既定では、リモート デスクトップ サービス セッションは、クライアントの暗号化レベルを RD セッション ホスト サーバーにネゴシエイトするように構成されています。トランスポート層セキュリティ (TLS) 1.0 の使用を要求することで、リモート デスクトップ サービス セッションのセキュリティを強化できます。TLS 1.0 は RD セッション ホスト サーバーの ID を確認して、RD セッション ホスト サーバーとクライアント コンピューター間のすべての通信を暗号化します。セキュリティを高めるために、RD セッション ホスト サーバーとクライアント コンピューターは、TLS 用に正しく構成する必要があります。
注 | |
RD セッション ホストの詳細については、Windows Server 2008 R2 TechCenter のリモート デスクトップ サービスに関するページ (英語の可能性あり)( |
3 つのセキュリティ層を使用できます。
セキュリティ層 | 説明 |
---|---|
SSL (TLS 1.0) |
SSL (TLS 1.0) は、サーバー認証と、サーバーとクライアントの間で転送されるすべてのデータの暗号化に使用されます。 |
ネゴシエート |
これは、既定の設定です。 クライアントがサポートしている最も安全な層が使用されます。サポートされている場合は SSL (TLS 1.0) が使用されます。クライアントが SSL (TLS 1.0) をサポートしていない場合は、RDP セキュリティ層が使用されます。 |
RDP セキュリティ層 |
サーバーとクライアント間の通信では、ネイティブな RDP 暗号化が使用されます。RDP セキュリティ層を選択した場合、ネットワーク レベル認証は使用できません。 |
証明書は、RD セッション ホスト サーバーの ID を確認して RD セッション ホスト とクライアント間のすべての通信を暗号化するために使用されます。TLS 1.0 セキュリティ層を使用するためにも必要です。RD セッション ホスト サーバーにインストールされている証明書を選択するか、自己署名された証明書を使用できます。
注意 | |
Microsoft ルート証明書プログラム メンバー プログラムに参加している、信頼できる公共の証明機関によって発行された証明書を取得してインストールすることをお勧めします。 |
既定では、リモート デスクトップ サービス接続は、使用可能な最も高いレベルのセキュリティで暗号化されます。ただし、以前のバージョンのリモート デスクトップ接続には、この高いレベルの暗号化をサポートしていないものがあります。ネットワークにそのような古いクライアントがある場合は、接続の暗号化レベルを設定して、クライアントがサポートする最も高い暗号化レベルでデータを送受信することができます。
4 つの暗号化レベルを使用できます。
暗号化のレベル | 説明 |
---|---|
FIPS 準拠 |
このレベルでは、連邦情報処理規格 (FIPS) 140-1 で確認された暗号化方式を使用して、クライアントとサーバーの間でやり取りされるデータの暗号化と暗号化の解除を行います。このレベルの暗号化をサポートしていないクライアントは接続できません。 |
高 |
このレベルでは、128 ビットの暗号化を使用して、クライアントとサーバーの間でやり取りされるデータの暗号化を行います。このレベルの暗号化は、128 ビットのクライアント (リモート デスクトップ接続クライアントなど) のみが含まれる環境で RD セッション ホスト サーバーが動作している場合に使用します。このレベルの暗号化をサポートしていないクライアントは接続できません。 |
クライアント互換 |
これは、既定の設定です。 このレベルでは、クライアントとサーバーの間で送信されるデータは、クライアントがサポートしている最高のキーの強度で暗号化されます。このレベルの暗号化は、クライアントが混在している場合や、古いクライアントが含まれる環境で RD セッション ホスト サーバーが動作している場合に使用します。 |
低 |
このレベルでは、56 ビットの暗号化を使用して、クライアントからサーバーに送信されるデータの暗号化を行います。サーバーからクライアントに送信されるデータは暗号化されません。 |
RD セッション ホスト サーバーの接続について、サーバーの認証と暗号化の設定を構成するには、次の手順を実行します。
この手順を実行するには、構成しようとしている RD セッション ホストにおいて、ローカルの Administrators グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。 適切なアカウントおよびグループ メンバーシップの使用の詳細については、
接続のサーバー認証と暗号化の設定を構成するには |
RD セッション ホスト サーバーで、リモート デスクトップ セッション ホストの構成を開きます。リモート デスクトップ セッション ホストの構成を開くには、[スタート] ボタンをクリックして [管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ セッション ホストの構成] をクリックします。
[接続] で、接続の名前を右クリックし、[プロパティ] をクリックします。
接続の [プロパティ] ダイアログ ボックスの [全般] タブで、セキュリティ要件とクライアント コンピューターがサポート可能なセキュリティ レベルに基づいて、環境に合ったサーバー認証と暗号化の設定を選択します。
SSL (TLS 1.0) を選択する場合は、RD セッション ホスト サーバーにインストールされている証明書を選択するか、[既定] をクリックして、自己署名された証明書を生成します。自己署名された証明書を使用する場合は、証明書の名前は [自動生成] と表示されます。
[OK] をクリックします。
また、以下のグループ ポリシー設定を適用して、サーバー認証と暗号化の設定を構成することもできます。
- クライアント接続の暗号化レベルを設定する
- リモート (RDP) 接続に特定のセキュリティ レイヤーの使用を必要とする
- サーバー認証証明書テンプレート
- ネットワーク レベル認証を使用したリモート接続にユーザー認証を必要とする
これらのグループ ポリシー設定は、コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\セキュリティにあり、ローカル グループ ポリシー エディターまたはグループ ポリシー管理コンソール (GPMC) を使用して構成できます。これらのグループ ポリシー設定は、[サーバー認証証明書テンプレート] ポリシー設定を除き、リモート デスクトップ セッション ホストの構成での設定内容よりも優先されます。
[システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] グループ ポリシー設定を適用することで、暗号化レベルとして FIPS を使用するように RD セッション ホスト サーバーを構成できます。このグループ ポリシー設定は、コンピューターの構成\ポリシー\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプションにあり、ローカル グループ ポリシー エディターまたはグループ ポリシー管理コンソール (GPMC) を使用して構成できます。このグループ ポリシー設定は、リモート デスクトップ セッション ホストの構成での設定や、[クライアント接続の暗号化レベルを設定する] ポリシー設定よりも優先されます。
リモート デスクトップ サービスのグループ ポリシー設定の詳細については、リモート デスクトップ サービスのテクニカル リファレンス (英語の可能性あり)(