese Verschlüsselungsstufe nicht unterstützen, können keine Verbindung herstellen. |
Client-kompatibel |
Dies ist die Standardeinstellung. Mit dieser Stufe werden Daten verschlüsselt, die zwischen dem Client und dem Server mit der maximalen vom Client unterstützten Schlüsselstärke gesendet werden. Verwenden Sie diese Stufe, wenn der Server mit dem Host für Remotedesktopsitzungen in einer Umgebung ausgeführt wird, die gemischte Clients oder Legacyclients enthält. |
Niedrig |
Mit dieser Stufe werden Daten verschlüsselt, die mit der 56-Bit-Verschlüsselung vom Client an den Server gesendet werden. Vom Server an den Client gesendete Daten werden nicht verschlüsselt. |
Verwenden Sie das folgende Verfahren, um die Serverauthentifizierungs- und Verschlüsselungseinstellungen für eine Verbindung des Servers mit dem Host für Remotedesktopsitzungen zu konfigurieren.
Sie müssen mindestens Mitglied der lokalen Gruppe Administratoren oder einer entsprechenden Gruppe auf dem zu konfigurierenden Hostserver für Remotedesktopsitzungen sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter
So konfigurieren Sie die Serverauthentifizierungs- und Verschlüsselungseinstellungen für eine Verbindung |
Öffnen Sie auf dem Hostserver für Remotedesktopsitzungen die Konfiguration des Hosts für Remotedesktopsitzungen. Zum Öffnen der Konfiguration des Hosts für Remotedesktopsitzungen zeigen Sie im Startmenü auf Verwaltung, zeigen Sie auf Remotedesktopdienste, und klicken Sie dann auf Konfiguration des Remotedesktop-Sitzungshosts.
Klicken Sie unter Verbindungen mit der rechten Maustaste auf den Namen der Verbindung, und klicken Sie anschließend auf Eigenschaften.
Wählen Sie im Dialogfeld Eigenschaften für die Verbindung auf der Registerkarte Allgemein basierend auf den Sicherheitsanforderungen und der Sicherheitsstufe, die von den Clientcomputern unterstützt werden kann, die für die Umgebung geeigneten Serverauthentifizierungs- und Verschlüsselungseinstellungen aus.
Wenn Sie SSL (TLS 1.0) auswählen, wählen Sie ein Zertifikat aus, das auf dem Server mit dem Host für Remotedesktopsitzungen installiert ist, oder klicken Sie auf Standard, um ein selbstsigniertes Zertifikat zu generieren. Wenn Sie ein selbstsigniertes Zertifikat verwenden, wird der Name des Zertifikats als Automatisch erstellt angezeigt.
Klicken Sie auf OK.
Sie können die Serverauthentifizierungs- und Verschlüsselungseinstellungen auch durch Anwenden der folgenden Gruppenrichtlinieneinstellungen konfigurieren:
- Verschlüsselungsstufe der Clientverbindung festlegen
- Verwendung einer bestimmten Sicherheitsstufe für Remoteverbindungen (RDP) ist erforderlich
- Zertifikatvorlage für Serverauthentifizierung
- Benutzerauthentifizierung für Remoteverbindungen mithilfe der Authentifizierung auf Netzwerkebene erforderlich
Diese Gruppenrichtlinieneinstellungen befinden sich unter Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Sicherheit und können mithilfe des lokalen Gruppenrichtlinien-Editors oder der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) konfiguriert werden. Beachten Sie, dass diese Gruppenrichtlinieneinstellungen, mit Ausnahme der Richtlinieneinstellung Zertifikatvorlage für Serverauthentifizierung, Vorrang vor den in der Konfiguration des Hosts für Remotedesktopsitzungen konfigurierten Einstellungen haben.
Sie können den Server mit dem Host für Remotedesktopsitzungen so konfigurieren, dass FIPS als Verschlüsselungsstufe verwendet wird, indem Sie die folgende Gruppenrichtlinieneinstellung anwenden Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden. Diese Gruppenrichtlinieneinstellung befindet sich unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen und kann mithilfe des lokalen Gruppenrichtlinien-Editors oder der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) konfiguriert werden. Beachten Sie, dass diese Gruppenrichtlinieneinstellung Vorrang vor der in der Konfiguration des Hosts für Remotedesktopsitzungen konfigurierten Einstellung und vor der Richtlinieneinstellung Verschlüsselungsstufe der Clientverbindung festlegen hat.
Weitere Informationen zu den Gruppenrichtlinieneinstellungen für Remotedesktopdienste finden Sie in der technischen Referenz für die Remotedesktopdienste unter