Per impostazione predefinita, Servizi Desktop remoto le sessioni vengono configurate per la negoziazione del livello di crittografia dal client al server Host sessione Desktop remoto. È possibile migliorare la sicurezza delle sessioni Servizi Desktop remoto richiedendo l'utilizzo di Transport Layer Security (TLS) 1.0. TLS 1.0 verifica l'identità del server Host sessione Desktop remoto e crittografa tutte le comunicazioni tra il server Host sessione Desktop remoto e il computer client. Per migliorare la sicurezza è necessario configurare correttamente il server Host sessione Desktop remoto e il computer client per TLS.
 | Nota |
Per ulteriori informazioni su Host sessione Desktop remoto, vedere la pagina relativa a Servizi Desktop remoto nel sito Web TechCenter di Windows Server 2008 R2 all'indirizzo |
Sono disponibili tre livelli di sicurezza.
| Livello di sicurezza | Descrizione |
|---|---|
SSL (TLS 1.0) |
SSL (TLS 1.0) viene utilizzato per l'autenticazione del server e la crittografia di tutti i dati trasferiti tra il server e il client. |
Con negoziazione |
Questa è l'impostazione predefinita. Viene utilizzato il livello più sicuro supportato dal client. Se supportato, viene utilizzato SSL (TLS 1.0). Se il client non supporta SSL (TLS 1.0), verrà utilizzato il livello di sicurezza RDP. |
Livello di sicurezza RDP |
Per le comunicazioni tra server e client viene utilizzata la crittografia nativa RDP. Se si seleziona il livello di sicurezza RDP, non sarà possibile utilizzare Autenticazione a livello di rete. |
Per utilizzare il livello di sicurezza TLS 1.0 è necessario un certificato, che consente di verificare l'identità del server Host sessione Desktop remoto e di crittografare la comunicazione tra il server Host sessione Desktop remoto e il client. È possibile selezionare un certificato installato nel server Host sessione Desktop remoto oppure utilizzare un certificato autofirmato.
 | Attenzione |
È consigliabile ottenere e installare un certificato emesso da un'Autorità di certificazione pubblica attendibile che partecipa al programma Microsoft Root Certificate. |
Per impostazione predefinita, le connessioni di Servizi Desktop remoto vengono crittografate al massimo livello di sicurezza disponibile. Alcune versioni precedenti del client di Connessione Desktop remoto non supportano tuttavia questo livello elevato di crittografia. Se la rete in uso include client legacy, è possibile impostare il livello di crittografia della connessione per l'invio e la ricezione dei dati al livello di crittografia massimo supportato dal client.
Sono disponibili quattro livelli di crittografia.
| Livello di crittografia | Descrizione |
|---|---|
FIPS compatibile |
Questo livello crittografa e decrittografa i dati inviati dal client al server e viceversa utilizzando metodi di crittografia convalidati dal Federal Information Process Standard (FIPS) 140-1. I client che non supportano questo livello di crittografia non possono connettersi. |
Alta |
Questo livello crittografa i dati inviati dal client al server e viceversa utilizzando la crittografia a 128 bit. Utilizzare questo livello quando il server Host sessione Desktop remoto viene eseguito in un ambiente che include solo client a 128 bit, ad esempio client di Connessione desktop remoto. I client che non supportano questo livello di crittografia non possono connettersi. |
Compatibile con client |
Questa è l'impostazione predefinita. Questo livello crittografa i dati inviati dal client al server e viceversa alla forza massima della chiave supportata dal client. Utilizzare questo livello quando il server Host sessione Desktop remoto viene eseguito in un ambiente che include client misti o legacy. |
Bassa |
Questo livello crittografa i dati inviati dal client al server utilizzando la crittografia a 56 bit. I dati inviati dal server al client non vengono crittografati. |
Per configurare le impostazioni di autenticazione e crittografia del server per una connessione nel server Host sessione Desktop remoto, eseguire la procedura seguente.
Per completare questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators locale oppure a un gruppo equivalente nel server Host sessione Desktop remoto che si intende configurare. Per ulteriori informazioni sull'utilizzo degli account e delle appartenenze di gruppo appropriati, vedere
 | Per configurare le impostazioni di crittografia e autenticazione del server per una connessione |
Nel server Host sessione Desktop remoto aprire Configurazione host sessione Desktop remoto. A tale scopo, fare clic sul pulsante Start, scegliere Strumenti di amministrazione, Servizi Desktop remoto e quindi Configurazione host sessione Desktop remoto.
In Connessioni fare clic con il pulsante destro del mouse sul nome della connessione e quindi scegliere Proprietà.
Nella scheda Generale della finestra di dialogo Proprietà relativa alla connessione selezionare le impostazioni di autenticazione e crittografia del server appropriate per l'ambiente in uso in base ai requisiti e al livello di sicurezza supportati dai computer client.
Se si seleziona SSL (TLS 1.0), selezionare un certificato installato nel server Host sessione Desktop remoto o fare clic su Predefinito per generare un certificato autofirmato. Se si utilizza un certificato autofirmato, il nome del certificato verrà visualizzato come Generato automaticamente.
Fare clic su OK.
È inoltre possibile configurare le impostazioni di crittografia e autenticazione del server applicando le impostazioni di Criteri di gruppo seguenti:
- Imposta livello di crittografia connessione client
- Richiedi l'utilizzo di un livello di protezione specificato per le connessioni remote (RDP)
- Modello di certificato di autenticazione Server
- Richiedi autenticazione utente per le connessioni remote tramite Autenticazione a livello di rete
Queste impostazioni di Criteri di gruppo sono disponibili in Configurazione computer\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Host sessione Desktop remoto\Sicurezza e possono essere configurate mediante l'Editor Criteri di gruppo locali o la Console Gestione Criteri di gruppo. Si noti che queste impostazioni di Criteri di gruppo avranno la priorità sulle impostazioni configurate in Configurazione host sessione Desktop remoto, ad eccezione dell'impostazione Modello di certificato di autenticazione Server.
È possibile configurare il server Host sessione Desktop remoto per l'utilizzo del livello di crittografia FIPS applicando l'impostazione di Criteri di gruppo Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma. Questa impostazione di Criteri di gruppo è disponibile in Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di protezione\Criteri locali\Opzioni di protezione e può essere configurata utilizzando l'Editor Criteri di gruppo locali o la Console Gestione Criteri di gruppo. Si noti che questa impostazione di Criteri di gruppo avrà la priorità sull'impostazione configurata in Configurazione host sessione Desktop remoto e sull'impostazione Imposta livello di crittografia connessione client.
Per ulteriori informazioni sulle impostazioni di Criteri di gruppo per Servizi Desktop remoto, vedere la pagina relativa ai riferimenti tecnici per Servizi Desktop remoto all'indirizzo